Cyber Resilience Act-Compliance für Maschinenhersteller
Ihre Maschine hat digitale Elemente. Ihre CE-Kennzeichnung erfordert jetzt Cybersicherheitsnachweise. CRA Evidence hilft Maschinenherstellern, sowohl den Cyber Resilience Act als auch die EU-Maschinenverordnung einzuhalten, und zwar auf einer einzigen Plattform.
Die doppelte Compliance-Realität
Ab 20. Januar 2027 verlangt die EU-Maschinenverordnung (EU) 2023/1230 Cybersicherheitsnachweise in der technischen Dokumentation (Anhang III §1.1.9 „Schutz vor Korrumpierung"). Ab 11. Dezember 2027 schreibt der CRA vollständige produktbezogene Sicherheit über den gesamten Lebenszyklus vor. Beide Regelwerke gelten für Maschinen mit SPS, HMI, eingebetteten Steuerungen oder Netzwerkkonnektivität.
CRA Erwägungsgrund 53 ist eindeutig: Produkte, die bereits von anderen EU-Regelwerken mit Cybersicherheitsanforderungen erfasst werden, müssen auch dem CRA entsprechen. CRA-Compliance-Nachweise können diese Anforderungen erfüllen — wenn sie korrekt strukturiert sind.
Wie CRA Evidence Maschinenbauern hilft
| Ihr Compliance-Bedarf | Wie CRA Evidence hilft | Regulierungsgrundlage |
|---|---|---|
| Software in Maschinen nachverfolgen | SBOM + HBOM Management | CRA Anhang I + MV technische Dokumentation |
| Eingebettete Firmware analysieren | Firmware-SBOM hochladen und auf CVEs scannen | CRA Schwachstellenmanagement + MV §1.1.9 |
| Cybersicherheitsrisiken bewerten | STRIDE-Risikobewertung mit Hardware-Assets | CRA Art. 13(2) + MV §1.1.9 |
| Schwachstellen an ENISA melden | 24h/72h/14d Meldeablauf | CRA Art. 14 (ab Sep 2026) |
| CE-Kennzeichnungsnachweise erstellen | EU-Konformitätserklärung + technische Dateiexport | CRA Art. 22-23 + MV Konformität |
| Produkttransparenz bereitstellen | Digitaler Produktpass mit QR-Codes | CRA + Ökodesign |
| Lieferkettenkomponenten verwalten | Importeur-/Händlerverifizierung | CRA Art. 19-20 |
Betroffene Produkte
CNC-Maschinen, Cobots, Verpackungsmaschinen, Sicherheits-SPS, Industrieroboter, HMI, Frequenzumrichter mit Netzwerkschnittstellen, AGV/AMR, Spritzgießmaschinen, Holzbearbeitungsmaschinen mit digitalen Steuerungen, vernetzte Maschinen mit Fernüberwachung oder Telemetrie. Im Wesentlichen jede Maschine mit Software oder Netzwerkkonnektivität.
Wichtige Fristen
11. September 2026: ENISA-Schwachstellenmeldepflicht beginnt. Hersteller von Maschinen mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden.
20. Januar 2027: Volle Anwendung der EU-Maschinenverordnung. Cybersicherheitsnachweise in der technischen Dokumentation gemäß Anhang III §1.1.9 erforderlich.
11. Dezember 2027: Vollständige CRA-Durchsetzung. Alle Produkte mit digitalen Elementen müssen die grundlegenden Cybersicherheitsanforderungen erfüllen.
Der entstehende Standard: prEN 50742
prEN 50742 ist der europäische Normentwurf zum Schutz vor Korrumpierung in Maschinen und enthält technische Spezifikationen zur Umsetzung der Anforderungen aus §1.1.9 der Maschinenverordnung. Es sind zwei Konformitätspfade vorgesehen: ein eigenständiger Ansatz sowie die Integration mit IEC 62443 für Hersteller, die bereits in diesem industriellen Cybersicherheitsrahmen arbeiten. Nach der Veröffentlichung als harmonisierte Norm schafft die Konformität mit prEN 50742 eine Konformitätsvermutung hinsichtlich der Cybersicherheitsanforderungen der Maschinenverordnung. Die Veröffentlichung wird für Ende 2026 erwartet.
Was wir abdecken und was nicht
CRA Evidence deckt die Cybersicherheits-Compliance-Aspekte der Maschinenverordnung ab: SBOMs, HBOMs, Schwachstellenverfolgung, Risikobewertung, ENISA-Meldungen, CE-Kennzeichnungsdokumentation und Digitale Produktpässe.
Für mechanische Sicherheit, elektrische Sicherheit, Lärm, Vibrationen und andere nicht-cyber-bezogene Anforderungen der Maschinenverordnung wenden Sie sich an Ihren bestehenden Compliance-Prozess. CRA Evidence adressiert die Cybersicherheits-Schnittstelle — nicht den vollständigen Umfang der Maschinenverordnung.
Offizielle Quellen
- EU-Maschinenverordnung (EU) 2023/1230, EUR-Lex. Amtsblatt, verabschiedet am 14. Juni 2023, gilt ab 20. Januar 2027
- Maschinenwesen, Europäische Kommission. Leitlinien und Umsetzungsressourcen der GD GROW
- Cyber Resilience Act (EU) 2024/2847, EUR-Lex. Vollständige Durchsetzung ab 11. Dezember 2027
Bereit, Ihre CRA-Compliance-Reise zu beginnen?
September 2026 ist näher als es aussieht. Beginnen Sie noch heute mit der Dokumentation der Cybersicherheitsnachweise Ihrer Maschinen.