Hersteller oder Verkäufer, die in eigenem Namen zukünftig Geräte und Anlagen mit digitalen Komponenten auf den Markt bringen, sind zukünftig von einer EU-Gesetzgebung betroffen: dem Cyber Resilience Act (CRA). Ein automatisiertes Self-Assessment kann die Product Cybersecurity-Compliance, die Einhaltung der entsprechenden Standards überwachen und eine Zertifizierung unterstützen.
(Bild: chiradech/stock.adobe.com)
Der Cyber Resilience Act betrifft auch digital gesteuerte Produktionsanlagen, Montageroboter, CNC-Fräsen ebenso wie alle weiteren weniger sichtbaren Geräte in einer Infrastruktur: Router, Access Points, Handscanner, autonome Flurförderzeuge, Drucker und vieles mehr. Neben den Herstellern selbst stehen auch CEOs, Vorstände, CIOs und CISOs mit persönlicher Haftung zukünftig im Fokus. Für Hersteller und Verkäufer solcher Geräte sind regelmäßige Eigenkontrollen und ein stets aktueller Überblick über die Anforderungen unerlässlich, um hohe Bußgelder zu vermeiden und den Nutzern zudem ein höchstmögliches Maß an Sicherheit zu gewährleisten. Zertifizierungen schaffen Vertrauen im Wettbewerb. Mit einem automatisierten Self-Assessment kann die Einhaltung gängiger Standards wie dem CRA konsequent überwacht und eine Zertifizierung unterstützt werden.
Cyber Resilience Act
Die Zeit läuft bereits, das Europäische Parlament hat die geplante „Verordnung über horizontale Anforderungen an die Cybersicherheit von Produkten mit digitalen Komponenten“ angenommen. Die endgültige Verabschiedung des Cyber Resilience Act (CRA) wird als Formsache betrachtet. Der CRA wird künftig die Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten regeln und die Verantwortung dafür in die Hände der Hersteller und Inverkehrbringer legen. Die Erfüllung der Cybersicherheitsanforderungen wird künftig eine zentrale Voraussetzung für eine Wirtschaftstätigkeit im EU-Binnenmarkt sein. Als EU-Verordnung wird der CRA zudem unmittelbar in allen europäischen Mitgliedsstaaten gültig, sobald er final verabschiedet ist. Der Anwendungsbereich umfasst alle Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem anderen Gerät oder Netzwerk beinhaltet.
Komplett digital braucht Product Cybersecurity-Compliance
In der Fertigung gelten digitalisierte Produktionsanlagen bereits seit langem als Standard. Unter dem Begriff „Industrie 4.0“ sind praktisch alle Anlagen vernetzt und verfügen über digitale Steuerungssysteme. Hacker nutzen jedoch Sicherheitslücken in den Betriebssystemen der Anlagen, um Zugriff auf ein komplettes Netzwerk zu erlangen. Hinzu kommt die gesamte Infrastruktur, die ein modernes Industrieunternehmen am Leben hält: Router, Access Points, Drucker, Scanner, automatische Flurförderfahrzeuge und vieles mehr. Auch Software- und Hardwareprodukte sowie damit verbundene Cloud-Lösungen fallen unter die Regelungen des CRA, der erstmals das Prinzip „Security by Design“ im europäischen Technikrecht einführt und nicht nur auf den Zeitpunkt des Inverkehrbringens beschränkt. Die CRA-Konformität eines Produkts mit digitalen Elementen muss künftig während des gesamten Produktlebenszyklus gewährleistet sein und umfasst damit auch Firmware-Updates und Patches. Denn jede Änderung in den Tiefen der Software birgt das Risiko, eine bisher unerkannte Schwachstelle einzuschleusen.
Derzeit werden die Vorgaben des CRA weiter konkretisiert, um für die verschiedenen Produkt-Kritikalitätsklassen die zu erfüllenden Anforderungen an die Cybersicherheit sowie die den Nutzern bereitzustellenden Informationen und Anleitungen festzulegen. Zudem wird künftig eine erweiterte Produktdokumentation verpflichtend vorgeschrieben, um Geräte mit digitalen Komponenten herzustellen und zu vertreiben.
Software-Lieferschein
Zukünftig müssen alle Software-Bestandteile eines Geräts oder einer Anlage mit digitalen Elementen in einer Stückliste aufgeführt werden. Diese gilt es, über den Produktlebenszyklus zu pflegen. Automatisierte Prozesse sind dabei sinnvoll, um den Arbeitsaufwand zu reduzieren und Fehler zu vermeiden. Neuartige Software-as-a-Service-Lösungen können eine SBOM (Software Bill of Materials) automatisch erstellen und gleichzeitig eine direkte Risikoanalyse der enthaltenen Softwarekomponenten durchführen. Entdeckt werden so auch häufig gefährliche Zero-Day-Schwachstellen, die bereits seit Jahren unerkannt in Softwarebausteinen schlummern. Meist reicht einem Hacker ein verwundbares Gerät aus, um ein Netzwerk zu infiltrieren und Daten zu stehlen, Systeme zu manipulieren oder anderweitig zu schädigen.
Cybersecurity-Compliance: Bußgelder und Haftung
Die Anforderungen des CRA betreffen Risikobewertungen für Design, Entwicklung, Herstellung, Lieferung und Wartung von Produkten mit digitalen Elementen, Meldepflichten für Cybersicherheitsrisiken sowie Schwachstellenmanagement und Patches. Hersteller, aber auch Branchenverbände, sind künftig verpflichtet, die typische und branchenübliche Lebensdauer ihrer Produkte zu ermitteln – in der Regel liegt diese nach dem CRA bei mindestens fünf Jahren. Die Strafen für Verstöße – entdeckte Schwachstellen, gehackte Anlagen oder Zero-Day-Lücken – sind drastisch und können bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Die Umsetzungsfristen sind knapp bemessen. Zudem betreffen die Sanktionen nicht nur das Unternehmen selbst, sondern auch das leitende Management. Erste Unternehmen haben bereits reagiert und entsprechende Maßnahmen eingeleitet.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Maschinenbauer macht den Anfang
Ein mittelständisches Unternehmen, das für seine Produkte aktuelle vernetzte Steuerungstechnik von anderen Unternehmen bezieht und zu kompletten Lösungen zusammenfügt, erfüllt bereits jetzt die strengen neuen EU-Vorgaben. Dazu werden alle digitalen Komponenten der Produkte mit einer Product Cybersecurity & Compliance-Plattform analysiert und eine umfassende Risikobewertung durchgeführt. Die genutzte SaaS-Plattform ist in der Lage, sowohl aktuelle als auch mögliche zukünftige Schwachstellen – sogenannte Zero-Day-Exploits – zu identifizieren.
Als wichtigen Baustein seiner Cybersicherheitsstrategie erstellt und aktualisiert das Unternehmen eine SBOM (Software Bill of Materials), die einen transparenten Überblick über alle eingesetzten Softwarekomponenten bietet und die Anforderungen der EU erfüllt. Mit einem in der Plattform integrierten Compliance Wizard kann der Maschinenbauer zusätzlich seine Produkte gezielt gemäß vieler Compliance-Standards überprüfen. Das Self Assessment automatisiert komplexe Prozesse deutlich und macht Product Cybersecurity-Compliance auch für mittelständische Hersteller möglich.
Ein Reporting liefert dem Unternehmen alle relevanten Daten für eine Zertifizierung nach aktuellen und zukünftigen Standards durch eine unabhängige Prüfstelle: Neben dem EU Cyber Resilience Act umfasst das unter anderem die IEC 62443-4-2, ETSI EN 303 645 und UNECE R1 55. Für den mittelständischen Maschinen- und Anlagenbauer konnte das neue Verfahren nicht nur die Unsicherheit im Umgang mit den Richtlinien beseitigen, sondern auch die Kosten für die Cybersicherheit deutlich reduzieren. Gefundene Schwachstellen konnten bereits geschlossen werden – insgesamt ist das Sicherheitsniveau deutlich gestiegen. Der Hersteller profitiert durch die Maßnahmen auch von einem Wettbewerbsvorteil durch die frühzeitige Umsetzung der kommenden Cybersicherheitsregelungen.
:quality(80)/p7i.vogel.de/wcms/98/65/9865bb37efa18f890ba0381f5f1ebc1c/flexcompute-cadence-03-20-2026-01-3000x1687v1.jpeg "Symbolbild. (Bild: © ArtemisDiana/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/5a/905ad3ef4029c4f561e92e350a2d01c1/vertiv-ki-fabriken-03-20-2026-01-2560x1439v1.jpeg "KI-Fabriken: Simulationsfähige Modelle für Stromversorgungs- und Kühlungsinfrastruktur beschleunigen die Bereitstellung und minimieren Ausführungsrisiken. (Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/32/3c/323c6832bf58859c693be5be2c2ee783/uds-qiapo-3621x2035v1.jpeg "Der Physiker Peter P. Orth (links) und der Informatiker Markus Bläser erforschen im gemeinsamen Projekt QIAPO mit den Industriepartnern Infineon und BMW sowie dem Quanten-Start-up planqc, wie sich die Vorteile von klassischen Rechnern und Quantencomputern zusammenführen lassen. (Bild: © Thorsten Mohr/UdS)")
:quality(80)/p7i.vogel.de/wcms/30/80/30802bdfc6fec5aeec13c4e7685b9ac6/hexagon-geomagic-03-18-2026-01-1029x579v1.jpeg "Individuell angepasste Einlagen, erstellt mit Geomagic Freeform. (Bild: Mit freundlicher Genehmigung von Advanced 3D, via Hexagon.)")
:quality(80)/p7i.vogel.de/wcms/3a/68/3a68517c209ad45a524cd141cfdf4301/cadfem-antriebstechnik-experten-teaser-03-17-2026-01-1260x709v1.jpeg "Das Systemmodell bildet die Abstrahlleistung über den Hochlauf realitätsnah ab und nutzt dafür reduzierte elektromagnetische und mechanische Modelle. Der Workflow ist modular und lässt sich um Regelung, Applikation und weitere Komponenten erweitern. (Bild: Cadfem)")
:quality(80)/p7i.vogel.de/wcms/fb/ea/fbea636d89f7d81c23fbb4960b81d762/dn-20solutions-asc-03-04-2026-01-3228x1814v1.jpeg "DN Solutions eröffnet das neue Additive Solutions Center Europe in Gütersloh. Abgebildet sind v.l.n.r.: Markus Kottmann (Erster stellvertretender Bürgermeister der Stadt Gütersloh, CDU), Soonhyo Kwon (Leiterin Additive Manufacturing Korea bei DN Solutions) und Dr.-Ing. Vino Suntharakumaran (Vice President Additive Solutions bei DN Solutions). (Bild: DN Solutions)")
:quality(80)/p7i.vogel.de/wcms/59/10/5910b32f2a5f3dc2576866f20048c08f/machineering-iphysics-03-02-2026-01-2487x1400v1.jpeg "Das iPhysics Release 3.6 bietet zahlreiche Neuheiten. (Bild: vanitjan, machineering)")
:quality(80)/p7i.vogel.de/wcms/28/3e/283e08f9b812c4a452ab9f5bd0918680/mum-ai-20act-02-25-2026-01-2729x1536v1.jpeg "KI-generierter Werkzeugkoffer. In bestimmten Anwendungsfällen schreibt der EU AI Act Transparenzpflichten für KI-generierte Inhalte vor. Das Online-Seminar „KI für Einsteiger“ vermittelt grundlegendes Wissen zum Einsatz von KI-Tools, zum verantwortungsvollen Umgang mit KI-Systemen sowie zu den Anforderungen des EU AI Acts. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/86/f7/86f7fdf2dbe51a57f811ed8b4ba140ac/acm-2026-01-201-03-1536x864v1.jpeg "Mit Digitalisierung wächst der Bedarf an Rechenzentren. Drees & Sommer nutzt Autodesk Forma in den frühen Projektphasen. (Bild: Drees & Sommer)")
:quality(80)/p7i.vogel.de/wcms/99/01/99013d36d6a1a4d6998c15e1e1e2a36a/adobestock-1325405458-5760x3238v1.jpeg "Datengrundlagen, Schnittstellen zwischen Planung und Controlling sowie Prozesse neu denken. (Bild: AdobeStock/AndiAzis)")
:quality(80)/p7i.vogel.de/wcms/ad/2d/ad2d6ae5e023dcfffb245544095d0f7d/contelos-intergeo2025-08-18-2025-01-3000x1687v1.jpeg "Symbolbild. (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/55/9e55e665d8208b9ee44af7c6c13f8abb/esri-autodesk-20forma-06-26-2025-01-3000x1687v1.jpeg "Symbolbild: GIS-Anwendungen (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/7c/407cafe8eceed4900fad5ad5a47e0137/autodesk-forma-bmw-03-18-2026-02-2599x1463v1.jpeg "BIM-Planungsmodell der Energiezentrale im BMW Group Werk Irlbach-Straßkirchen, erstellt mithilfe von Autodesk Forma (10/2025). (Bild: BMW Group)")
:quality(80)/p7i.vogel.de/wcms/43/c0/43c07790623cb4556720682ef3d758d1/crm-whitepaper-vegefox-02-04-2026-01-3000x1687v1.jpeg "(Bild: © vegefox.com/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/25/9b25d3e3eb0a08d218c55e71ff32aa56/aveva-nvidia-ki-fabriken-03-17-2026-01-3111x1748v1.jpeg "Symbolbild. (Bild: © Grispb/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/e0/b7e06d0e5ef551e347582acbaba61856/bild1-841x473v1.jpeg "Die neue RINGSPANN-Kupplung GHF (li.) ist beidseitig verzahnt, eignet sich für Nenndrehmomente bis 304.538 Nm und gleicht Winkelverlagerungen von bis zu 3,50° aus. Die einseitig verzahnte Variante GHR (re.) überträgt bis zu 116.750 Nm und gleicht Winkelversätze bis 1,75° aus. (Bild: RINGSPANN)")
:quality(80)/p7i.vogel.de/wcms/56/05/56052a8e605cbbec5c42efb31d63f45a/synopsys-edt-platform-03-13-2026-01-1600x899v1.jpeg "(Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/0f/33/0f338f76e17bc7bea4f85a4ed3345520/stratasys-partnerprogrammv1.jpeg "Von links: Industrieller 3D-Drucker Stratasys F900 und automatisiertes FDM-Stützentfernungssystem PostProcess BASE. (Bild: Stratasys)")
:quality(80)/p7i.vogel.de/wcms/bb/ff/bbffd89f72a1f367a68ec0bbd9bf9a94/luft-raumfahrt-grl-andrey-20popov-1576883584-2811x1582v1.jpeg "Symbolbild. (Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/07/3e078c3466d132c4194edd5ec46c3ef2/hm25-13-000704-4000x2250v1.jpeg "(Bild: Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/ef/68/ef68cf62fcc009cb9ea0f1c7c199036d/ametek-faro-05-07-2025-01-3558x2003v1.jpeg "Symbolbild. (Bild: © oatawa/stock.adobe.com))")
:quality(80)/p7i.vogel.de/wcms/c0/cf/c0cfa4401f981f4b03aa1fbb092a7a41/visualcomponents-omniverse-screencap1-1920x1079v1.jpeg "Das neue Visual Components Omni Experience Add-on bietet Herstellern und Systemintegratoren fotorealistische Echtzeit-Visualisierungen in einem integrierten Viewport. (Bild: Visual Components)")
:quality(80)/p7i.vogel.de/wcms/b6/d5/b6d55bdbbe36dc6f1e33b293226b127b/moblurf-09-19-2025-01-1456x818v1.jpeg "Forschende haben MoBluRF entwickelt: ein zweistufiges Framework, das die Erstellung genauer, scharfer 4D-NeRFs (dynamisches 3D) aus unscharfen Videos ermöglicht, die mit alltäglichen Handheld-Geräten aufgenommen wurden. (Bild: Chung-Ang University)")
:quality(80)/p7i.vogel.de/wcms/1a/b7/1ab75c184a78d2cdaa605b61721c9a48/reichelt-20elektronik-reinwald-08-06-2025-01-3000x1687v1.jpeg "Christian Reinwald, Head of Product Management & Marketing bei Reichelt Elektronik. (Bild: Reichelt Elektronik)")
:fill(fff,0)/p7i.vogel.de/companies/69/b2/69b2e05867134/logo-heidrive-allient-rgb.png "logo-heidrive-allient-rgb (Heidrive GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9c/699c40fb3b723/cadt-logo-500x500px.png "cadt-logo-500x500px ((C) CAD+T Solutions GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/15/0d/150d6d229bb1e9cd950df97a4aa8af6f/cra-onekey-02-05-2026-01-3553x2000v1.jpeg "Symbolbild. (Bild: © PX Media)")
:quality(80)/p7i.vogel.de/wcms/de/cf/decf5083a694c93df2dcb7dbcbbb1d88/bosch-20rexroth-ctrlx-20os-10-07-2025-01-2727x1535v1.jpeg "Das Linux-basierte Betriebssystem ctrlX OS bietet zahlreiche Neuerungen. (Bild: Bosch Rexroth AG)")