![](\"https:\/\/pilz-magazine.com\/de\/wp-content\/uploads\/sites\/23\/2025\/01\/Pilz-Portrait-Kuczera-Matthias-300x300.jpg\")
<\/figure>\n\n\n\n\n\u201eOhne Security ist eine Maschine samt getrof\u00adfener Safety-Ma\u00dfnahmen angreifbar und unge\u00adsch\u00fctzt.\u201c<\/p>\nMatthias Kuczera, Fach\u00adex\u00adperte f\u00fcr \u201eFunk\u00adtio\u00adnale Sicher\u00adheit \u2013 Normen\u201d bei Pilz<\/cite><\/blockquote>\n<\/div>\n\n\n\n
Betroffen sind damit Verbrau\u00adcher\u00adpro\u00addukte wie Smart\u00adphones, Laptops, Smart-Home-Ger\u00e4te, Smart\u00adwat\u00adches und vernetztes Spiel\u00adzeug. Auch B2B-Produkte wie Steue\u00adrungen und Sensoren fallen unter den CRA. Dar\u00fcber hinaus sind Soft\u00adware\u00adpro\u00addukte wie Betriebs\u00adsys\u00adteme betroffen.<\/p>\n\n\n\n
Wann m\u00fcssen die Vorgaben des Cyber Resi\u00adli\u00adence Act umge\u00adsetzt sein?<\/h5>\n\n\n\n
Der CRA ist eine EU-Verord\u00adnung und keine Richt\u00adlinie. Anders als die NIS-2-Richt\u00adlinie ist er somit direkt in allen EU-Mitglied\u00adstaaten anwendbar, eine natio\u00adnale Umset\u00adzung ist nicht erfor\u00adder\u00adlich. Es gibt jedoch eine \u00dcber\u00adgangs\u00adfrist. Die Umset\u00adzung des CRA soll in verschie\u00addenen Etappen von Ende 2024 bis zur verpflich\u00adtenden Anwen\u00addung ab 11. Dezember 2027 erfolgen. Die Melde\u00adpflichten der Hersteller gelten bereits ab dem 11. September 2026 und Vorgaben f\u00fcr die Noti\u00adfi\u00adzie\u00adrung von Konfor\u00admi\u00adt\u00e4ts\u00adbe\u00adwer\u00adtungs\u00adstellen sogar ab dem 11. Juni 2026.<\/p>\n\n\n\n
Was wird in dem rechts\u00adver\u00adbind\u00adli\u00adchen CRA konkret gefor\u00addert?<\/h5>\n\n\n\n
Die neue Verord\u00adnung verpflichtet Hersteller, Impor\u00adteure und den Handel. Alle Produkte, die digi\u00adtale Elemente beinhalten und das CE-Kenn\u00adzei\u00adchen tragen, m\u00fcssen ein ange\u00admes\u00adsenes Cyber\u00adsi\u00adcher\u00adheits\u00adni\u00adveau gew\u00e4hr\u00adleisten. Zusam\u00admen\u00adge\u00adfasst bedeutet dies, dass es konkrete Vorgaben zur Risi\u00adko\u00adbe\u00adwer\u00adtung und \u2011gew\u00e4hr\u00adleis\u00adtung, zum Schwach\u00adstel\u00adlen\u00adma\u00adnage\u00adment, zur Doku\u00admen\u00adta\u00adtion sowie zu den Melde\u00adpflichten gibt.<\/p>\n\n\n\n
Die wich\u00adtigsten Anfor\u00adde\u00adrungen im \u00dcber\u00adblick:<\/h2>\n\n\n\n
\n\nRisi\u00adko\u00adbe\u00adwer\u00adtung und \u2011gew\u00e4hr\u00adleis\u00adtung<\/h3>\n\n\n\n
\nHersteller m\u00fcssen Produkte so konzi\u00adpieren und entwi\u00adckeln, dass w\u00e4hrend des gesamten Produkt\u00adle\u00adbens\u00adzy\u00adklus ein ange\u00admes\u00adsenes Ma\u00df an Cyber\u00adsi\u00adcher\u00adheit gew\u00e4hr\u00adleistet ist.<\/p>\n<\/div>\n<\/div>\n\n\n\n
\nSchwach\u00adstel\u00adlen\u00adma\u00adnage\u00adment<\/h3>\n\n\n\n
\nBekannte Schwach\u00adstellen m\u00fcssen vom Hersteller durch kosten\u00adlose Sicher\u00adheits\u00adak\u00adtua\u00adli\u00adsie\u00adrungen besei\u00adtigt werden, sofern zwischen dem Hersteller und dem gewerb\u00adli\u00adchen Nutzer in Bezug auf ein ma\u00dfge\u00adschnei\u00addertes Produkt nichts anderes verein\u00adbart wurde.<\/p>\n<\/div>\n<\/div>\n\n\n\n
\nDoku\u00admen\u00adta\u00adtion<\/h3>\n\n\n\n
\nHersteller m\u00fcssen Schwach\u00adstellen und Kompo\u00adnenten ihrer Produkte iden\u00adti\u00adfi\u00adzieren und doku\u00admen\u00adtieren. Ein Teil dieser Doku\u00admen\u00adta\u00adtion umfasst die Erstel\u00adlung einer Soft\u00adware-St\u00fcck\u00adliste (auch bekannt als Soft\u00adware Bill of Mate\u00adrials, SBOM) in einem maschi\u00adnen\u00adles\u00adbaren Format.<\/p>\n\n\n\n
Es soll zudem doku\u00admen\u00adtiert sein, wie mit Sicher\u00adheits\u00adl\u00fc\u00adcken umge\u00adgangen wird, beispiels\u00adweise wann ein Hersteller Sicher\u00adheits\u00adup\u00addates f\u00fcr sein Produkt zur Verf\u00fc\u00adgung stellt.<\/p>\n<\/div>\n<\/div>\n\n\n\n
\nMelde\u00adpflichten<\/h3>\n\n\n\n
\nInner\u00adhalb 24 Stunden nach Bekannt\u00adwerden hat der Hersteller jede aktiv ausge\u00adnutzte Schwach\u00adstelle und jeden schwer\u00adwie\u00adgenden Sicher\u00adheits\u00advor\u00adfall \u00fcber die Melde\u00adplatt\u00adform der ENISA (Euro\u00adpean Union Agency for Cyber\u00adse\u00adcu\u00adrity) in Form einer Fr\u00fch\u00adwar\u00adnung zu melden. F\u00fcr eine weitere Detail\u00adlie\u00adrung hat der Hersteller bis zu 72 Stunden Zeit. Ein Abschluss\u00adbe\u00adricht muss inner\u00adhalb von 14 Tagen f\u00fcr jede aktiv ausge\u00adnutzte Schwach\u00adstelle bzw. inner\u00adhalb eines Monats f\u00fcr jeden schwer\u00adwie\u00adgenden Sicher\u00adheits\u00advor\u00adfall vorge\u00adlegt werden.<\/p>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n
<\/div>\n\n\n\nWelche Tipps haben Sie f\u00fcr Maschi\u00adnen\u00adher\u00adsteller?<\/h5>\n\n\n\n
Pilz unter\u00adst\u00fctzt seit Jahr\u00adzehnten Maschi\u00adnen\u00adbauer und Anwender bei der Sicher\u00adheit ihrer Maschinen und Anlagen \u2013 auch bei den neuen Anfor\u00adde\u00adrungen zum Thema Indus\u00adtrial Security. Denn ohne Security ist eine Maschine samt getrof\u00adfener Safety-Ma\u00dfnahmen angreifbar und unge\u00adsch\u00fctzt. Hier gilt es, Vorsor\u00adge\u00adma\u00df\u00adnahmen zu treffen. Wir empfehlen Maschi\u00adnen\u00adher\u00adstel\u00adlern, sich zeitnah mit den Anfor\u00adde\u00adrungen des CRA zu befassen und gemeinsam mit den Kompo\u00adnen\u00adten\u00adher\u00adstel\u00adlern und den Betrei\u00adbern Konzepte zur Zusam\u00admen\u00adar\u00adbeit zu entwi\u00adckeln. Zu den typi\u00adschen Fragen, die zwischen den Wirt\u00adschafts\u00adak\u00adteuren gekl\u00e4rt werden sollten, geh\u00f6ren: In welcher Netz\u00adwerk\u00adzone soll eine Maschine betrieben werden? Wie soll mit Soft\u00adware\u00adup\u00addates umge\u00adgangen werden? Wann endet der Support f\u00fcr Kompo\u00adnenten, in dem die Nutzer die Behe\u00adbung von Schwach\u00adstellen und den Erhalt von Sicher\u00adheits\u00adak\u00adtua\u00adli\u00adsie\u00adrungen erwarten k\u00f6nnen? Wann wird von einer \u201ewesent\u00adli\u00adchen Ver\u00e4n\u00adde\u00adrung\u201c an einer Maschine gespro\u00adchen?<\/p>\n\n\n\n
Erst wenn derar\u00adtige Fragen gekl\u00e4rt sind, kann jeder Wirt\u00adschafts\u00adak\u00adteur seine neuen orga\u00adni\u00adsa\u00adto\u00adri\u00adschen und tech\u00adni\u00adschen Pflichten erf\u00fcllen. Es ist zudem hilf\u00adreich, stets auf dem Laufenden zu bleiben. Abon\u00adne\u00adments von News\u00adlet\u00adtern und RSS-Feeds auf eur-lex.europa.eu halten \u00fcber Geset\u00adzes\u00ad\u00e4n\u00adde\u00adrungen auf EU-Ebene infor\u00admiert. Zudem empfehle ich das Common Security Advi\u00adsory Frame\u00adwork (CSAF) zur Umset\u00adzung der CRA-Vorgaben. Es ist ein stan\u00addar\u00addi\u00adsiertes und quell\u00adof\u00adfenes Frame\u00adwork zur Kommu\u00adni\u00adka\u00adtion und auto\u00adma\u00adti\u00adsier\u00adbaren Vertei\u00adlung von maschi\u00adnen\u00adver\u00adar\u00adbeit\u00adbaren Schwach\u00adstellen- und Miti\u00adga\u00adti\u00adons\u00adin\u00adfor\u00adma\u00adtionen, den soge\u00adnannten Security Advi\u00adsories.<\/p>\n\n\n\n