Wir. Unternehmen. Zukunft.

+49 9831 683940

Huettl Vierkorn Management Consulting Nuernberg Logo
Fernwartung
a
M

Cyber Resilience Act: Überblick, Fristen und Umsetzung für Industrie und Softwarehersteller

von | Apr. 27, 2026 | IT & OT Security, Management Consulting

Cyber Resilience Act: Überblick, Fristen und Umsetzung für Industrie und Softwarehersteller

Beratung & Information

Unser Blog ist als redaktionelles Facharchiv zu verstehen und folgt den Grundsätzen von Zeitungs- und Fachartikeln. Die Beiträge werden nicht fortlaufend aktualisiert, sondern bleiben aus Dokumentationsgründen im Archiv bestehen.

In dieser Rubrik stellen wir allgemeine Informationen für Unternehmer bereit. Die Inhalte dienen der Orientierung und geben den Stand zum jeweiligen Veröffentlichungsdatum wieder.

Bitte beachten Sie: Förderquoten, gesetzliche Rahmenbedingungen und technische Entwicklungen können sich jederzeit ändern. Die Beiträge sind daher nicht als verbindliche Beratung, sondern ausschließlich als allgemeine Information zu verstehen.

Für eine individuelle Beratung, die Ihre konkrete Situation und die aktuelle Rechts- und Förderlage berücksichtigt, wenden Sie sich bitte direkt an unser Team. Nehmen sie jederzeit gerne mit uns Kontakt auf.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Dazu zählen sowohl Softwareprodukte als auch vernetzte Systeme und industrielle Anwendungen.

Ziel ist ein einheitliches Mindestniveau an Cybersicherheit innerhalb der EU. Hersteller werden verpflichtet, ihre Produkte nicht nur sicher zu entwickeln, sondern auch über den gesamten Lebenszyklus hinweg abzusichern.

Damit verändert sich ein zentraler Grundsatz:
Cybersicherheit wird zur Voraussetzung für den Marktzugang.

Cyber Resilience Act: Wer ist betroffen?

Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen.

Dazu gehören insbesondere:

  • Softwarehersteller (z. B. Unternehmenssoftware, Plattformen, Apps)
  • Hersteller vernetzter Produkte (IoT-Geräte, Embedded Systeme)
  • Unternehmen im Maschinen- und Anlagenbau
  • Anbieter industrieller Automatisierungslösungen
  • Hersteller elektronischer Komponenten (z. B. Steuerungen, Gateways, Sensorik)
  • Anbieter digitaler Systeme in kritischen Infrastrukturen (z. B. Energie, Wasser, Produktion)
  • Hersteller von Consumer-Produkten mit Vernetzungsfunktion (z. B. Smart Home, Wearables)

Auch Unternehmen außerhalb der EU sind betroffen, sofern sie ihre Produkte im europäischen Markt vertreiben.

Entscheidend ist dabei nicht die Branche, sondern ob ein Produkt:

  • Software enthält oder
  • mit anderen Systemen oder Netzwerken verbunden werden kann

Damit ist der Anwendungsbereich des CRA bewusst breit gefasst und betrifft einen großen Teil der Industrie und Softwarelandschaft.

Cyber Resilience Act Fristen: Ab wann gelten die Anforderungen?

Der CRA ist seit Ende 2024 in Kraft. Die Umsetzung erfolgt gestaffelt:

  • 11. September 2026: Meldepflichten für Schwachstellen und Sicherheitsvorfälle
  • 11. Dezember 2027: vollständige Anwendung aller Anforderungen

Das bedeutet:
Unternehmen müssen ihre Prozesse bereits vor 2026 funktionsfähig aufgebaut haben.

Die eigentliche Umsetzungsphase liegt damit nicht in der Zukunft – sondern jetzt.

Cyber Resilience Act Anforderungen: Was Unternehmen konkret erfüllen müssen

Alle Produkte mit digitalen Elementen müssen ein Mindestmaß an Cybersicherheit erfüllen. Der CRA knüpft dabei an bestehende Mechanismen wie die CE-Kennzeichnung an, erweitert diese jedoch um verpflichtende Cybersecurity-Anforderungen.

Security by Design und Security by Default

Cybersicherheit muss bereits in der Entwicklung berücksichtigt werden. Produkte sind so zu konzipieren, dass Sicherheitsrisiken frühzeitig identifiziert und reduziert werden.

Gleichzeitig müssen Produkte im Auslieferungszustand sicher sein. Unsichere Standardkonfigurationen sind nicht mehr zulässig, Sicherheitsfunktionen müssen standardmäßig aktiviert sein.

SBOM: Transparenz über Softwarekomponenten

Der CRA verlangt die Erstellung einer Software Bill of Materials (SBOM). Sie dokumentiert alle verwendeten Softwarekomponenten und Abhängigkeiten innerhalb eines Produkts.

Die SBOM schafft Transparenz und ist Grundlage für:

  • Risikobewertung
  • Schwachstellenmanagement
  • Nachweisfähigkeit

Schwachstellenmanagement und Meldepflicht

Unternehmen müssen Sicherheitslücken systematisch erkennen, bewerten und beheben.

Zusätzlich gelten Meldepflichten für aktiv ausgenutzte Schwachstellen und sicherheitsrelevante Vorfälle. Diese müssen über eine zentrale Plattform (ENISA) gemeldet werden.

Konformität und CE-Kennzeichnung

Um Produkte in Verkehr zu bringen, müssen Hersteller nachweisen, dass alle Anforderungen erfüllt sind.

Dies erfolgt über eine Konformitätserklärung im Rahmen der CE-Kennzeichnung. Je nach Produkt erfolgt die Bewertung durch den Hersteller selbst oder durch eine externe, notifizierte Stelle.

Updatepflicht über den gesamten Lebenszyklus

Cybersicherheit endet nicht mit dem Verkauf. Hersteller müssen Sicherheitsupdates bereitstellen und Schwachstellen über den gesamten Supportzeitraum aktiv managen.

Der Supportzeitraum muss transparent kommuniziert werden und beträgt in der Praxis häufig mehrere Jahre.

Cyber Resilience Act Umsetzung: Was Unternehmen jetzt tun müssen

Die größte Herausforderung liegt nicht im Verständnis der Anforderungen, sondern in deren Umsetzung.

Unternehmen müssen:

  • ihre Produktlandschaft bewerten
  • bestehende Sicherheitsstrukturen analysieren
  • Anforderungen in konkrete Prozesse übersetzen
  • Verantwortlichkeiten definieren
  • technische und organisatorische Maßnahmen miteinander verzahnen

Der CRA zwingt Unternehmen dazu, Cybersicherheit strukturiert in Entwicklung, Betrieb und Organisation zu integrieren.

Cyber Resilience Act Beispiel: Umsetzung bei einem Softwarehersteller für Leitsysteme

Die praktische Umsetzung zeigt sich besonders deutlich bei Herstellern von SCADA- und Prozessleitsystemen.

Diese Systeme sind klar vom CRA betroffen, da sie vernetzt sind und zentrale industrielle Prozesse steuern.

In vielen Fällen existiert bereits eine Grundlage, etwa durch die Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001. Dadurch sind organisatorische Sicherheitsstrukturen und Governance etabliert.

Der CRA verlangt jedoch mehr:
Diese Strukturen müssen auf die Produktebene übertragen werden.

Hier gewinnt die Orientierung an IEC 62443 an Bedeutung. Diese internationale Norm ist speziell für industrielle Systeme entwickelt und adressiert Sicherheitsanforderungen entlang des gesamten Lebenszyklus.

Sie ermöglicht:

  • Integration von Security in Entwicklungsprozesse
  • strukturiertes Schwachstellenmanagement
  • klare Anforderungen an Systeme und Komponenten

Während ISO 27001 die Organisation adressiert, bringt IEC 62443 die notwendige Tiefe für Produkte und industrielle Systeme.

Cyber Resilience Act Beratung: Wie Unternehmen die Umsetzung angehen

Die eigentliche Herausforderung des Cyber Resilience Act liegt nicht in einzelnen Anforderungen, sondern in der Zusammenführung unterschiedlicher Sicherheitswelten.

In vielen Unternehmen treffen zwei Perspektiven aufeinander:

  • IT-Security mit Fokus auf Vertraulichkeit und Compliance
  • OT- und Betriebssicherheit mit Fokus auf Verfügbarkeit sowie den Schutz von Mensch und Anlage

Diese Unterschiede sind historisch gewachsen und führen in der Praxis häufig zu Reibungsverlusten. Während Safety-Systeme langfristig stabil ausgelegt sind, unterliegt Security einem kontinuierlichen Wandel.

Der CRA zwingt diese Welten zusammen. Cybersicherheit wird zu einer Schnittstelle zwischen IT, OT und Produktentwicklung.

Vor diesem Hintergrund hängt die Wahl geeigneter Standards stark vom jeweiligen Unternehmen ab.

Softwaregetriebene Organisationen verfügen häufig über etablierte Strukturen aus der IT-Security, etwa durch ISO 27001. Die Herausforderung besteht darin, diese auf die Produktebene zu übertragen.

In klassischen Industrie- und Produktionsumgebungen steht hingegen die Absicherung von Anlagen und Systemen im Vordergrund. Hier bietet die IEC 62443 eine passendere Grundlage, da sie gezielt Sicherheitsanforderungen für industrielle Systeme und deren Lebenszyklus definiert.

In hybriden Szenarien – etwa bei Herstellern von Leitsystemen – ist eine Kombination beider Ansätze erforderlich.

Der Cyber Resilience Act folgt dabei einer klaren Logik:
Er ist kein reines IT-Thema, sondern ein Integrationsproblem zwischen IT, OT und Produktentwicklung.

Eine effiziente Umsetzung entsteht daher nicht durch einen einzelnen Standard, sondern durch die gezielte Verzahnung bestehender Sicherheitsansätze.

Fazit: Cyber Resilience Act frühzeitig umsetzen

Der Cyber Resilience Act macht Cybersicherheit zur Voraussetzung für den Marktzugang.

Die zentrale Herausforderung liegt nicht im Verständnis, sondern in der strukturierten Umsetzung.

Unternehmen, die frühzeitig beginnen und bestehende Standards gezielt weiterentwickeln, schaffen sich klare Vorteile – sowohl regulatorisch als auch im internationalen Wettbewerb.

Ihr Ansprechpartner für die Umsetzung des Cyber Resilience Act (CRA)

Herr Christoph Ernst
ISMS-Consultant
📞 Tel.: 09831 – 683940
📩 Kennenlernen: Kontakt