Cyber Resilience Act (CRA): Anforderungen, Fristen und die Rolle der Cyber Risikobeurteilung

Mit der Verordnung (EU) 2024/2847 („Cyber Resilience Act“, CRA) werden erstmals verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen eingeführt.

Cybersicherheit wird damit nicht mehr nur „empfohlen“, sondern zu einem prüfbaren Bestandteil der CE Konformitätsbewertung.

Die vollständige Anwendung erfolgt ab 11. Dezember 2027.

 

Die Frist, die viele unterschätzen

Ein häufiger Fehler in der Praxis: Der Fokus liegt ausschließlich auf 2027.

Tatsächlich entscheidend ist jedoch:

Ab 11. September 2026 sind aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle verpflichtend zu melden. 

Das bedeutet:

  • Die Anforderungen greifen operativ bereits über ein Jahr früher
  • Unternehmen müssen zu diesem Zeitpunkt prozessual vorbereitet sein
  • Ohne strukturierte Abläufe besteht ein erhebliches Risiko von Verstößen

Genau hier zeigt sich in vielen Projekten:
Die größte Herausforderung ist nicht das Verständnis der Regelung, sondern die praktische Umsetzung im Unternehmen.

Welche Produkte sind betroffen?

Der CRA gilt für alle Produkte mit digitalen Elementen, die:

  • eine Datenverbindung ermöglichen
  • softwarebasiert funktionieren 

Damit sind insbesondere betroffen:

  • Maschinen und Anlagen mit Steuerungen
  • Embedded Systeme
  • IoT‑fähige Komponenten
  • Softwarelösungen  

Gerade im Maschinenbau wird der Anwendungsbereich häufig unterschätzt.

CE bleibt – wird aber deutlich anspruchsvoller

Der CRA ersetzt bestehende Richtlinien nicht, sondern erweitert sie.
Zu berücksichtigen sind weiterhin u. a.:

  • EMV
  • Niederspannung
  • Funkanlagenrichtlinie (RED)
  • RoHS  

Neu ist:
Cybersicherheit wird zu einem integralen Bestandteil dieser Bewertung.

Der zentrale Hebel: Cyber Risikobeurteilung

Kernanforderung des CRA ist die verpflichtende Durchführung einer:

Cybersicherheits‑Risikobeurteilung (Cyber‑RBU) 

Im Unterschied zur klassischen Risikobeurteilung bedeutet das:

  • Angriffsszenarien müssen betrachtet werden
  • Schwachstellen systematisch bewertet werden
  • Auswirkungen auf IT‑Sicherheit analysiert werden

Und genau hier entsteht häufig die größte Unsicherheit:

  • Welche Methodik ist geeignet?
  • Wie detailliert muss bewertet werden?
  • Wie wird das in bestehende CE‑Prozesse integriert?

Strukturierte Umsetzung: IEC 62443 als Praxisgrundlage

Für die strukturierte Umsetzung hat sich die Normenreihe IEC 62443 im industriellen Kontext etabliert.

Besonders relevant für die Cyber‑RBU sind:

Sicherheitsrisikobeurteilung und Systemgestaltung

Diese Norm beschreibt:

  • die systematische Durchführung der Cyber‑Risikobeurteilung
  • die Identifikation und Bewertung von Bedrohungen
  • die Ableitung geeigneter Maßnahmen

Sie bildet die methodische Grundlage für das, was der CRA fordert.

Systemanforderungen und Security Level

Diese Norm definiert:

  • konkrete Sicherheitsanforderungen an Systeme
  • die Einteilung in Security Level
  • die Umsetzung der Risiken in technische Maßnahmen

Vereinfacht gesagt:

  • 62443‑3‑2 → Risiko verstehen
  • 62443‑3‑3 → Anforderungen umsetzen

Genau diese Kombination ist in der Praxis entscheidend, um:

  • CRA‑Anforderungen nachvollziehbar umzusetzen
  • dokumentationsfähig zu arbeiten
  • und auditfähig zu bleiben
Aus der Praxis zeigt sich immer wieder

Realität in Unternehmen

Typische Situationen sind:

  • Cyber-Risiken sind nicht systematisch bewertet
  • Verantwortlichkeiten sind unklar
  • vorhandene CE‑Prozesse decken Cyber nicht ab
  • Dokumentation ist nicht ausreichend strukturiert

Ergebnis:

  • hoher Zeitdruck kurz vor Fristen
  • Unsicherheiten gegenüber Kunden und Behörden

unnötiger Mehraufwand

Fazit

Der CRA ist kein IT-Thema – sondern ein Strukturthema

Der Cyber Resilience Act verändert nicht nur Anforderungen, sondern ganze Prozesse.

Entscheidend ist:

  • frühzeitig starten
  • strukturiert vorgehen
  • und eine klare Methodik festlegen

Genau das trennt in der Praxis:

  • „noch in Diskussion“
    von
  • „bereits umsetzungsfähig“

Ihr nächster Schritt: Klarheit statt Unsicherheit

Wenn Sie sich aktuell fragen:

  • „Wie bauen wir die Cyber‑RBU konkret auf?“
  • „Welche Anforderungen gelten für unsere Produkte?“
  • „Sind wir für 2026 bereits vorbereitet?“

dann sind Sie genau an dem Punkt, an dem viele Unternehmen stehen.

Unterstützung von einem Dienstleister?

SL innovativ begleitet Sie strukturiert bei der Umsetzung

  • CRA‑Schulungen (praxisnah & normenbasiert)
  • Workshops zur Cyber‑Risikobeurteilung (inkl. IEC 62443‑Ansatz)
  • Unterstützung bei technischer Dokumentation & CE‑Integration
  • Aufbau von Schwachstellen- und Meldeprozessen

Ziel ist nicht nur Verständnis – sondern eine direkte Umsetzbarkeit in Ihren Projekten.

Sprechen Sie uns an – wir bringen Struktur in Ihre CRA‑Umsetzung.

Unverbindliches Angebot anfordern

oder unter info@sl-i.de / +49 9851 58258-0 beraten lassen.

Angebot anfordern

Ihr Ansprechpartner

Entdecken Sie unsere vielseitigen Dienstleistungen in der Technischen Dokumentation für Ihr Unternehmen. Von der Erstellung bis zur Archivierung, Herr Eifert ist bereit, Sie auf Ihrer Reise zur CRA Beratung zu begleiten.


Felix Eifert
Sicherheitsingenieur

Telefon: +49 (0)9851-58 258 32
Mail: f.eifert@sl-i.de

 

Sicherheitsingenieur / Projektleitung Risikobeurteilung