Cyber Resilience Act

Cyber Resilience Act: Pflichten für Maschinenbauer

Der Cyber Resilience Act und die EU-Maschinenverordnung verändern die Maschinensicherheit: Hersteller müssen Cyberrisiken künftig systematisch bewerten, dokumentieren und technisch absichern.

Redaktion Produktion Redaktion Produktion

22. Juni 2026 - 10:26

Neue Regeln machen Cybersecurity zum Teil der Maschinensicherheit.

The Little Hut - stock.adobe.com

Summary: Schlegel-Experte Jürgen Leng erläutert, was der Cyber Resilience Act und die EU-Maschinenverordnung für Maschinenbauer bedeuten. Betroffen sind vernetzte Produkte mit digitalen Elementen in der EU. Cybersecurity wird damit Teil der Produktzulassung und der CE-Konformitätsbewertung.

Mit der EU-Maschinenverordnung 2023/1230 und dem Cyber Resilience Act entstehen neue Anforderungen an die Maschinensicherheit. Funktionale Sicherheit reicht künftig nicht mehr aus. Hersteller müssen auch Cyberrisiken systematisch berücksichtigen und dokumentieren.

Jürgen Leng, Business Development Manager bei Schlegel, erklärt: „Mit der neuen EU-Maschinenverordnung (EU) 2023/1230 und dem Cyber Resilience Act (CRA) wird Cybersicherheit erstmals zu einem verbindlichen Bestandteil der Maschinensicherheit. Neben der funktionalen Sicherheit müssen Hersteller künftig auch den Schutz vor Cyberrisiken systematisch berücksichtigen und dokumentieren.“ Eine zentrale Rolle spielt dabei der Schutz gegen Korrumpierung. Gemeint sind Manipulationen oder unbefugte Veränderungen an Maschinen, Software oder Parametern, die sicherheitsrelevante Funktionen beeinträchtigen können.

Auch interessant:

Welche Rolle der Schutz vor Korrumpierung spielt

Die Norm prEN 50742 „Schutz von Maschinen gegen Korrumpierung“ gibt Herstellern praxisnahe Leitlinien. Im Fokus stehen Zugriffsschutz für Maschinen und Steuerungen, die Absicherung externer Schnittstellen, Schutz vor manipulierten Softwareständen sowie die Integrität sicherheitsrelevanter Funktionen. Parallel verlangt der Cyber Resilience Act klare Nachweise über die Cybersecurity vernetzter Maschinen. Für Maschinenbauer bedeutet das: Cybersecurity wird künftig zu einem festen Bestandteil der Produktzulassung.

Cybersecurity über den gesamten Produktlebenszyklus

Der CRA verpflichtet Hersteller, Cybersicherheit von der Entwicklung bis zum Ende der Nutzung sicherzustellen. Dazu gehören

Security by Design & Default,
eine systematische Cyber-Risikobewertung,
Schwachstellenmanagement,
verpflichtende Sicherheitsupdates,
Transparenz über Softwarekomponenten einschließlich Open Source sowie
Meldepflichten bei schwerwiegenden Sicherheitsvorfällen.

Auch die Konformitätsbewertung verändert sich. Je nach Risikoklasse sind Selbstbewertungen oder externe Prüfungen erforderlich. Zudem werden die CRA-Anforderungen Teil der CE-Konformitätsbewertung.

Welche Produkte vom Cyber Resilience Act betroffen sind

Der CRA gilt für Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder vertrieben werden. Der Anwendungsbereich ist weit gefasst, weil er Produkte betrifft, die mit Netzwerken oder Geräten verbunden sind. Die Produkte werden in Risikoklassen eingeteilt. Entscheidend ist ihr mögliches Schadenspotenzial. Anwendungen in kritischen Infrastrukturen, industrieller Produktion oder im Energieumfeld fallen in höhere Risikokategorien. Für Hersteller werden die Verfahren zur Konformitätsbewertung damit umfassender und anspruchsvoller.

Der Zeitplan ist relevant

Die Meldepflicht für Schwachstellen und Sicherheitsvorfälle innerhalb des CRA tritt am 11. September 2026 in Kraft. Am 11. Dezember 2027 müssen alle neuen Produkte vollständig CRA-konform sein.

Sie wollen mehr über den Deutschen Maschinenbau-Gipfel erfahren? Klicken Sie hier!

Warum physische Schnittstellen zum Risiko werden

Das Gefährdungspotenzial ist bereits hoch. Laut Bitkom-Wirtschaftsbericht 2025 schätzten 72 Prozent der Befragten die Bedrohungslage als hoch ein. Rund 66 Prozent der deutschen Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl betroffen. Rund 70 Prozent der Angriffe werden der organisierten Kriminalität zugerechnet. Die Schadenshöhe durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen stieg von 2024 auf 2025 um fast 20 Milliarden auf 73,3 Milliarden Euro.

Experte Jürgen Leng erläutert Anforderungen und Folgen des CRA und warum externe Schnittstellen zu beachten sind.

Wie Schlegel offene Schnittstellen absichert

Externe Schnittstellen gelten als wichtiger Angriffspunkt. USB- oder Ethernet-Ports sind oft notwendige Servicezugänge, können aber auch Einfallstore für Schadprogramme, Datendiebstahl oder manipulierte Maschinenparameter sein. Schlegel hat dafür 2BSecure entwickelt. Es handelt sich um eine kompakte Hardwarelösung für USB-A-, USB-C- und Ethernet-Schnittstellen. Das System wird zwischen Schnittstelle und Endgerät installiert. Ports sind standardmäßig deaktiviert und lassen sich nur durch autorisierte Personen per Schlüsselschalter oder RFID gezielt freischalten.

Die Lösung ist für neue Maschinen und Bestandsanlagen ausgelegt. Sie soll sich ohne großen Aufwand in vorhandene Maschinen- und IT-Infrastrukturen einbinden lassen und folgt damit dem Prinzip Security by Design. Nach Angaben von Schlegel kann 2BSecure dazu beitragen, unbefugte Zugriffe und Manipulationen technisch zu begrenzen und Risiken nachweisbar zu reduzieren.

Mit Material von Schlegel