Cyber Resilience Act: Mittelstand unter Zugzwang

Der Cyber Resilience Act macht Cybersicherheit zur Herstellerpflicht – und für den Mittelstand zum Finanzierungs- und Bonitätsthema.

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung und gilt unmittelbar. Hersteller von Produkten mit digitalen Elementen müssen Security by Design, Update-Pflichten und Meldepflichten erfüllen. Für den industriellen Mittelstand wird Cybersicherheit damit zum Produkthaftungs- und Finanzierungsthema. Wer Pflichten ignoriert, riskiert Marktzugang, Reputation und am Ende auch Bonität.

Für kapitalmarktorientierte Mittelständler verschiebt sich damit ein Thema, das lange als reine IT-Frage galt, in die Bilanz und in die Investorenkommunikation. Wer Anleihen begibt, mit Banken über Covenants verhandelt oder von einer Ratingagentur bewertet wird, sollte die neuen Herstellerpflichten kennen. Gerade der Cyber Resilience Act im Maschinenbau zeigt, dass Cybersicherheit kein Nischenthema mehr ist, sondern ein Baustein von Due Diligence, Risikoprämien und Reputationsmanagement sein kann.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen festlegt. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, ohne den Umweg über nationale Umsetzungsgesetze. Adressiert sind Hersteller, Importeure und Händler, die Hardware- oder Softwareprodukte mit digitalen Bestandteilen auf dem EU-Binnenmarkt in Verkehr bringen.

Der Kerngedanke lautet, dass Cybersicherheit über den gesamten Lebenszyklus eines Produkts adressiert werden soll, von der Konzeption über die Auslieferung bis zum Support-Ende. Für die Industrie bedeutet das eine Zäsur. Nicht mehr nur die IT-Abteilung des Betreibers ist in der Verantwortung, sondern auch der Hersteller selbst trägt Verantwortung für die Sicherheitseigenschaften des Produkts. Aus dieser Verlagerung ergeben sich neue Anforderungen an Prozesse, Dokumentation und Governance, die insbesondere für Vorstände und Aufsichtsgremien im Mittelstand an Relevanz gewinnen.

Wichtige Termine im Überblick: Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten greifen ab dem 11. September 2026. Voll anwendbar ist die Verordnung ab dem 11. Dezember 2027.

Welche Produkte und Hersteller betrifft der CRA?

Der Anwendungsbereich ist bewusst breit gefasst. Erfasst werden Produkte, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz haben. Damit fallen sowohl klassische Software als auch vernetzte Hardware unter die Verordnung, von der Consumer-IoT-Kamera über industrielle Steuerungen bis zu Softwarekomponenten in Maschinen.

Produkte mit digitalen Elementen

Unter „Produkte mit digitalen Elementen“ fallen Hardware- und Softwareprodukte einschließlich ihrer Datenfernverarbeitungslösungen. Das reicht von Betriebssystemen, Firmware und Bibliotheken bis zu Endgeräten und industriellen Komponenten. Bestimmte Kategorien mit erhöhtem Risiko werden als „wichtige“ oder „kritische“ Produkte eingestuft und unterliegen strengeren Konformitätsverfahren.

Auch Maschinen und Komponenten betroffen

Für den Maschinen- und Anlagenbau ist der CRA doppelt relevant. Steuerungen, Sensorik, Edge-Devices, HMIs und die zugehörige Software fallen unter die Verordnung. Parallel greift die EU-Maschinenverordnung 2023/1230, die die bisherige Maschinenrichtlinie 2006/42/EG ablöst und ab dem 20. Januar 2027 verbindlich anzuwenden ist. Sie integriert Cybersicherheit ausdrücklich in die Maschinensicherheit. Beide Regelwerke greifen ineinander, sind aber nicht identisch. Der CRA adressiert die digitalen Elemente eines Produkts, die Maschinenverordnung die Maschinensicherheit als Ganzes, inklusive Schutz gegen Manipulation von Steuerungssoftware.

Welche Pflichten schreibt der CRA vor?

Die Herstellerpflichten des CRA lassen sich in drei Blöcke gliedern. Sicherheit im Design, Pflege über den Lebenszyklus und Transparenz bei Schwachstellen. Alle drei Blöcke müssen dokumentiert und bei einer Marktüberwachung nachweisbar sein.

Security by Design

Produkte müssen so konzipiert, entwickelt und hergestellt werden, dass sie ein angemessenes Cybersicherheitsniveau bieten. Dazu gehören etwa sichere Standardkonfigurationen, Schutz vor unbefugtem Zugriff, Verschlüsselung sensibler Daten, Minimierung der Angriffsfläche und der Grundsatz „secure by default“. Für industrielle Umgebungen ist eine saubere Trennung zwischen OT und IT ein zentrales Thema. Produktionsnetze haben andere Verfügbarkeits- und Echtzeitanforderungen als klassische Büro-IT. Als fachliche Orientierung wird häufig die Normenreihe IEC 62443 herangezogen, im Anlagenkontext beispielsweise IEC 62443-3-3 SL2.

Update- und Supportpflichten

Der Hersteller muss Sicherheitslücken über einen angemessenen Zeitraum beheben und Sicherheitsupdates bereitstellen. Der Support-Zeitraum orientiert sich an der erwarteten Nutzungsdauer des Produkts und beträgt laut CRA im Regelfall mindestens fünf Jahre. Er muss transparent kommuniziert werden. Für Maschinenbauer bedeutet das, dass lange Produktlebenszyklen belastbare Prozesse für Patch-Management, Kompatibilitätstests und die sichere Verteilung von Updates erfordern, auch auf Anlagen, die in schwer erreichbaren Umgebungen laufen.

Meldepflichten bei Schwachstellen

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen kurzfristig gemeldet werden. Die Meldung erfolgt zentral über die CRA Single Reporting Platform (SRP), die von der ENISA betrieben wird und die Informationen an das zuständige nationale CSIRT weiterleitet. Vorgesehen sind gestaffelte Fristen mit 24 Stunden für die Frühwarnung, 72 Stunden für die Vollmeldung und 14 Tagen für den Abschlussbericht bei Schwachstellen. Für schwerwiegende Vorfälle gilt ein Abschlussbericht innerhalb eines Monats. Hersteller brauchen dafür etablierte Prozesse. Ein funktionierendes Vulnerability-Management, eine klare Verantwortlichkeit für Coordinated Vulnerability Disclosure und geübte Meldeketten.

Was unterscheidet den CRA von NIS2?

CRA und NIS2 werden häufig verwechselt, sind aber unterschiedliche Instrumente. Der CRA ist eine Verordnung, die Produktpflichten regelt und unmittelbar gilt. NIS2 ist eine Richtlinie, die Unternehmenspflichten für „wesentliche“ und „wichtige“ Einrichtungen enthält und über nationale Gesetze in Kraft gesetzt wird. Beide Regelwerke ergänzen sich. Der CRA adressiert die Sicherheit von Produkten, NIS2 die Absicherung von Betreiberorganisationen.

Warum wird Cybersecurity zum Finanzierungs- und Bewertungsthema?

Für Investoren, Banken und Ratingagenturen ist Cybersicherheit längst kein weiches Thema mehr. Sie kann in die Bewertung von Emittenten und Kreditnehmern einfließen, über mehrere Kanäle.

Ein erster Kanal ist die Due Diligence. Wer eine Anleihe emittiert oder ein Bankkonsortium für einen Konsortialkredit gewinnen will, muss zunehmend Auskunft über sein Cyber-Risikoprofil geben. Fragen zu Meldeprozessen, Patch-Zyklen, Lieferketten und Regulatorik-Compliance sind heute üblich. Ein Hersteller, der die CRA-Pflichten nicht sauber adressiert, muss in Investorenprospekten entsprechende Risiken benennen, was auf die Wahrnehmung des Papiers wirken kann.

Hinzu kommen die Risikoprämien. Cyber-Risiken können in interne Ratingmodelle von Banken und in die Analysen von Ratingagenturen einfließen. Ein Vorfall mit Produkthaftungsdimension oder ein Marktzugangsverbot kann Umsatzströme empfindlich treffen. Solche Szenarien können sich in Kupons und Spreads niederschlagen.

Auch bei Covenants zeigt sich die Wirkung. In Anleihebedingungen und Kreditverträgen finden sich häufig Klauseln zu wesentlichen regulatorischen Verstößen und zu Ereignissen mit erheblichem Reputationsschaden. Ein publik gewordener CRA-Verstoß oder ein nicht gemeldeter, groß gewordener Sicherheitsvorfall kann solche Klauseln berühren.

Schließlich zählt die Reputation. Für den Mittelstand, der stark von Vertrauen bei Anlegern, Kunden und Beschäftigten lebt, sind Cybervorfälle ein relevantes Reputationsrisiko. Anleiheemittenten kommunizieren regelmäßig mit ihren Investoren. Ein sichtbarer Sicherheitsvorfall belastet diese Kommunikation und kann Refinanzierungsfenster verschieben.

Compliance mit dem CRA ist damit nicht nur eine Rechtspflicht, sondern kann ein handfester Werttreiber sein. Wer belegen kann, dass Security by Design, Vulnerability-Management und Meldeprozesse sauber laufen, verbessert seine Ausgangslage in Due-Diligence-Prozessen und stärkt die eigene Verhandlungsposition gegenüber Fremdkapitalgebern.

Wie bereiten sich Hersteller pragmatisch vor?

Der Weg zur CRA-Konformität ist kein Big-Bang-Projekt, sondern ein strukturierter Prozess. Für mittelständische Hersteller haben sich folgende Schritte bewährt. Sie können damit Schritt für Schritt vorgehen, ohne bestehende Entwicklungsprozesse komplett neu aufzusetzen.

Produktinventar und Scoping. Welche Produkte fallen unter den CRA? Welche gelten möglicherweise als „wichtig“ oder „kritisch“? Wo sind Softwarekomponenten und Drittanbieter-Bibliotheken im Einsatz?

– Gap-Analyse gegen die Anforderungen. Wo stehen Prozesse, Dokumentation und technische Maßnahmen heute? Ein Abgleich gegen etablierte Standards wie IEC 62443-3-3 SL2 liefert eine belastbare Orientierung.

– Security by Design im Entwicklungsprozess verankern. Threat Modeling, sichere Standardkonfigurationen, Härtung, Software-Bill-of-Materials (SBOM) und Coderichtlinien werden Teil des regulären Engineerings.

– Vulnerability-Management aufbauen. Ein klar definierter Prozess für Meldungen, Bewertung, Fixes und Kommunikation, inklusive Coordinated Vulnerability Disclosure und Anbindung an die Meldeketten Richtung ENISA und nationalem CSIRT.

– Update- und Supportstrategie definieren. Wie lange werden welche Produkte unterstützt? Wie werden Updates sicher verteilt und dokumentiert?

– Sicheren Remote-Service etablieren. Fernzugriffe auf Maschinen sind heute weit verbreitet und sollten auditierbar, rollenbasiert und sauber protokolliert erfolgen. Spezialisierte Plattformen für sicheren, auditierbaren Maschinenservice können hier ein Baustein der Umsetzung sein, wie eine praxisnahe Einordnung zum Cyber Resilience Act im Maschinenbau zeigt.

– Governance und Rollen klären. Verantwortlichkeiten zwischen Produktmanagement, Entwicklung, Service, IT-Security und Recht müssen sitzen, inklusive Berichtslinien in die Geschäftsleitung.

– Dokumentation und Konformitätsbewertung. Technische Dokumentation, Risikobewertung und Konformitätserklärung müssen belastbar sein. Sie sind die Grundlage für CE-Kennzeichnung und Marktüberwachung.

Fachlich flankiert wird der Prozess von Publikationen der ENISA, des BSI, des Branchenverbands VDMA sowie der Informationsangebote der EU-Kommission zur Digitalstrategie. Den Rechtstext des Cyber Resilience Act selbst zu lesen, lohnt sich für Verantwortliche in Produktmanagement, Recht und Compliance.

Foto: © freepik.com

FAQ

Was ist der Cyber Resilience Act einfach erklärt?

Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen festlegt. Sie richtet sich an Hersteller, Importeure und Händler und gilt unmittelbar in allen Mitgliedstaaten. Zentrale Bausteine sind Security by Design, Update-Pflichten über den Lebenszyklus und die Meldung ausgenutzter Schwachstellen.

Wen betrifft der CRA?

Betroffen sind Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen auf dem EU-Binnenmarkt in Verkehr bringen, von Softwareanbietern über Consumer-IoT-Hersteller bis zum Maschinen- und Anlagenbau. Für einzelne Produktkategorien mit erhöhtem Risiko gelten zusätzliche Anforderungen an die Konformitätsbewertung.

Was fordert der Cyber Resilience Act von Maschinenherstellern?

Maschinenhersteller müssen ihre digitalen Komponenten nach dem Prinzip Security by Design entwickeln, sichere Standardkonfigurationen bereitstellen, Sicherheitsupdates über einen angemessenen Zeitraum liefern und Schwachstellen kurzfristig an die zuständigen Behörden melden. Zusätzlich sind technische Dokumentation und Konformitätsbewertung Pflicht.

Was ist der Unterschied zwischen CRA und NIS2?

Der CRA ist eine Verordnung mit Produktpflichten für Hersteller und gilt unmittelbar. NIS2 ist eine Richtlinie mit Unternehmenspflichten für Betreiber wesentlicher und wichtiger Einrichtungen und wird national in Gesetze umgesetzt. Der CRA regelt, dass Produkte sicher gebaut werden, NIS2 regelt, dass Organisationen ihre Prozesse absichern.

Was ändert sich mit der Maschinenverordnung gegenüber der Maschinenrichtlinie?

Die EU-Maschinenverordnung 2023/1230 löst die Maschinenrichtlinie 2006/42/EG ab und ist ab dem 20. Januar 2027 verbindlich anzuwenden. Neu ist unter anderem, dass Cybersicherheit ausdrücklich Teil der Maschinensicherheit wird, insbesondere der Schutz von Steuerungssoftware gegen Manipulation. Als Verordnung gilt sie unmittelbar, nationale Umsetzungsgesetze entfallen.

Warum interessiert Cybersecurity auch Investoren und Fremdkapitalgeber?

Cyber-Risiken können in Due Diligence, Rating- und Bepreisungsmodelle einfließen. Regulatorische Verstöße, nicht gemeldete Vorfälle oder Produkthaftungsfälle können Marktzugang und Umsatz treffen und in Anleihebedingungen enthaltene Klauseln berühren. Eine belastbare CRA-Compliance kann Risikoaufschläge senken und die Position bei Refinanzierungen stärken.

Wie können sich mittelständische Hersteller vorbereiten?

Sinnvoll ist ein strukturierter Fahrplan mit Produktinventar, Gap-Analyse gegen Standards wie IEC 62443-3-3 SL2, Verankerung von Security by Design in der Entwicklung, Aufbau von Vulnerability-Management und Meldeprozessen, sicheren Fernzugriffen sowie belastbarer Governance und Dokumentation. Erfahrungswerte aus etablierten Standards und Publikationen von ENISA, BSI und VDMA helfen bei der Priorisierung.

Fazit

Der Cyber Resilience Act verlangt von Herstellern, Cybersicherheit als Produkteigenschaft zu denken, von der ersten Konstruktionszeichnung bis zum letzten Sicherheitsupdate. Zusammen mit der EU-Maschinenverordnung 2023/1230 und den Vorgaben aus NIS2 entsteht ein Regelwerk, das Produkt-, Prozess- und Organisationsebene verzahnt. Für den industriellen Mittelstand ist das mehr als eine Compliance-Übung. Cybersicherheit kann zu einem sichtbaren Bewertungskriterium in Ratings, Due-Diligence-Prozessen und Anleiheemissionen werden. Wer die Anforderungen früh strukturiert angeht, verschafft sich zwei Vorteile gleichzeitig, nämlich regulatorische Sicherheit auf dem EU-Binnenmarkt und eine belastbare Erzählung gegenüber Investoren und Fremdkapitalgebern.

*) Robert Steininger ist Fachautor für u.a. Anlagestrategien und publiziert regelmäßig zu Fachthemen wie Online- und Investment-Strategien, Glücksspielthemen, Krypto und Verhaltensanalyse.

—————-

! NEU ! Die erste BondGuide Jahresausgabe 2026 ist erschienen (12.Mai): ‚Green & Transition Finance 2026‘ kann wie gewohnt kostenlos als e-Magazin oder pdf heruntergeladen werden.

Bitte nutzen Sie für Fragen und Meinungen Twitter – damit die gesamte Community davon profitiert. Verfolgen Sie alle Diskussionen & News zeitnaher auf Twitter@bondguide !