4. Juni 2025
7 MIN.
In diesem Beitrag
Hersteller müssen sich jetzt für den CRA rüsten
Überblick: Bußgelder und weitere Sanktionsmöglichkeiten
im CRA
Zielgerichtete Maßnahmen für Industrieunternehmen
- 1. Vollständige Risikoanalyse: der Blick in den Spiegel
- 2. Sicherheitskompetenzen aufbauen: Wissen ist Verteidigung
- 3. Incident Response-Team etablieren: Reaktionsschnelligkeit ist Überlebensstrategie
Mit Expertise zum Ziel: Lassen Sie sich begleiten von denen, die Sicherheit bereits leben
CRA-Compliance meistern: Wie die Industrie jetzt Stärke zeigt
Das Jahr 2025 markiert einen Wendepunkt: die EU macht Ernst mit Cybersicherheit. Mit dem Cyber Resilience Act (CRA) zwingt sie Industrieunternehmen, sich neu zu erfinden – sicherer, widerstandsfähiger, zukunftsorientierter. Es geht nicht mehr um Empfehlungen, sondern es geht um Pflicht und Verantwortung. Jetzt ist die Zeit zu handeln.
Hersteller müssen sich jetzt für den CRA rüsten
Cybersicherheit ist 2025 kein Schlagwort mehr, sie ist Realität. Und: Sie ist Pflicht, insbesondere in der EU. Mit der in Umsetzung befindlichen NIS-2-Richtlinie und dem Ende 2024 in Kraft getretenen Cyber Resilience Act (CRA) verpflichtet die EU-Kommission weite Teile der Wirtschaft zu umfassenden Maßnahmen sowohl auf organisatorischer Ebene, als auch in Produktentwicklung und -design. Im Vergleich zu früheren Rahmenwerken ziehen die Sanktionsbefugnisse der zuständigen Behörden drastisch an, bis hin zur persönlichen Haftung der Geschäftsführung. Klar ist: Cyberresilienz ist kein Nice-to-have mehr, sondern wird als zentraler Baustein für die zukünftige Handlungsfähigkeit der EU gesetzt.
Was bedeutet das für Ihr Unternehmen? In unserem vorherigen Artikel zum CRA haben wir bereits untersucht, welche Anforderungen Produkte mit digitalen Elementen, die in der EU hergestellt oder vertrieben werden, zukünftig über ihren gesamten Lebenszyklus hinweg erfüllen müssen. In diesem Beitrag beschäftigen wir uns mit den Folgen des neuen Regelwerks und zeigen auf, wie Sie sich jetzt positionieren können, um mit den neuen Geschäftsrisiken umzugehen. Besonders auf den produzierenden Sektor, der typischerweise Produktionseffizienz und Maschinenverfügbarkeit über Cybersicherheit priorisiert, kommen jetzt Umstellungen zu.
Überblick: Bußgelder und weitere Sanktionsmöglichkeiten im CRA
Wir haben die umfassenden Rechtsfolgen des CRA und auch der NIS-2 in vergangenen Artikeln bereits angeschnitten. Doch ein kurzer Überblick genügt, um zu verdeutlichen, die EU macht ernst – und zwingt Unternehmen zum Handeln:
Bei Verstößen gegen die Vorschriften drohen Bußgelder bis zu 15 Millionen Euro oder 2,5% des weltweiten Umsatzes des Vorjahres, je nachdem, welcher Betrag höher ist.
Bei fehlerhaften oder unvollständigen Angaben gegenüber Marktüberwachungsbehörden fallen Bußgelder bis 5 Millionen Euro oder 1% des weltweiten Umsatzes des Vorjahres an, je nachdem, welcher Betrag höher ist.
Die Behörden können Unternehmen bei der Feststellung von Sicherheitsrisiken außerdem dazu auffordern, schnellstmöglich Updates auszuliefern oder im schlimmsten Fall das Produkt sogar vom Markt zu nehmen.
Die persönliche Haftung der Geschäftsführung für Versäumnisse ist in der NIS-2-Richtlinie explizit ausgestaltet. Da die Einhaltung des CRA in Zukunft jedoch unter die allgemeinen Sorgfaltspflichten der Geschäftsleitung fällt, können aus Vergehen möglicherweise auch hier persönliche Ansprüche geltend gemacht werden.
Zielgerichtete Maßnahmen für Industrieunternehmen
Bis zum 11. Dezember 2027 müssen Produkte mit digitalen Elementen alle Anforderungen des CRA erfüllen. Doch bereits auf dem Weg dahin gibt es Fristen, die den Handlungsdruck auf Ihr Unternehmen erhöhen könnten. Wir empfehlen Herstellern die folgenden drei Maßnahmen, um die benötigte Zeit für die Umstellung effektiv zu nutzen.
1. Vollständige Risikoanalyse: der Blick in den Spiegel
1. Vollständige Risikoanalyse: der Blick in den SpiegelVerschaffen Sie sich zunächst mit einer Gap-Analyse einen Überblick über den Status Quo in Ihrer Produktlandschaft: Welche Sicherheitsanforderungen erfüllen Ihre Produkte und Prozesse bereits? Wo besteht Nachholbedarf? Eine wichtige Orientierung bietet dabei die etablierte IEC 62443-Norm für die Industrie, die zentrale Bestandteile des CRA adressiert.
Die individuelle Risikoanalyse wird auch von der Einteilung der Produkte in die jeweilige Risikoklasse des Cyber Resilience Acts beeinflusst. Die vier Kategorien unterscheiden sich weniger bezüglich der umzusetzenden Sicherheitsmaßnahmen als in der Art und Weise, wie der Nachweis über die Erfüllung der Anforderungen erbracht wird:
- Standardprodukte: Für Produkte mit geringem Risiko ist eine Selbstbewertung durch den Hersteller ausreichend.
- Wichtige Produkte Klasse I: In der Klasse I kann ebenfalls eine Selbstbewertung erfolgen, allerdings entlang harmonisierter Normen, die aktuell entwickelt werden. Zur Klasse I zählen u.a. Produkte mit VPN-Funktion, Router und Mikrocontroller.
- Wichtige Produkte Klasse II: In der Klasse II ist die Zertifizierung durch eine benannte Stelle obligatorisch. Unter die Klasse II fallen z.B. Firewalls und Container-Runtime-Systeme.
- Kritische Produkte: Kritische Produkte werden verpflichtend nach einem EU-weiten Standard zertifiziert, der sich ebenfalls noch in Konzeption befindet. Hierunter fallen vor allem Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways und Chipkarten.
Listen mit Beispielprodukten finden sich in Anhang III und IV des CRA-Dokuments. Ab dem 11. Juni 2026 können die noch zu benennenden Konformitätsbewertungsstellen (in Deutschland voraussichtlich der TÜV) die Erfüllung der Anforderungen bewerten. Zur Umsetzung der Anforderungen gilt aber die Übergangsfrist bis Ende 2027.
2. Sicherheitskompetenzen aufbauen: Wissen ist Verteidigung
2. Sicherheitskompetenzen aufbauen: Wissen ist VerteidigungDie meisten Produkte, die Industrieunternehmen herstellen, fallen unter dem Cyber Resilience Act in die niedrigste Risikoklasse. Hersteller beurteilen also selbst, ob geeignete und angemessene Sicherheitsvorkehrungen getroffen wurden. Aber: Kommt es in der Verwendung des Produkts dann zu einem Sicherheitsvorfall, steht die Selbstbewertung mit auf dem Prüfstand.
Jedes Produkt birgt sein eigenes Risiko und verlangt ein maßgeschneidertes Sicherheitsniveau. Anerkannte Standards wie die erwähnte IEC 62443-Norm für industrielle Steuerungssysteme oder die EN 18031 Norm für die Cybersicherheit von Funkanlagen unterstützen Unternehmen in der Umsetzung.
Mit erweiterten Kapazitäten im Risikomanagement, Security Engineering und der Bewältigung von Vorfällen können Sie sicherstellen, dass Ihre Produkte über den gesamten Lebenszyklus adäquat vor Cyberrisiken geschützt sind. Integrieren Sie Bedrohungsanalysen und entsprechende Gegenmaßnahmen direkt in den Entwicklungsprozess (Security by Design) und schaffen Sie so ein erhöhtes Sicherheitsbewusstsein in Ihren Produktteams und im gesamten Unternehmen. Denn Sicherheit beginnt nicht bei der Firewall, sondern beim Design: Wer Security-by-Design lebt, integriert Schutzmaßnahmen von Anfang an in den Entwicklungsprozess. Nicht als Add-on, sondern als Prinzip.
3. Incident Response-Team etablieren: Reaktionsschnelligkeit ist Überlebensstrategie
3. Incident Response-Team etablieren: Reaktionsschnelligkeit ist ÜberlebensstrategieBereits ab dem 11. September 2026, also ein gutes Jahr bevor alle Anforderungen des CRA eingehalten werden müssen, gilt die Meldepflicht für schwere Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen über eine Single Reporting Plattform, die noch eingerichtet wird. Innerhalb von 24 Stunden muss eine Frühwarnung erfolgen und nach 72 Stunden eine detaillierte Meldung.
Zur Überwachung ihrer Produktpalette empfiehlt sich für die meisten Unternehmen, wenn noch nicht geschehen, der Aufbau eines eigenen Incident Response-Teams. Die Fachkräfte überprüfen alle Softwarekomponenten stetig auf bekannt gewordene Schwachstellen und müssen zudem jederzeit für Nutzer erreichbar sein, die ein Sicherheitsproblem melden möchten.
Mit Expertise zum Ziel: Lassen Sie sich begleiten von denen, die Sicherheit bereits leben
Der Aufbau von Wissen über Informations- und Cybersicherheit wird künftig alle Unternehmen in der EU betreffen. Spezifische Entlastungen im Entwicklungsprozess können die Ressourcen während der Übergangszeit schonen und den Geschäftserfolg langfristig absichern.
Mit unseren Custom Software Solutions steht eine flexible Entwicklungslösung für die Industrie bereit, die wir individuell auf Ihre Bedürfnisse anpassen. Ob einzelnen Softwaremodule oder komplette Entwicklungsprojekte: Lassen Sie Softwarebestandteile Ihrer Produkte von unseren Expertenteams entwickeln – unsere Software Development Lifecycle-Prozesse sind nach IEC 62443-4-1 zertifiziert. Damit erfüllen sie bereits heute die Sicherheitsstandards, die der Cyber Resilience Act morgen erfordert.
Alternativ können wir Ihre Teams mit unserer Erfahrung und Expertise verstärken. Lernen Sie uns in einem unverbindlichen, persönlichen Gespräch kennen:
Autor: René Janz
René Janz ist als Wirtschaftsingenieur mit tiefem Wissen über den Shopfloor seit 2023 bei TRIOVEGA GmbH tätig und verantwortet dort in seiner Rolle als Director Business Development den strategischen Ausbau von OT Sicherheit und Digitalisierung in der Industrie.
Sie wollen mehr über unsere Produkte
und Lösungen erfahren?
edge.SHIELDOR
Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität
ermöglicht und nachhaltig Kosten senkt
service.factory.INSIGHTS
Potenziale entdecken und Produktionsprozesse nachhaltig optimieren
mit unserer Data Science-Expertise
Das könnte Sie auch interessieren:
- CRA-Compliance meistern: Wie die Industrie jetzt Stärke zeigtDas Jahr 2025 markiert einen Wendepunkt: die EU macht Ernst mit Cybersicherheit. Mit dem Cyber Resilience Act (CRA) zwingt sie Industrieunternehmen, sich neu zu erfinden – sicherer, widerstandsfähiger, zukunftsorientierter. Es geht nicht mehr um Empfehlungen, sondern es geht um Pflicht und Verantwortung. Jetzt ist die Zeit zu handeln.
- Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter ProdukteWährend die NIS-2 das Thema Cybersicherheit in der europäischen Wirtschaft auf organisatorischer und prozessualer Ebene angeht, nimmt der kürzlich in Kraft getretene Cyber Resilience Act (CRA) die Endprodukte in den Fokus.
- CIA-Triade in der Industrie 4.0: So sichern Sie den ShopfloorFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
