Cyber Resilience Act: Pflichten für Maschinenbauer

Der Cyber Resilience Act (CRA) und die EU-Maschinenverordnung 2023/1230 verpflichten Maschinenhersteller, Cyberrisiken systematisch zu bewerten, zu dokumentieren und technisch abzusichern. Cybersicherheit wird damit ein verbindlicher Bestandteil der Maschinensicherheit sowie der CE-Konformitätsbewertung. Schwerpunkte sind Schutzmaßnahmen gegen Manipulation von Maschinen, Software oder Steuerparametern. Hersteller müssen den gesamten Produktlebenszyklus absichern – von der Entwicklung bis zum Nutzungsende – inklusive Risikobewertung, Schwachstellenmanagement, verpflichtenden Sicherheitsupdates, Transparenz über Softwarekomponenten und Meldepflichten bei Vorfällen. Der CRA gilt für alle Produkte mit digitalen Elementen, insbesondere solche mit Netzwerkverbindung, und unterscheidet Risikoklassen nach Schadenspotenzial. Ab 11. September 2026 gelten neue Meldepflichten, ab 11. Dezember 2027 müssen alle betroffenen Produkte vollständig CRA-konform sein. Physische Schnittstellen wie USB-Ports stehen besonders im Fokus und erfordern spezielle Schutzlösungen.