Ab 11. Dezember 2027 verlangt der Cyber Resilience Act von Herstellern vernetzter Produkte Security by Design, verschlüsselte OTA-Updates, vollständige SBOMs und Incident-Meldungen binnen 24 Stunden. Wer jetzt die Updatefähigkeit professionalisiert, seine Lieferketten transparent macht und Incident-Response-Prozesse etabliert, vermeidet Marktausschluss und nutzt Security als Wettbewerbsvorteil.
Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte.
Der Cyber Resilience Act (CRA) macht Sicherheit zum Zulassungskriterium für alle „Produkte mit digitalen Elementen“, von Maschinen und Anlagen über Medizintechnik bis zur Gebäudetechnik. Für Hersteller bedeutet das: Security by Design, lückenlose Nachweise, klare Meldefristen und ab 11. Dezember 2027 volle Verbindlichkeit. Wer heute investiert, senkt Risiken und gewinnt Vertrauen im Markt.
Der CRA verankert Sicherheit über den gesamten Produktlebenszyklus. Hersteller müssen standardmäßig sichere Produkte liefern, inklusive starker Authentifizierung, verschlüsselter Kommunikation, Secure Boot und sicherer Default-Konfigurationen. Ergänzend verlangt die Verordnung ein systematisches Schwachstellenmanagement und eine CVD-Richtlinie (Coordinated Vulnerability Disclosure).
Für die Nachweispflicht sind Konformitätsbewertung und CE-Kennzeichnung entscheidend. Während Standardprodukte häufig intern bewertet werden können, benötigen „wichtige“ bzw. „kritische“ Produkte eine Bewertung durch eine benannte Stelle. Zudem muss jeder Hersteller einen Wartungszeitraum definieren, der mindestens fünf Jahre beträgt, sofern die erwartete Lebensdauer nicht kürzer ist.
Zeitplan & Sanktionen: Der CRA ist am 10. Dezember 2024 in Kraft getreten. Ab 11. September 2026 gelten u. a. Meldepflichten für Schwachstellen und Vorfälle; ab 11. Dezember 2027 sind die vollständigen Produktanforderungen bindend. Bei Nichteinhaltung drohen Marktmaßnahmen und Geldstrafen von bis zu 15 Mio. Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Ohne sichere Updatefähigkeit ist CRA-Compliance nicht zu halten. Technisch verlangt der CRA Updates, die verschlüsselt geprüft, von Funktionsupdates getrennt und rollback-fähig sind. Damit lassen sich Sicherheitslücken gezielt schließen, auch in großen, verteilten Flotten. Voraussetzung ist ein belastbarer OTA-Prozess mit Signaturprüfung, Versionstracking und Audit-Trails.
Sicherheitsvorfälle sind nach klaren Fristen an ENISA und das nationale CSIRT zu melden: erste Meldung binnen 24 Stunden, technischer Bericht binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Behebung. Ohne gelebten Incident-Response-Prozess inklusive technischer, rechtlicher und kommunikativer Rollen ist das nicht machbar.
Transparente Lieferkette: SBOM als Pflicht und Chance
Die Komplexität moderner Software-Stacks erzwingt Transparenz auf Komponentenebene. Der CRA fordert für jedes Produkt ein vollständiges SBOM und die kontinuierliche Bewertung offengelegter Schwachstellen, einschließlich Open-Source- und Drittanbieter-Code. Das ist Grundlage, um CVEs zu korrelieren, Risiken zu priorisieren und Updates gezielt auszurollen.
Für Hersteller industrieller IoT-Geräte, wie etwa Werkzeugmaschinen, Medizingeräte oder Gebäudeautomation, verschiebt der CRA Verantwortung eindeutig auf die Hersteller. Nicht-konforme Produkte können vom EU-Markt genommen werden; die Prozesse in Entwicklung, Lieferkette und After-Sales müssen Security-tauglich werden. Das trifft besonders Branchen mit langen Lebenszyklen, großen Flotten und Safety-Bezug.
Gleichzeitig ist Security ein Kaufkriterium: Wer sichere, zuverlässige Produkte nachweisbar liefert, stärkt das Vertrauen von Kunden und verschafft sich in sicherheitsbewussten Märkten Vorteile.
4. Updates & Vulnerability Management: Verschlüsselte, authentifizierte Updates; Trennung von Security- und Funktionsupdates; Rollback-Option.
5. Incident Response & Reporting: Prozesse und Verantwortlichkeiten gemäß 24/72/14-Fristen.
6. Lieferketten-Verantwortung: SBOM-Transparenz, Bewertung von Drittcode, Pflichten für Importeure/Händler und Umgang mit „wesentlichen Modifikationen“.
7. Portfolio scopen: Welche Produkte fallen unter den CRA, wie reif ist deren Security? Das schafft Basis für Risiko- und Maßnahmenplanung.
8. Gerätemanagement & Updates prüfen: Wie werden Updates erzeugt, verifiziert, verteilt und nachverfolgt? Moderne Plattformen unterstützen automatisierte OTA-Updates, Transparenz zum Status und revisionssichere Protokolle.
9. SBOM operationalisieren: SBOMs erstellen, pflegen und zur Echtzeit-Risikobewertung nutzen.
10. Referenzarchitektur nutzen: Technische Leitfäden und Compliance-Workflows helfen, Soll-Architekturen zu definieren und Lücken strukturiert zu schließen.
11. Gap-Analyse mit Experten: Ausgangslage gegen CRA-Vorgaben spiegeln, Prioritäten setzen, Roadmap ableiten.
Unternehmen, die früh handeln, reduzieren Unsicherheiten und können Zuverlässigkeit und Sicherheit so aktiv vermarkten. Hersteller, die Security konsequent in Produkt und Prozess verankern, steigern ihre Wettbewerbschancen immens.
Damit das gelingt, haben sich in der Praxis folgende Best Practices bewährt: sichere Standardeinstellungen bereits in der frühen Entwicklung, Security-Tests in CI/CD, langfristiger Support mit klaren EoL-Regeln sowie kontinuierliches Risikomonitoring über Bibliotheken, Abhängigkeiten und Flotten.
Fazit
Der CRA verändert, wie vernetzte Produkte entwickelt, betrieben und betreut werden. Für den deutschen Maschinenbau ist das mehr als ein Compliance-Projekt: Es ist eine strategische Weichenstellung hin zu resilienten, vertrauenswürdigen Produkten, mit klaren Fristen, harten Pflichten und messbaren Nachweisen. Wer jetzt OTA-Fähigkeiten, SBOM-Transparenz, Incident-Response und Dokumentation professionalisiert, minimiert regulatorische Risiken und erhöht seine Marktschancen ab 2027. Unternehmen wie Cumulocity unterstützen Kunden aus den unterschiedlichsten Industrien dabei, sich schon heute auf den CRA vorzubereiten und ihre Organisationen für eine cybersichere Zukunft zu stärken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Dr. Jürgen Krämer ist Chief Product Officer und Geschäftsführer bei Cumulocity und verantwortet damit das gesamte Produkt- und Service-Portfolio der Marke. Er leitet die Teams für Produktmanagement und -marketing, Professional Services und das Partner-Ökosystem. Mit über 20 Jahren Erfahrung in der Softwareentwicklung und einem Doktor in Informatik war Jürgen Krämer unter anderem CEO und Mitgründer eines preisgekrönten Spin-offs der Universität Marburg, das 2010 von der Software AG übernommen wurde. Bereits zweimal wurde er vom Magazin Capital zu einem der "Top 40 unter 40" in Deutschland gewählt und ist Mitglied des BITKOM Management Clubs.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/fd/f2fd0fdbd69c98d3744922b4a52c9dea/0129347431v2.jpeg "Microsoft Azure bietet mit den drei anfälligen Lösungen die Möglichkeit, serverlose Anwendungen zu erstellen, den Anwendungs-Traffic zu verwalten und hybride sowie Multicloud-Umgebungen zu steuern. Bei erfolgreicher Ausnutzung sind damit zahlreiche sensible Informationen für Angreifer potenziell zugänglich. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/47/fa47fb2e4f13ed17dc4739fa4c6cd1af/0122470970v1.jpeg "Beim Microsoft Patchday im Februar 2026 schloss der Hersteller 59 Sicherheitslücken. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bf/6c/bf6c428436f2fc995a056636685ff2bb/0129361657v1.jpeg "Kaspersky behält sich vor, rechtliche Schritte gegen das BSI einzuleiten, das seit 2022 eine Warnung gegen die Software des Herstellers aufrechterhält. Während die rechtlichen Grundlagen und die Notwendigkeit dieser Warnung in Frage gestellt wurden, komplizieren geopolitische Spannungen die Situation weiter. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d0/77d08997d439a45c27349d1c2cd6ae7d/0129345103v2.jpeg "Ohne Kontext erzeugen KI-Security-Tools mehr Alarmmüdigkeit als Schutz . Drei Kriterien helfen, ineffiziente Tool-Stacks zu vermeiden und messbaren Wert zu schaffen. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/a7/fda7d067c2285c6117392fe77ca95327/0129322250v2.jpeg "Die französische nationale Funkfrequenzbehörde nahm die Spione wegen de rillegalen Nutzung und Störung von Frequenzen und dem illegalen Besitz von technischen Geräten zum Empfang von Computerdaten fest. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e4127168b581f5e3497d92aaee6aa9d4/0128222584v2.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im ersten Teil erfahren Sie, warum der Cyber Resilience Act für Unternehmen und Kunden wichtig ist. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/bd/93bd2c1a427d9411551d17d36128c759/0128222866v2.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im zweiten Teil erfahren Sie, welche Produkte überhaupt betroffen sind, was die Sicherheitsanforderungen des CRA sind und wie Hersteller mit Schwachstellen umgehen sollten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cb/8d/cb8da441ed1c6a1bfc27ed55204cccad/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im dritten Teil erfahren Sie mehr über die Fristen, die Hersteller digitaler Produkte einhalten müssen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/e4/5ce4cfb0507a772153f22c5fb269c2e1/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im vierten und letzten Teil erfahren Sie, welche Produktkategorien es gibt, wie Sie deren Konformität sicherstellen und welche Konsequenzen bei Nichteinhaltung drohen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/d4/c2d45b09a335f3f478c6b35fb9f025f6/0121562430v2.jpeg "Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen. (Bild: ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/9e/199e074339292c15faa8f14c4532e45a/0125181237v2.jpeg "Risiken minimieren, Fertigung sichern – So funktioniert dynamisches Patchmanagement. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/ac/83acf4ff4f6af37746cbdee6ccf3fa18/0124421890v1.jpeg "Der Cyber Resilience Act der EU verändert grundlegend, wie IoT-Geräte entwickelt und abgesichert werden müssen. Mit Strafen von bis zu 2,5% des weltweiten Jahresumsatzes bei Verstößen ist Konformität keine Option, sondern Pflicht. Dieser Artikel liefert wertvolle Einblicke in die praktische Umsetzung der Anforderungen und stellt eine mögliche Tool-Lösung vor, die von unabhängigen Experten auf ihre CRA-Konformität geprüft wurde. (Bild: KI-Generiert / DALL-E)")