Mit dem Cyber Resilience Act (CRA) verpflichtet die EU Maschinenbauer, Sicherheitslücken in ihren Produkten zeitnah zu melden und zu beheben. Doch viele Unternehmen sind noch nicht auf die neuen Anforderungen vorbereitet. Welche Auswirkungen hat das Gesetz und wie können Unternehmen es als Chance nutzen, um ihre Wettbewerbsfähigkeit zu steigern?
Der Cyber Resilience Act (CRA) stellt Maschinenbauer vor neue Herausforderungen, bietet jedoch auch Chancen, die Wettbewerbsfähigkeit zu steigern und innovative, softwarebasierte Geschäftsmodelle zu entwickeln.
(Bild: wladimir1804 - stock.adobe.com)
Jetzt steht es fest: Der Cyber Resilience Act der Europäischen Union kommt und bringt weitreichende Änderungen für den Maschinenbau mit sich. Während der Maschinenbau als einer der wichtigsten Industriezweige Deutschlands traditionell auf robuste und langlebige Produkte setzt, nimmt die Bedeutung von Cybersicherheit durch die zunehmende Digitalisierung und Vernetzung stetig zu. Damit werden auch die Maschinendaten immer komplexer, und die Anzahl der vernetzten Geräte wächst rasant. In Kraft treten soll der Cyber Resilience Act noch 2025. Wer bis zum Ende der Übergangsphase 2027 nicht alle Anforderungen umgesetzt hat, dem drohen empfindliche Strafen. Diese neue Regulierung zwingt Maschinenbauunternehmen dazu, ihre Sicherheitsstrategien zu überdenken und neue Prozesse zu etablieren, um konform mit der neuen Regulierung zu sein.
Cyber Resilience Act fördert Auseinandersetzung mit Cybersicherheit
Der Cyber Resilience Act betrifft in erster Linie Smart Equipment Maker. Das sind Maschinenbauer, die auf Maschinen mit vernetzten Technologien setzen und für diese ebenfalls die Software bereitstellen. Da diese ans Internet angebunden sind, bieten sie ein potenzielles Einfallstor für Cyberangriffe. Der Act stellt klar, dass Software als Teil des Produkts behandelt wird, wodurch die Hersteller die Cybersicherheit über den gesamten Lebenszyklus der Maschine gewährleisten müssen.
Die Endkund:innen, auf deren Shopfloor die Maschine schlussendlich steht und betrieben wird, werden durch das neue Gesetz nicht tangiert. Für kleine und mittelständische Unternehmen bringt das einen erheblichen Mehraufwand. Noch warten viele Unternehmen ab, sondieren den Markt und versuchen zu verstehen, welche Auswirkungen der Cyber Resilience Act für sie hat. Insbesondere kleinere Unternehmen beobachten, welche Schritte die Marktführer machen, um konform mit der neuen Gesetzgebung zu sein. Der Druck, sich intensiv mit Cybersicherheit auseinanderzusetzen, nimmt jedoch zu, da das Gesetz keine Ausnahmen für Unternehmen nach Größe vorsieht.
Für den Maschinenbau gehen mit der Einführung des Cyber Resilience Act einige Herausforderungen einher. Eine der größten Hürden ist die komplexe und oft zeitaufwendige Umsetzung der geforderten Sicherheitsmaßnahmen. Eine der wichtigsten Neuerungen des Acts ist, dass Maschinenbauer Sicherheitslücken innerhalb von 24 Stunden melden müssen. Auch deren Behebung fällt in ihren Aufgabenbereich. Um das zu gewährleisten, braucht es eine aktive Überwachung der eingesetzten Software. Maschinenbauer müssen regelmäßig prüfen, ob Sicherheitslücken in den genutzten Komponenten bestehen.
Neben der Erkennung von Sicherheitsproblemen besteht die Herausforderung darin, Updates effizient zur Verfügung zu stellen. Hersteller sind verpflichtet, bis zu fünf Jahre nach der Markteinführung auf dem neuesten Stand zu halten.
Eine weitere Schwierigkeit ist die Abhängigkeit von Open-Source-Software. Diese wird in vielen Maschinen eingesetzt, um die Entwicklungskosten zu senken. Doch jede einzelne Komponente muss auf Sicherheitsrisiken überwacht werden, was einen enormen Aufwand bedeutet. Auch die Verteilung der Sicherheitsupdates an große Maschinenflotten ist eine Herausforderung. Eine cloud-basierte Device-Management-Lösung ermöglicht einen globalen Überblick der verwendeten Firmware- und Softwarepakete in ihren jeweiligen Versionen und erlaubt die konfigurationsgetriebene, automatisierte Durchführung von Softwareupdates. Eine aufwändigere Alternative wären Techniker:innen vor Ort einzusetzen, welche die Updates manuell über USB-Sticks installieren.
Trotz der Herausforderungen blickt die Industrie der Gesetzesänderung wohlwollend entgegen. Das liegt zum einen daran, dass es ein Bewusstsein dafür gibt, dass eine stärkere Auseinandersetzung mit Cybersicherheit notwendig ist, andererseits sieht man auch die Wettbewerbsvorteile, die sich durch die Entwicklung ergeben. Ein solches Modell ist das „Equipment-as-a-Service“, bei dem Unternehmen Maschinen nicht mehr verkaufen, sondern vermieten und so auch die Wartung und den Betrieb der Geräte übernehmen. Durch die zunehmende Vernetzung von Maschinen und entsprechenden Softwarelösungen funktioniert das immer besser aus der Ferne. Maschinenbauer können nicht nur zusätzliche Einnahmequellen durch Wartungs- und Sicherheitsservices, sondern auch Datenservices, bei denen sie ihren Geschäftspartnern veredelte Mehrwertdaten anbieten, erschließen. Außerdem wird eine kontinuierliche Verbesserung der Maschinenperformance durch regelmäßige Software-Updates und auf Datenanalysen basierenden Remote-Konfigurationen ermöglicht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Praktische Umsetzung: Was Maschinenbauer jetzt tun sollten
Auf Maschinenbauer kommen drei arbeitsreiche Jahre zu, in denen sie ihre Produkte auf den Cyber Resilience Act vorbereiten müssen. Dafür ist es wichtig, frühzeitig mit der Planung ihrer Cybersicherheitsstrategie zu beginnen. Eine solide Infrastruktur zur Überwachung der eingesetzten Software ist unverzichtbar. Cloud-basierte Lösungen bieten hier große Vorteile, da sie Sicherheitsupdates effizient und global verteilen können, ohne hohen Serviceaufwand.
Zusätzlich ist es wichtig, interne Teams in sicherer Softwareentwicklung zu schulen und kontinuierlich Bedrohungen zu überwachen. Kleinere Unternehmen sollten externe Dienstleister in Betracht ziehen, um die Umsetzung der gesetzlichen Anforderungen zu unterstützen und die eigene Cybersicherheit zu stärken.
Cyber Resilience Act macht den Maschinenbau zukunftssicher
Der Cyber Resilience Act stellt Maschinenbauer vor neue Herausforderungen, bietet jedoch auch Chancen, die Wettbewerbsfähigkeit zu steigern und innovative, softwarebasierte Geschäftsmodelle zu entwickeln. Unternehmen, die frühzeitig auf die neuen Sicherheitsanforderungen reagieren, können die vorgeschriebenen Maßnahmen nutzen, um ihre Maschinen und Lösungen sicherer und effizienter zu machen.
Die Überwachung und Aktualisierung von Maschinen wird eine der zentralen Aufgaben von Maschinenbauern, um die Einhaltung des Gesetzes zu gewährleisten. Gleichzeitig ermöglicht die Digitalisierung der Maschinenwelt es Unternehmen, ihren Kund:innen neue Services anzubieten und zusätzliche Einnahmequellen zu erschließen.
Insgesamt sollte der Cyber Resilience Act als Chance betrachtet werden, die eigene OT- und IT-Infrastruktur zu modernisieren und zukunftssicher zu gestalten.
Über den Autor: Dr. Jürgen Krämer ist Chief Product Officer bei Cumulocity und verantwortet damit das gesamte Produkt- und Service-Portfolio der Marke. Er leitet die Teams für Produktmanagement und -marketing, Professional Services und das Partner-Ökosystem. Mit über 20 Jahren Erfahrung in der Softwareentwicklung und einem Doktor in Informatik war Jürgen Krämer unter anderem CEO und Mitgründer eines preisgekrönten Spin-offs der Universität Marburg, das 2010 von der Software AG übernommen wurde. Bereits zweimal wurde er vom Magazin Capital zu einem der "Top 40 unter 40" in Deutschland gewählt und ist Mitglied des BITKOM Management Clubs.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3c/6b/3c6bf1848d69c47a00ce595ebd17c75f/0121156959v1.jpeg "Der Cyber Resilience Act betrifft alle vernetzten Geräte, die in der EU verkauft werden. Wer sich nicht an die Anforderungen hält, muss mit Sanktionen rechnen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/d4/08d484b57ea4e03e6b7462e50c1559f9/0122410150v1.jpeg "Durch die Einführung strenger Cybersicherheitsmaßnahmen sorgt der Cyber Resilience Act (CRA) dafür, dass Produkte auf dem EU-Markt sicherer und widerstandsfähiger sind, was weniger Schwachstellen und geringere Risiken für Unternehmen und ihre Kunden bedeutet. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/52/9e5218f1a346de59acfe74946e9cd58e/0121162281v1.jpeg "Das Fraunhofer-Institut für Entwurfstechnik Mechatronik gibt drei Maßnahmen an die Hand, die Unternehmen als Vorbereitung auf den Cyber Resilience Act jetzt schon umsetzen sollten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/d4/c2d45b09a335f3f478c6b35fb9f025f6/0121562430v2.jpeg "Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen. (Bild: ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/72/9a727561736d06f63114314f2c65058c/0118144646.jpeg "Dank CRA können sich sowohl Verbraucher als auch B2B-Anwender zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. (Bild: gopixa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/ac/83acf4ff4f6af37746cbdee6ccf3fa18/0124421890v1.jpeg "Der Cyber Resilience Act der EU verändert grundlegend, wie IoT-Geräte entwickelt und abgesichert werden müssen. Mit Strafen von bis zu 2,5% des weltweiten Jahresumsatzes bei Verstößen ist Konformität keine Option, sondern Pflicht. Dieser Artikel liefert wertvolle Einblicke in die praktische Umsetzung der Anforderungen und stellt eine mögliche Tool-Lösung vor, die von unabhängigen Experten auf ihre CRA-Konformität geprüft wurde. (Bild: KI-Generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/9b/c6/9bc642036d0a3d9f9c0b308157b7de1c/0126746732v2.jpeg "Es wird Zeit für den Endspurt in Richtung CRA. Sind Sie bereit? (Bild: Canva / KI-generiert)")