EU-Cybersecurity-Pflichten für Hersteller & Betriebe
Drei Regelwerke, drei Fristen: Der Cyber Resilience Act bringt Meldepflichten ab September 2026 und volle Produktpflichten ab Ende 2027, die neue Maschinenverordnung macht Cybersecurity ab Januar 2027 zur CE-Pflicht, und NIS2 gilt bereits. Hier steht, wen was ab wann trifft — mit Quellen statt Panik.
CRA-Check: Klasse, Verfahren und Fristen
Rolle, Produktkategorie und Markt-Timing wählen — der Check ordnet nach Anhang III/IV ein und listet die Pflichten je Datum. Keine Rechtsberatung.
Maßgeblich ist die Kernfunktion des Produkts — eine mitgelieferte Nebenfunktion stuft nicht hoch.
Einordnung
Default-Kategorie (Standard)Selbstbewertung (interne Fertigungskontrolle, Modul A) — keine benannte Stelle nötig.
Stand im Entwurf als Klasse II, wurde im finalen Verordnungstext gestrichen.
Selbstbewertung (interne Fertigungskontrolle, Modul A) — keine benannte Stelle nötig.
Pflichten (ab 11.09.2026 bzw. 11.12.2027)
- Meldestelle für Schwachstellen-Hinweise einrichten (erreichbar, auch außerhalb der Bürozeiten)
- Aktiv ausgenutzte Schwachstellen und schwere Vorfälle: Frühwarnung binnen 24 h, Details binnen 72 h
- Abschlussbericht: 14 Tage (Schwachstelle) bzw. 1 Monat (Vorfall) über die zentrale EU-Meldeplattform
- Cyber-Risikobewertung als Teil der technischen Dokumentation
- Security by Design und sichere Grundkonfiguration
- Umgang mit Schwachstellen + kostenlose Sicherheitsupdates über den Support-Zeitraum (in der Regel 5 Jahre)
- Software-Stückliste (SBOM), maschinenlesbar — Vorlage an Marktüberwachung auf Verlangen
- CE-Kennzeichnung unter dem CRA mit dem passenden Konformitätsverfahren
Welche Frist gilt ab wann?
| Stichtag | Regelwerk | Was ab dann gilt |
|---|---|---|
| 11.09.2026 | CRA: Meldepflichten nach Art. 14 | Aktiv ausgenutzte Schwachstellen und schwere Vorfälle binnen 24 h melden — gilt auch für Bestandsprodukte |
| 20.01.2027 | Maschinenverordnung (EU) 2023/1230 | Harter Stichtag ohne Übergangsfrist: Inverkehrbringen entscheidet; Cybersecurity wird CE-Pflicht |
| 11.12.2027 | CRA: Vollanwendung | Alle Produktpflichten (Doku, SBOM, Updates, CE unter CRA) für ab diesem Datum in Verkehr gebrachte Produkte |
NIS2 (NIS2UmsuCG) ist seit dem 06.12.2025 in Kraft; die Registrierungsfrist beim BSI lief am 06.03.2026 ab — verspätete Registrierung bleibt möglich und ist der richtige Schritt.
Cyber Resilience Act
Produkt-Regulierung: Pflichten für alle, die vernetzte Produkte herstellen, importieren oder unter eigener Marke verkaufen.
CRA-Meldepflicht ab 11. September 2026: Wer meldet was — und wohin?
⏱ 11.09.2026 · Meldepflichten nach Art. 14 CRA
Ab 11.09.2026 melden Hersteller ausgenutzte Schwachstellen binnen 24 h an BSI und ENISA — auch für Bestandsprodukte. Fristen-Kaskade und Vorbereitung.
Antwort mit Tabelle & Quellen →
CRA-Produktklassen: Default, wichtig (Klasse I/II) oder kritisch?
⏱ 11.12.2027 · Vollanwendung der CRA-Produktpflichten
Rund 90 % aller Produkte fallen in die CRA-Default-Klasse mit Selbstbewertung. Wichtig Klasse I/II und kritisch: Listen und Verfahren je Klasse im Überblick.
Antwort mit Tabelle & Quellen →
Gilt der Cyber Resilience Act für Bestandsprodukte?
⏱ 11.12.2027 · Vollanwendung für neu in Verkehr gebrachte Produkte
Volle CRA-Pflichten treffen nur Produkte, die ab 11.12.2027 in Verkehr gehen. Aber: Die Meldepflicht ab 09/2026 gilt auch für Altprodukte — die Fristen-Logik.
Antwort mit Tabelle & Quellen →
Betrifft der Cyber Resilience Act Schaltschrank- und Maschinenbauer?
⏱ 11.12.2027 · Vollanwendung der CRA-Produktpflichten
Wer eine Anlage mit SPS unter eigener Marke verkauft, ist Hersteller im CRA-Sinn. Die Entwarnung: SPS und Steuerungen sind Default-Klasse mit Selbstbewertung.
Antwort mit Tabelle & Quellen →
Maschinenverordnung (EU) 2023/1230
Maschinensicherheit ab 20.01.2027 — Cybersecurity wird Teil der CE-Konformität, ohne Übergangsfrist.
Maschinenverordnung 2027: Cybersecurity wird CE-Pflicht
⏱ 20.01.2027 · Geltungsbeginn MVO (EU) 2023/1230
Ab 20.01.2027 verlangt die Maschinenverordnung Schutz gegen Korrumpierung: Cyber-Risikobeurteilung, sichere Fernwartung, Software-Nachweis. Die Praxisliste.
Antwort mit Tabelle & Quellen →
Maschinenverordnung 2027: Was gilt für Lagermaschinen?
⏱ 20.01.2027 · Harter Stichtag — Inverkehrbringen entscheidet
Harter Stichtag 20.01.2027 ohne Übergangsfrist: Entscheidend ist das Inverkehrbringen. Was für Lagerware, Händlerbestand und laufende Projekte wirklich gilt.
Antwort mit Tabelle & Quellen →
NIS2 / NIS2UmsuCG
Betriebs-Regulierung: Risikomanagement- und Meldepflichten für Unternehmen ab den Größenschwellen — seit Dezember 2025 in Kraft.
NIS2 im Maschinenbau und in der Elektrotechnik: Wer ist betroffen?
NIS2 erfasst das verarbeitende Gewerbe: Elektro-Ausrüstungen (NACE 27) und Maschinenbau (NACE 28) ab 50 Mitarbeitern oder 10 Mio. € — Schwellen und Pflichten.
Antwort mit Tabelle & Quellen →
NIS2-Anforderungen an Zulieferer: Was Kunden verlangen
Nicht selbst NIS2-pflichtig, aber der Kunde schon? § 30 BSIG verlangt Lieferketten-Sicherheit — welche Fragebögen und Klauseln Zulieferer jetzt erreichen.
Antwort mit Tabelle & Quellen →
Arbeitsweise dieser Seiten
Jede Seite beantwortet eine konkrete Frage aus der Praxis von Herstellern, Maschinen- und Schaltschrankbauern — mit der direkten Antwort zuerst, einer Entscheidungs- oder Fristen-Tabelle und den amtlichen Quellen (EUR-Lex, BSI, IHK). EU-Rechtsakte sind amtliche Werke und werden hier redaktionell eingeordnet; verbindlich sind stets die verlinkten Rechtstexte selbst.
Dieser Bereich ist bewusst schlank gestartet. Fehlt eine Frage, die Ihren Betrieb gerade beschäftigt, hilft der Blick in die verlinkten Behörden-Seiten — oder eine kurze Nachricht an uns über das Impressum.
Rechner & weitere Bereiche
Passende Folgeberechnungen für diese Parameter-Kombination.