TGB Automation

Suche auf tgb-automation.de

Tippe einen Begriff — z.B. „Wallbox 11 kW", „2,5 mm²", „FI Typ B". Drücke Esc zum Schließen.

Cyber Resilience Act

Betrifft der Cyber Resilience Act Schaltschrank- und Maschinenbauer?

11.12.2027 · Vollanwendung der CRA-Produktpflichten

Kurzantwort

Ja, in vielen Konstellationen — aber milder als befürchtet. Wer eine vernetzte Maschine oder Steuerung unter eigenem Namen in Verkehr bringt, gilt als Hersteller eines Produkts mit digitalen Elementen und trägt die CRA-Pflichten. Die gute Nachricht aus dem finalen Verordnungstext: Speicherprogrammierbare Steuerungen, HMIs und Industriesteuerungen wurden aus den Anhang-Listen gestrichen — sie laufen als Default-Produkte mit Selbstbewertung, nicht als „wichtige Produkte“ mit benannter Stelle.

Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · Cyber Resilience Act

Direkt weiter zum passenden Thema

Passende Folgeberechnungen für diese Parameter-Kombination.

Wann bin ich als Schaltschrankbauer „Hersteller“ im CRA-Sinn?

Hersteller ist, wer ein Produkt mit digitalen Elementen entwickelt oder herstellt — oder herstellen lässt — und es unter eigenem Namen oder eigener Marke vermarktet. Ein Schaltschrankbauer, der eine Steuerung aus zugekauften Komponenten (SPS, HMI, Router, Netzteile) aufbaut und die Anlage unter eigener Firma verkauft, erfüllt diese Definition: Die vernetzte Maschine bzw. der Schaltschrank mit Datenverbindung ist selbst ein Produkt mit digitalen Elementen. Auch White-Label-Vertrieb und sicherheitsrelevante Eigenänderungen an zugekaufter Hard- oder Software lösen den Herstellerstatus aus.

Wer dagegen ausschließlich nach Kundenvorgabe fertigt und das Ergebnis unter der Marke des Auftraggebers läuft, verschiebt die Herstellerrolle zu diesem. Und wer Anlagen nur betreibt oder wartet, ohne sie in Verkehr zu bringen, ist vom CRA als Betreiber nicht adressiert.

Welche Klasse gilt für meine SPS-Steuerung — und was heißt das?

Im Kommissionsentwurf standen industrielle Automatisierungs- und Steuerungssysteme noch als wichtige Produkte in den Listen — im final verabschiedeten Text sind sie gestrichen. Eine SPS, ein HMI-Panel, ein Frequenzumrichter oder eine Maschine ohne gelistete Sicherheits-Kernfunktion ist damit ein Default-Produkt: Konformität per Selbstbewertung, keine benannte Stelle. Vorsicht bei Zukauf-Komponenten mit gelisteter Kernfunktion — verbaut man etwa einen Industrie-Router oder eine Firewall, bleibt deren Einstufung Sache des Komponenten-Herstellers; die eigene Anlage wird dadurch nicht automatisch zum Klasse-I-Produkt.

Die Pflichten der Default-Klasse sind trotzdem substanziell: Cyber-Risikobewertung in der technischen Dokumentation, sichere Grundkonfiguration, Umgang mit Schwachstellen samt Update-Weg, SBOM, Meldeprozess ab September 2026 und CE-Kennzeichnung unter dem CRA für ab Dezember 2027 in Verkehr gebrachte Produkte. Als Umsetzungs-Werkzeug auf Systemebene hat sich die Normreihe IEC 62443 etabliert — der CRA verlangt sie nicht wörtlich, aber sie liefert das passende Gerüst.

Was ist mit Einzelanfertigungen und kundenspezifischen Anlagen?

Hier ist die Rechtslage noch nicht abschließend geklärt: Ob und wie der CRA auf echte Einzelanfertigungen und projektspezifische Anlagen anzuwenden ist, wird in einem EU-Leitfaden zur Anwendung des CRA auf Elektrogeräte und Maschinen behandelt, der bislang als Entwurf vorliegt. Bis zur Klärung fahren Betriebe am sichersten zweigleisig: die CRA-Grundpflichten (Risikobetrachtung, Update-Konzept, Meldeprozess) in den eigenen Standard aufnehmen — sie decken sich ohnehin weitgehend mit dem, was die neue Maschinenverordnung ab Januar 2027 für Maschinen verbindlich macht.

Wie hängen CRA und neue Maschinenverordnung zusammen?

Beide Regelwerke treffen dieselbe vernetzte Maschine aus zwei Richtungen: Der CRA regelt das Produkt mit digitalen Elementen (Software-Lebenszyklus, Schwachstellen, Meldungen), die Maschinenverordnung ab dem 20. Januar 2027 die Maschinensicherheit — neu einschließlich Schutz gegen Korrumpierung und manipulationssichere Steuerungen. Wer beide Fristen zusammen denkt, spart doppelte Arbeit: Die Cyber-Risikobeurteilung der MVO und die CRA-Risikobewertung speisen sich aus derselben Analyse, und ein sauberer Update-/Logging-Mechanismus zahlt auf beide Konformitäten ein.

Wer trägt welche CRA-Rolle im Steuerungs- und Anlagenbau?

KonstellationCRA-RolleKonsequenz
Serien-Schaltschrank/Steuerung unter eigener Marke verkauftHerstellerVolle CRA-Pflichten für ab 11.12.2027 in Verkehr gebrachte Produkte; Meldeprozess ab 09/2026
Vernetzte Maschine mit zugekaufter SPS unter eigener Firma geliefertHersteller (Maschine = Produkt mit digitalen Elementen)Default-Klasse: Selbstbewertung; Risikobewertung, SBOM, Update-Konzept
Lohnfertigung, Produkt läuft unter Marke des AuftraggebersNicht Hersteller (Auftraggeber trägt die Rolle)Vertraglich klären: Zulieferung von Doku/SBOM an den Markenhersteller
Eigenimport von Komponenten aus DrittstaatenImporteurPrüf- und Informationspflichten; bei Eigenmarke → Herstellerrolle
Anlage nur betreiben, warten, instand haltenBetreiber — vom CRA nicht adressiertKeine CRA-Pflichten; NIS2-Pflichten des Betriebs separat prüfen
Echte Einzelanfertigung / ProjektanlageUngeklärt (EU-Leitfaden liegt als Entwurf vor)CRA-Grundpflichten vorsorglich anwenden; Entwicklung beobachten

Einordnung nach Verordnung (EU) 2024/2847 (Herstellerbegriff) und BGHM-FAQ; die Zeile „Einzelanfertigung“ ist bewusst als offen gekennzeichnet.

Häufige Fragen

Fachliche Details zu dieser Parameter-Kombination

Meine Maschine hat gar keine Internet-Verbindung — gilt der CRA trotzdem?
Der CRA erfasst Produkte mit digitalen Elementen, die eine direkte oder indirekte Daten-Verbindung zu einem Gerät oder Netzwerk haben können. Eine komplett verbindungslose Maschine ohne jede Datenschnittstelle fällt heraus. Sobald aber eine Ethernet-, Feldbus-mit-Gateway-, USB-Service- oder Funk-Schnittstelle vorhanden ist, ist die Voraussetzung in aller Regel erfüllt — auch wenn der Kunde sie nie anschließt.
Reicht es, wenn mein SPS-Lieferant CRA-konform ist?
Nein. Die Konformität der Komponente entlastet den Komponenten-Hersteller — die Anlage, die Sie unter eigener Marke in Verkehr bringen, ist ein eigenes Produkt mit eigenen Pflichten. Sie profitieren aber praktisch: Doku, SBOM und Update-Zusagen der Zulieferer sind Bausteine Ihrer eigenen technischen Dokumentation. Fordern Sie sie vertraglich ein.
Muss ich für den CRA nach IEC 62443 zertifizieren?
Der CRA schreibt keine bestimmte Norm vor. Solange harmonisierte Normen unter dem CRA fehlen, ist die Normreihe IEC 62443 das etablierte Gerüst, um die Anforderungen auf System- und Komponentenebene nachvollziehbar umzusetzen — als Methode, nicht als Pflicht-Zertifikat. Für Default-Produkte genügt die Selbstbewertung mit sauberer Dokumentation.
Was sollte ich 2026 konkret zuerst tun?
Drei Schritte in dieser Reihenfolge: erstens Produktliste erstellen und je Produkt klären, ob Sie Hersteller im CRA-Sinn sind; zweitens den Meldeprozess für den 11.09.2026 aufsetzen (gilt auch für Bestandsprodukte); drittens für Neuentwicklungen die Cyber-Risikobewertung und das Update-Konzept in den Entwicklungsprozess ziehen — das bedient CRA und neue Maschinenverordnung gleichzeitig.

Quellen und Rechtstexte

EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.

Verwandte Berechnungen

Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.

Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.