Cyber Resilience Act
Betrifft der Cyber Resilience Act Schaltschrank- und Maschinenbauer?
11.12.2027 · Vollanwendung der CRA-Produktpflichten
Kurzantwort
Ja, in vielen Konstellationen — aber milder als befürchtet. Wer eine vernetzte Maschine oder Steuerung unter eigenem Namen in Verkehr bringt, gilt als Hersteller eines Produkts mit digitalen Elementen und trägt die CRA-Pflichten. Die gute Nachricht aus dem finalen Verordnungstext: Speicherprogrammierbare Steuerungen, HMIs und Industriesteuerungen wurden aus den Anhang-Listen gestrichen — sie laufen als Default-Produkte mit Selbstbewertung, nicht als „wichtige Produkte“ mit benannter Stelle.
Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · Cyber Resilience Act
Direkt weiter zum passenden Thema
Passende Folgeberechnungen für diese Parameter-Kombination.
Wann bin ich als Schaltschrankbauer „Hersteller“ im CRA-Sinn?
Hersteller ist, wer ein Produkt mit digitalen Elementen entwickelt oder herstellt — oder herstellen lässt — und es unter eigenem Namen oder eigener Marke vermarktet. Ein Schaltschrankbauer, der eine Steuerung aus zugekauften Komponenten (SPS, HMI, Router, Netzteile) aufbaut und die Anlage unter eigener Firma verkauft, erfüllt diese Definition: Die vernetzte Maschine bzw. der Schaltschrank mit Datenverbindung ist selbst ein Produkt mit digitalen Elementen. Auch White-Label-Vertrieb und sicherheitsrelevante Eigenänderungen an zugekaufter Hard- oder Software lösen den Herstellerstatus aus.
Wer dagegen ausschließlich nach Kundenvorgabe fertigt und das Ergebnis unter der Marke des Auftraggebers läuft, verschiebt die Herstellerrolle zu diesem. Und wer Anlagen nur betreibt oder wartet, ohne sie in Verkehr zu bringen, ist vom CRA als Betreiber nicht adressiert.
Welche Klasse gilt für meine SPS-Steuerung — und was heißt das?
Im Kommissionsentwurf standen industrielle Automatisierungs- und Steuerungssysteme noch als wichtige Produkte in den Listen — im final verabschiedeten Text sind sie gestrichen. Eine SPS, ein HMI-Panel, ein Frequenzumrichter oder eine Maschine ohne gelistete Sicherheits-Kernfunktion ist damit ein Default-Produkt: Konformität per Selbstbewertung, keine benannte Stelle. Vorsicht bei Zukauf-Komponenten mit gelisteter Kernfunktion — verbaut man etwa einen Industrie-Router oder eine Firewall, bleibt deren Einstufung Sache des Komponenten-Herstellers; die eigene Anlage wird dadurch nicht automatisch zum Klasse-I-Produkt.
Die Pflichten der Default-Klasse sind trotzdem substanziell: Cyber-Risikobewertung in der technischen Dokumentation, sichere Grundkonfiguration, Umgang mit Schwachstellen samt Update-Weg, SBOM, Meldeprozess ab September 2026 und CE-Kennzeichnung unter dem CRA für ab Dezember 2027 in Verkehr gebrachte Produkte. Als Umsetzungs-Werkzeug auf Systemebene hat sich die Normreihe IEC 62443 etabliert — der CRA verlangt sie nicht wörtlich, aber sie liefert das passende Gerüst.
Was ist mit Einzelanfertigungen und kundenspezifischen Anlagen?
Hier ist die Rechtslage noch nicht abschließend geklärt: Ob und wie der CRA auf echte Einzelanfertigungen und projektspezifische Anlagen anzuwenden ist, wird in einem EU-Leitfaden zur Anwendung des CRA auf Elektrogeräte und Maschinen behandelt, der bislang als Entwurf vorliegt. Bis zur Klärung fahren Betriebe am sichersten zweigleisig: die CRA-Grundpflichten (Risikobetrachtung, Update-Konzept, Meldeprozess) in den eigenen Standard aufnehmen — sie decken sich ohnehin weitgehend mit dem, was die neue Maschinenverordnung ab Januar 2027 für Maschinen verbindlich macht.
Wie hängen CRA und neue Maschinenverordnung zusammen?
Beide Regelwerke treffen dieselbe vernetzte Maschine aus zwei Richtungen: Der CRA regelt das Produkt mit digitalen Elementen (Software-Lebenszyklus, Schwachstellen, Meldungen), die Maschinenverordnung ab dem 20. Januar 2027 die Maschinensicherheit — neu einschließlich Schutz gegen Korrumpierung und manipulationssichere Steuerungen. Wer beide Fristen zusammen denkt, spart doppelte Arbeit: Die Cyber-Risikobeurteilung der MVO und die CRA-Risikobewertung speisen sich aus derselben Analyse, und ein sauberer Update-/Logging-Mechanismus zahlt auf beide Konformitäten ein.
Wer trägt welche CRA-Rolle im Steuerungs- und Anlagenbau?
| Konstellation | CRA-Rolle | Konsequenz |
|---|---|---|
| Serien-Schaltschrank/Steuerung unter eigener Marke verkauft | Hersteller | Volle CRA-Pflichten für ab 11.12.2027 in Verkehr gebrachte Produkte; Meldeprozess ab 09/2026 |
| Vernetzte Maschine mit zugekaufter SPS unter eigener Firma geliefert | Hersteller (Maschine = Produkt mit digitalen Elementen) | Default-Klasse: Selbstbewertung; Risikobewertung, SBOM, Update-Konzept |
| Lohnfertigung, Produkt läuft unter Marke des Auftraggebers | Nicht Hersteller (Auftraggeber trägt die Rolle) | Vertraglich klären: Zulieferung von Doku/SBOM an den Markenhersteller |
| Eigenimport von Komponenten aus Drittstaaten | Importeur | Prüf- und Informationspflichten; bei Eigenmarke → Herstellerrolle |
| Anlage nur betreiben, warten, instand halten | Betreiber — vom CRA nicht adressiert | Keine CRA-Pflichten; NIS2-Pflichten des Betriebs separat prüfen |
| Echte Einzelanfertigung / Projektanlage | Ungeklärt (EU-Leitfaden liegt als Entwurf vor) | CRA-Grundpflichten vorsorglich anwenden; Entwicklung beobachten |
Einordnung nach Verordnung (EU) 2024/2847 (Herstellerbegriff) und BGHM-FAQ; die Zeile „Einzelanfertigung“ ist bewusst als offen gekennzeichnet.
Häufige Fragen
Fachliche Details zu dieser Parameter-Kombination
Meine Maschine hat gar keine Internet-Verbindung — gilt der CRA trotzdem?
Reicht es, wenn mein SPS-Lieferant CRA-konform ist?
Muss ich für den CRA nach IEC 62443 zertifizieren?
Was sollte ich 2026 konkret zuerst tun?
Quellen und Rechtstexte
- Verordnung (EU) 2024/2847 (CRA) — EUR-Lex, Volltext
- BGHM — FAQ zum Cyber Resilience Act (Maschinen)
- ibf — Maschinenbauer, CRA und IEC 62443
- BSI — Cyber Resilience Act
EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.
Verwandte Berechnungen
Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.
Alle Rechner
Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.