EZB hält Zinsen trotz Inflationsgefahren stabil Bild: EZB hält Zinsen trotz Inflationsgefahren stabil
EXPORT today online - 12/2026
Tankstellenbetreiber gegen Margenbeschränkung Bild: Tankstellenbetreiber gegen Margenbeschränkung
Erdölindustrie warnt vor Versorgungsengpässen durch Eingriff Bild: Erdölindustrie warnt vor Versorgungsengpässen durch Eingriff
OECD hebt Österreichs BIP-Prognose an - Ohne Iran-Krieg Bild: OECD hebt Österreichs BIP-Prognose an - Ohne Iran-Krieg
NEW BUSINESS Guides - IT- & DIGITALISIERUNGS-GUIDE 2026
Um 55 Millionen Euro: Post baut Logistikzentrum Salzburg aus Bild: Um 55 Millionen Euro: Post baut Logistikzentrum Salzburg aus
Pfanner 2025 mit leichtem Umsatzzuwachs Bild: Pfanner 2025 mit leichtem Umsatzzuwachs
Gaspreis steigt nach Angriffen auf Katars Gasanlagen stark Bild: Gaspreis steigt nach Angriffen auf Katars Gasanlagen stark
NEW BUSINESS Export - NB EXPORT 2/2025
Goldpreis erneut deutlich gefallen Bild: Goldpreis erneut deutlich gefallen
Einzelhändler weichen in Städten oft Büros und Lagerflächen Bild: Einzelhändler weichen in Städten oft Büros und Lagerflächen
Sie befinden sich hier:  Home  |  Nächster Akt für mehr Cybersicherheit

Nächster Akt für mehr Cybersicherheit

19. März 2026
Lenze erklärt, wie Maschinenbauer mit den neuen Anforderungen umgehen müssen und worauf es ankommt. © Lenze

Mit dem Cyber Resilience Act werden EU-weite (Cyber-)Sicherheitsanforderungen für Produkte mit digitalen Elementen Pflicht.

Nach NIS2 und der neuen Maschinenverordnung tritt am 11. Dezember 2027 mit dem Cyber Resilience Act eine weitere Maßnahme der EU für mehr Cybersicherheit in Kraft. Mit diesem werden EU-weite (Cyber-)Sicherheitsanforderungen für Produkte mit digitalen Elementen Pflicht. 

Um die Anforderungen des nächsten Akts für mehr Cybersicherheit umsetzen zu können, sind Maßnahmen in Konzeption, Entwicklung, Herstellung und nach dem Inverkehrbringen vorgesehen. Der Cyber Resilience Act schafft einen einheitliche Rechtsrahmen für Cybersicherheitsanforderungen von Produkten mit digitalen Elementen. Lenze erklärt, wie Maschinenbauer mit den neuen Anforderungen umgehen müssen und worauf es ankommt.

"Der Cyber Resilience Act, kurz CRA, umfasst eine sehr breite Produktpalette", erläutert Michael Niehaus, verantwortlich für Product Compliance & Cybersecurity bei Lenze, "und reicht vom Babyfon über intelligente Uhren bis zu Firewalls und Routern." Kurz: Die Verordnung gilt für sämtliche Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind, also für alle Produkte mit digitalen Elementen. Der Anwendungsbereich ist sehr breit, auch reine Softwareprodukte sind erfasst. Software- und Hardwareprodukte müssen künftig mit der CE-Kennzeichnung versehen sein, die darauf hinweist, dass sie den Anforderungen der Verordnung entsprechen. Für Produkte, die ab dem 11. Dezember 2027 in der EU in Verkehr gebracht werden, gelten alle Anforderungen des CRA, selbst dann, wenn das Produktmodell oder die Produktart bereits davor auf dem Markt war.

"Unternehmen müssen sich neu einstellen und neu denken, denn, und das betont der CRA im Erwägungsgrund 1, Cyberangriffe sind ein Thema von öffentlichem Interesse. Sie können sich nicht nur auf die Wirtschaft, sondern auch auf die Demokratie sowie die Sicherheit und Gesundheit der Verbraucher negativ auswirken", so Michael Niehaus. 

Michael Niehaus,
verantwortlich für
Product Compliance &
Cybersecurity bei
Lenze © Lenze

Produktionsanlagen im Fokus Krimineller
Die digitale Vernetzung auf der einen Seite und die Verwendung neuer (KI-)Technologien auf der anderen stellen alle Hersteller, insbesondere auch den Maschinen- und Anlagenbau, Komponentenzulieferer und Maschinenbetreiber vor neue Herausforderungen. Parallel erfordert die steigende Komplexität und die damit einhergehende Vernetzung eine eingehende Betrachtung der Cybersicherheit.

"Die Industrie muss sich vergegenwärtigen, dass Cyberangriffe heute keine Ausnahme mehr sind, sondern eher die Regel. Und ist ein Angriff erfolgreich, bereitet er große Probleme und verursacht hohe Kosten, bis der normale Geschäftsbetrieb wieder aufgenommen werden kann", so der Experte. Während bisher eher die Office-Software eines Unternehmens angegriffen wurde, rücken Produktionsanlagen, also die OT-Ebene, immer mehr in den Fokus. Und genau diese Problematik adressiert der CRA.

Cybersicherheitsrisiken bewerten
Michael Niehaus: "Betroffen sind alle Hersteller von Produkten, die digitale Elemente enthalten, also Hardware oder Software inklusive Datenfernverarbeitungslösungen, sofern die Datenfernverarbeitung eine Funktion des Produktes ist." Darüber hinaus muss der sogenannte "bestimmungsgemäße Zweck" oder die "vernünftigerweise vorhersehbare Verwendung" des Produktes eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließen. Kann oder könnte das Produkt mit einem anderen Gerät oder einem Netzwerk kommunizieren, ist es vom CRA erfasst.

"Es ist also davon auszugehen, dass jedes in Verkehr gebrachte Produkt bzw. jede Maschine, welche über eine Schnittstelle verfügt, in den Anwendungsbereich des CRA fällt. Dabei ist es unbedeutend, ob die Komponenten selbst entwickelt oder zugekauft werden", weiß Michael Niehaus", wobei letztere natürlich auch selbst wieder unter den CRA fallen. Der Hersteller der Komponente muss genau wie der Maschinenbauer die grundlegenden Cybersecurity-Anforderungen aus Anhang I des CRA erfüllen. Er muss die Cybersicherheitsrisiken bewerten und Maßnahmen in der Maschine umsetzen und dies durch seine Konformitätserklärung bestätigen.

"Der Umfang dieser Sicherheitsmaßnahmen muss sorgfältig abgewogen werden: Setzt man zu wenige oder nicht die richtigen Maßnahmen, erhöht man die Angriffsmöglichkeiten inakzeptabel. Schießt man jedoch übers Ziel hinaus, bringt das ebenfalls Nachteile – in der Regel bei der Bedienbarkeit der Maschine." 

 

© Lenze

 

Keine Momentaufnahme
Damit die Berücksichtigung des CRA keine Momentaufnahme bei Auslieferung des Produkts bleibt, hat die EU vorgesorgt: Zum Zeitpunkt des Inverkehrbringens ist ein konkreter Unterstützungszeitraum anzugeben, in dem Schwachstellen der Maschine wirksam und CRA-konform beseitigt werden. Dazu muss der Hersteller laufend überwachen, ob Schwachstellen auftreten und sowohl für seine Eigenentwicklungen als auch für zugekaufte Komponenten Abstellmaßnahmen (in der Regel Updates) zur Verfügung stellen.

"Dies ist detailliert im Anhang I des CRA zu finden", so Michael Niehaus. Zudem gilt bereits ab dem 11. September 2026 eine Meldepflicht für aktiv ausgenutzte Schwachstellen bzw. bei schwerwiegenden Sicherheitsvorfällen. Doch gerade der Unterstützungszeitraum wirft Fragen auf. "Artikel 13 Abschnitt 8 des CRA definiert, dass der Unterstützungszeitraum, das heißt die Zeit, in der Schwachstellen vom Hersteller behandelt werden müssen, die voraussichtliche Nutzung des Produkts widerspiegelt", erläutert der Experte.

Bei Maschinen mit einem normalerweise längeren Nutzungszeitraum könnte es daher vorkommen, dass der Maschinenhersteller einen längeren Unterstützungszeitraum angibt, als der Lieferant für seine Komponenten, die in die Maschine eingebaut wurden. Ebenfalls stellt im Maschinenbau die Installation der Updates eine Herausforderung dar. Michael Niehaus: "Da man bei Maschinen eher keine automatischen Updates machen will, sondern diese gesteuert einspielen möchte, bedeutet dies, Betreiber müssen in der Zwischenzeit eine Cybersecurity-Analyse durchführen und andere Maßnahmen ergreifen."

Automatisierte Lösungen
Bleibt die Frage, wie bei komplexen Maschinen und Anlagen fundiert und schnell bewertet werden kann, welche Schwachstellen relevant sind und welche nicht. Für diese Hürde, also die Identifikation von Schwachstellen aller zugekauften und eingesetzten Komponenten, gibt es automatisierte Ansätze, die bereits den Löwenanteil der Arbeit übernehmen. Dennoch bleibt die Auseinandersetzung mit dem CRA und das Setzen geeigneter Maßnahmen eine Herausforderung zwischen Kosten, dem Zeitfaktor, der Bedienbarkeit und dem Einhalten der EU-Vorgaben. Michael Niehaus: "Das Umsetzen der Anforderungen des Cyber Resilience Acts und das Managen von Updates wird durchaus fordernd. Aber es ist im Interesse einer maximierten Cybersicherheit absolut notwendig." (red.)

 

Rückfragen & Kontakt
Lenze Austria GmbH
Ipf-Landesstraße 1, 4481 Asten
www.lenze.com