Cyber Resilience Act (CRA): Sicherheit für Produktion und IT

Der Cyber Resilience Act basiert auf der Verordnung (EU) 2024/2847. Er betrifft Hersteller, Importeure und Händler von Produkten mit digitalen Funktionen – vom eingebetteten System über vernetzte Geräte bis hin zu Softwareprodukten und Firmware. Damit betrifft die Verordnung nahezu alle Unternehmen, die digitale Produkte in der EU bereitstellen – vom industriellen Automatisierungshersteller bis zum Lieferanten von Cloud-Services.

Besonders wichtig ist dabei Transparenz: Die Verordnung fordert nachvollziehbare Dokumentation, sichere Software-Lieferketten und klar definierte Meldeprozesse.

Durch diese Standards steigt nicht nur die Sicherheit, sondern auch die Planbarkeit für Betreiber.

Die Verordnung ist seit 11. Dezember 2024 in Kraft. Die Anwendungspflicht beginnt nach der Übergangsfrist, sodass Hersteller genügend Zeit erhalten, ihre Produkte, Entwicklungsprozesse und Dokumentation anzupassen.

• 20. November 2024: Veröffentlichung des Gesetzestextes im Amtsblatt der EU
  Die endgültige Fassung des CRA erscheint im Europäischen Amtsblatt und wird damit offiziell publiziert.

• 11. Dezember 2024: Inkrafttreten des Cyber Resilience Acts
  Der Cyber Resilience Act tritt offiziell in Kraft. Ab diesem Datum beginnen die vorgesehenen Übergangsfristen.

• 11. September 2026: Verpflichtende Meldung von Schwachstellen und Sicherheitsvorfällen
  Unternehmen müssen ab sofort festgestellte Schwachstellen sowie sicherheitsrelevante Vorfälle entsprechend den CRA-Regelungen melden.

• 11. Dezember 2027: Pflicht zur vollständigen Einhaltung des CRA für neue Produkte
  Ab diesem Stichtag müssen alle neu in Verkehr gebrachten Produkte sämtliche Anforderungen des Cyber Resilience Act erfüllen.

Für Hersteller bedeutet das:

Schon jetzt sollten Entwicklungs-, Validierungs- und Security-Prozesse angepasst werden. Auch Betreiber profitieren – denn Produkte, die gemäß Cyber Resilience Act entwickelt wurden, erhalten über viele Jahre Sicherheitsupdates, Patch-Management und dokumentierte Nachweise. Damit steigt die gesamte Cyber Resilience in Produktionsumgebungen.

Die Verordnung geht bewusst weit: Nicht nur Hochsicherheitsprodukte oder hochkritische Systeme, sondern nahezu alle digitalen Geräte unterliegen den Regeln. Selbst Anwendungen, die lokal auf einem PC laufen, fallen unter die CRA-Anforderungen, wenn sie Funktionen bereitstellen, die Daten verarbeiten, Schnittstellen nutzen oder vernetzt werden können. Der CRA gilt für nahezu alle Produkte mit digitalen Elementen, beispielsweise:

• Hardware mit eingebetteter Software,
• vernetzte Geräte (z. B. IoT-Hardware),
• reine Softwareprodukte,
• cloudbasierte oder lokal ausgeführte Anwendungen.

Entscheidend ist: Sobald ein Produkt digitale Funktionen besitzt und auf dem EU-Markt bereitgestellt wird, gelten die CRA-Regelungen und damit Anforderungen an Sicherheit, Updates und den Umgang mit Schwachstellen.

Mit dem EU Cyber Resilience Act (CRA) steigen die Anforderungen an die Sicherheit industrieller Produkte deutlich. Als Hersteller bereiten wir uns intensiv darauf vor – damit Sie als Kunde auch in Zukunft auf sichere, konforme und zukunftsfähige Automatisierungslösungen vertrauen können. Für Betreiber bedeutet das mehr Sicherheit im Alltag. Viele Unternehmen sehen sich heute mit steigenden Cyberangriffen konfrontiert – vom ungeplanten Anlagenstillstand bis zur Manipulation oder unbemerkten Datenabflüssen. Mit dem Cyber Resilience Act steigt das allgemeine Sicherheitsniveau im Markt. Produkte ohne nachweisbare Cybersecurity dürfen künftig nicht mehr vertrieben werden.

* Hier finden Sie die European Union Vulnerability Database (EUVD), in der Schwachstellen für die EU zentral gemeldet und dokumentiert werden.

Der EU Cyber Resilience Act legt verbindliche Sicherheitsstandards für industrielle Produkte fest. Mitsubishi Electric bereitet sich aktiv darauf vor, viele unserer Automatisierungsprodukte CRA-kompatibel zu machen.

Der EU Cyber Resilience Act (CRA) legt verbindliche Sicherheitsstandards für industrielle Produkte fest. Wir bei Mitsubishi Electric bereiten uns aktiv darauf vor, einen Großteil unseres Produktportfolios gemäß IEC 67442-4-2 zu zertifizieren.

In Kürze informieren wir Sie an dieser Stelle darüber, welche unserer Produkte die Anforderungen der Norm erfüllen und welche wir künftig aufgrund der neuen Cybersicherheitsvorschriften nicht mehr vertreiben dürfen.

Nicht alle bestehenden Produktserien werden vollständig CRA-konform sein. ​Ein Grund dafür sind technische Einschränkungen – insbesondere Hardware- und Designlimitierungen älterer Generationen. Diese lassen sich nicht immer auf die neuen Sicherheitsanforderungen anpassen.​ Für diese Serien bieten wir klare Migrationspfade und langfristige Unterstützung an, damit Sie Ihre Anlagen rechtzeitig und planbar modernisieren können.​

Hier entstehen keine Nachteile für Betreiber. Ersatzteile bleiben verfügbar und Serviceprozesse laufen weiter. Zusätzlich werden Lösungen angeboten, um Systeme schrittweise zu aktualisieren und die Sicherheit der Anlagen zu gewährleisten. Der Cyber Resilience Act zwingt den Markt nicht zum abrupten Austausch, sondern schafft einen langfristigen und planbaren Übergang.

Mit dem CRA wird Cybersecurity zu einem verbindlichen Qualitätskriterium für Produkte mit digitalen Elementen.

Durch die verpflichtenden Security-Standards wird der Markt transparenter. Unternehmen, die früh investieren, schaffen Vertrauen und erhöhen ihre Wettbewerbsfähigkeit. Betreiber bevorzugen Produkte, die nachweislich sicher sind und aktive Cybersecurity Mechanismen enthalten.

Das bedeutet für Hersteller und Lieferanten:

• Produkte ohne CRA-Konformität können ihren Marktzugang verlieren oder verspätet zertifiziert werden.
• Kunden bevorzugen Produkte mit nachweisbarer Sicherheit und klarer Dokumentation.
• Unternehmen, die früh in sichere Entwicklungs- und Updateprozesse investieren, erhöhen ihre Wettbewerbsfähigkeit und reduzieren Time-to-Market-Risiken.

Die Lieferkette ist ein wesentlicher Bestandteil moderner Produktion. Software-Bibliotheken, Open-Source-Pakete oder externe Module können Schwachstellen enthalten. Mit dem Cyber Resilience Act müssen Hersteller dokumentieren, welche Komponenten eingesetzt werden und wie sie geschützt sind. Diese Vorgaben erhöhen die Cyber-Resilienz der gesamten industriellen Wertschöpfungskette.

Der CRA verlangt deshalb:

• klare Zuständigkeiten und Meldewege bei Schwachstellen,
• sichere Updates,
• technische Dokumentation und Transparenz über verwendete Komponenten.

Hersteller und Lieferanten, die diese Anforderungen nicht erfüllen, riskieren:

• Sicherheitsvorfälle,
• Rückruf- oder Nachbesserungskosten,
• Reputationsverluste,
• sowie haftungsrechtliche Konsequenzen.

Frühzeitige Vorbereitung reduziert Aufwand und Kosten im Produktlebenszyklus. Dadurch steigt die Qualität der Produkte, die Sicherheit der Anlagen und die Planbarkeit im Betrieb. Unternehmen, die schon vor 2027 CRA-konforme Lösungen einsetzen, profitieren von langfristiger Stabilität, höherer Security und weniger Ausfallrisiken.

Unternehmen profitieren von:

• automatisierten Prozessen zur SBOM-Pflege,
• klaren Vorgaben für Lieferanten und externe Entwickler,
• schnelleren Zertifizierungen,
• besserer Audit-Fähigkeit für Kundenanforderungen.

Außerdem stärkt eine robuste Sicherheitsarchitektur das Vertrauen von Geschäftspartnern und erleichtert den Zugang zu Ausschreibungen oder regulierten Branchen.

Der Cyber Resilience Act ist ein Meilenstein für die europäische Industrie. Er definiert klare Standards für Cyber-Security, sorgt für Transparenz in Lieferketten, schützt Betreiber und stärkt die Sicherheit vernetzter Produktionssysteme. Mit sicheren Entwicklungsprozessen, modernster Produktarchitektur und starkem Fokus auf die Qualität der Software bereitet Mitsubishi Electric seine Lösungen konsequent auf CRA-Konformität vor.

Cyberangriffe werden bleiben. Aber mit moderner Security, sicherer Software und konsequenter Umsetzung des Cyber Resilience Act können industrielle Anlagen stabil, verlässlich und resilient betrieben werden.