EN 40000-1-3: Neue Auflagen für Maschinenhersteller durch den Cyber Resilience Act
Mit dem Cyber Resilience Act (CRA) hat die EU erstmals verbindliche Cybersicherheitsstandards für alle Produkte mit digitalen Elementen eingeführt. Das Ziel: mehr Schutz vor Cyberangriffen und höhere Sicherheit für Verbraucher und Unternehmen. Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die neue EU-Verordnung wird bereits ab Ende 2026 bzw. Ende 2027 verbindlich. Auch wenn die Übergangsfristen zunächst großzügig wirken: Cybersicherheitsanforderungen müssen bereits heute in Planung, Entwicklung und Lieferketten berücksichtigt werden.
Der CRA betrifft alle Unternehmen, die digitale oder vernetzte Produkte in der EU herstellen, importieren oder vertreiben – und bringt umfangreiche Sicherheits-, Melde- und Dokumentationspflichten sowie neue Haftungsrisiken mit sich.
Was bedeutet der CRA für Unternehmen?
- Betroffene Produkte: Smartphones, Tablets, Smart-Home-Geräte, Wearables, Router, Softwarelösungen, IoT- und Industrieanlagen.
- Ausnahmen: Medizinprodukte, Fahrzeuge, Verteidigungsgüter sowie nicht-kommerzielle Open-Source-Software.
Neuen Anforderungen des CRA:
- Secure by Design & Default: Sicherheit muss von Anfang an integriert sein,
- Lebenszyklus-Sicherheit: Updates und Support über mehrere Jahre,
- Risikomanagement: Schwachstellen müssen aktiv gemeldet und behoben werden.
Der Cyber Resilience Act (CRA) legt zudem neue Auflagen für Maschinenhersteller fest. Er betrifft Sie direkt, wenn Ihr Unternehmen Maschinen oder Geräte mit Software, Firmware oder Netzwerkanbindung herstellt. Der neue Normentwurf EN 40000-1-3 übersetzt die abstrakten CRA-Anforderungen in konkrete Umsetzungspflichten. Wer jetzt noch keine strukturierten Prozesse hat, sollte aufhorchen.
Was Maschinenhersteller nachweisen müssen:
- eine SBOM und HBOM (Software- und Hardware-Stückliste) – maschinenlesbar, vollständig und über den gesamten Produktlebenszyklus aktuell gehalten; nicht als Einmaldokument, sondern als dynamischer Datensatz
- eine öffentliche Richtlinie zur koordinierten Schwachstellenoffenlegung – inklusive Safe-Harbor-Zusage, definierten Meldekanälen und einem dokumentierten Response-Prozess mit festen Reaktionszeiten
- ein kontinuierliches Monitoring Ihrer verbauten Komponenten – automatisiert, in festen Review-Zyklen, mit nachweisbarer Dokumentation für Marktüberwachungsbehörden
- einen Patch-Management-Prozess mit Risikoeinstufung, Interimslösungen und sicherer Update-Verteilung – sowie verständliche Advisories für Ihre Maschinenbetreiber
Den kritischsten Punkt unterschätzen viele: Ab September 2026 gelten bereits erste Meldepflichten für Sicherheitsvorfälle – innerhalb von 24 Stunden an das BSI oder die ENISA. Wer intern keine klaren Rollen und Eskalationsprozesse definiert hat, wird unter Zeitdruck reagieren müssen.
Bonus für Maschinenhersteller: Wer die EN 40000-1-3 konsequent umsetzt, erfüllt gleichzeitig wesentliche Cybersicherheitsanforderungen der neuen EU-Maschinenverordnung 2023/1230 – ein Prozess, zwei Regelwerke.
Informationen zu unserem neuen CRA-Seminar finden Sie hier
