Übersicht mit KI

Der Beitrag beschreibt, wie der Cyber Resilience Act (CRA) ab Ende 2027 die Cybersecurity-Anforderungen für vernetzte Produkte in Europa deutlich verschärft – und warum viele Unternehmen dafür noch nicht ausreichend vorbereitet sind. Ab dem 11. Dezember 2027 dürfen nur noch CRA-konforme Produkte mit CE-Kennzeichnung in Verkehr gebracht werden; Cybersecurity wird damit direkt wettbewerbsrelevant. Anders als bei NIS-2 geht es nicht nur um Organisation, sondern um konkrete technische Vorgaben für Produkte, Komponenten und Entwicklungsprozesse – inklusive Haftung des Herstellers für das Gesamtsystem, auch bei Zulieferteilen. Zentral sind „Secure by Design“, formalisierte Softwareentwicklung, umfangreichere Dokumentationspflichten (u. a. SBOM) und ein durchgängiges Schwachstellenmanagement über den gesamten Produktlebenszyklus. Technisch werden u. a. Hardware Root of Trust, Secure Boot, kontrollierte Softwareänderungen sowie validierte Updates verlangt. Besonders herausfordernd ist die geforderte Updatefähigkeit: Schwachstellen müssen mindestens fünf Jahre nach Auslieferung behoben werden, während industrielle Systeme oft 10–20 Jahre laufen und Hersteller teils vom Support ihrer Zulieferer (BIOS/Firmware/Plattformen) abhängig sind. Der Text betont zudem den steigenden Aufwand durch Normen, mögliche externe Prüfstellen (z. B. TÜV) und offene Fragen bei Standards/Herstellererklärungen. Als pragmatische Abkürzung zur Compliance werden „CRA-ready“ Betriebssysteme, Device-Management-Lösungen und Sicherheits-Gateways genannt, die Security-Funktionen und Updateprozesse bereits mitbringen bzw. ältere Systeme absichern können. Fazit: Der CRA ist mehr als Regulierung – er treibt einen grundlegenden Umbau von Produktentwicklung und Betrieb hin zu höherer Cyberresilienz, verstärkt durch die stark steigende Zahl neuer Schwachstellen.

placeholder
Cybersecurity für vernetzte Produkte

CRA-Compliance in der Praxis: So gelingt der Weg zur Cyberresilienz

Viele Unternehmen haben sich noch nicht ausreichend auf die Veränderungen eingestellt, die der Cyber Resilience Act (CRA) ab Ende 2027 bringt. Software-Entwicklungsprozesse werden formaler, die Dokumentation auch im Open-Source-Umfeld anspruchsvoller. Besonders die geforderte Update-Fähigkeit stellt viele Hersteller vor Herausforderungen. ‚CRA-ready‘-Betriebssysteme und Komponenten können den Weg zur Compliance erheblich verkürzen.

00:00



Sorry, no results.
Please try another keyword

KontronOS integriert zentrale Security-Funktionen wie Secure Boot, OTA-Updates und SBOM-Unterstützung und soll Unternehmen den Weg zur CRA-Compliance erleichtern.
KontronOS integriert zentrale Security-Funktionen wie Secure Boot, OTA-Updates und SBOM-Unterstützung und soll Unternehmen den Weg zur CRA-Compliance erleichtern.Bild: Kontron Europe GmbH

Der Cyber Resilience Act soll angesichts der zugespitzten Lage im Bereich Cybersicherheit dazu beitragen, das Sicherheitsniveau vernetzter Produkte in Europa deutlich zu erhöhen. Dafür müssen Hersteller Security systematisch in ihre Produkte integrieren – von ‚Secure by Design‘ über Update-Fähigkeit bis hin zum kontinuierlichen Schließen von Schwachstellen. Ziel ist es, auch bereits länger am Markt befindliche Systeme resilient gegen Cyberangriffe zu machen.

IoT Device Management mit KontronGrid
Bild: Kontron Europe GmbH

Normen, Zertifizierung und organisatorischer Umbau

Spätestens ab dem 11. Dezember 2027 dürfen nur noch CRA-konforme Produkte mit CE-Kennzeichnung in Verkehr gebracht werden. Damit wird Cybersecurity unmittelbar wettbewerbsrelevant. Viele Unternehmen unterschätzen jedoch noch immer die Tragweite der neuen Anforderungen. Anders als bei der NIS-2-Richtlinie geht es beim CRA nicht nur um organisatorische Maßnahmen, sondern um konkrete technische Vorgaben für Produkte, Komponenten und Entwicklungsprozesse. Wer Produkte auf den Markt bringt, haftet künftig für das Gesamtsystem – ein bloßes Weiterreichen der Verantwortung an Zulieferer reicht nicht mehr aus.

Für viele Unternehmen bedeutet das erhebliche organisatorische Veränderungen. Der CRA orientiert sich stark an bestehenden Standards wie IEC62443-4-1 und -4-2. Unternehmen, die sich bereits mit diesen Normen oder mit der EN18031 im Rahmen der Radio Equipment Directive beschäftigt haben, besitzen einen Vorteil. Trotzdem drängt die Zeit: Teile der relevanten Normen sind noch nicht final ausformuliert, gleichzeitig müssen Entwicklungs- und Zertifizierungsprozesse bereits heute angepasst werden.

Anzeige

Mehr Speed mit IO-Link: 5 Praxistipps für Ingenieure
Wie Anwender das volle Potenzial smarter Sensoren ausschöpfen

IO-Link hat deutlich mehr zu bieten als die bekannten Vorzüge. Dieser Fachartikel zeigt mit Beispielen aus der Praxis, wie Anwender sämtliche Vorteile der digitalen Schnittstelle nutzen. Das funktioniert ohne grossen Trainingsaufwand: Selbst Einsteiger ohne Vorkenntnisse können dank kostenfreiem Baumer How-to-Tutorial IO-Link Geräte schon nach 80 Minuten in die SPS integrieren. ‣ weiterlesen

Je nach Sicherheitsklasse eines Produkts werden künftig externe Prüforganisationen wie der TÜV eingebunden. Das erhöht den Aufwand zusätzlich. Gleichzeitig dürfte sich CRA-Konformität rasch als Standard in Ausschreibungen etablieren. Unternehmen müssen deshalb lernen, Risiken systematisch zu bewerten, technische Schutzmaßnahmen daraus abzuleiten und ihre Lieferketten in das Sicherheitskonzept einzubinden.

Die K-Box von Kontron bildet als robuste Embedded-Computing-Plattform die Basis für sichere und CRA-konforme IoT- und Edge-Anwendungen.
Die K-Box von Kontron bildet als robuste Embedded-Computing-Plattform die Basis für sichere und CRA-konforme IoT- und Edge-Anwendungen.Bild: Kontron Europe GmbH

Der Weg zur Compliance bleibt holprig

Besonders schwierig wird der Umstieg für Unternehmen, die bislang wenig Berührung mit Industrial Security hatten. Während bei bisherigen CE-Zertifizierungen häufig noch Spielräume bestanden, steigen die Anforderungen nun deutlich. Hinzu kommen offene Fragen: So verlangt die EN18031 eine Software Bill of Materials (SBOM), die auch Standardsoftware wie Windows berücksichtigen müsste. Für manche Komponenten fehlen bislang jedoch passende Konformitätserklärungen der Hersteller, was die Zertifizierung komplex macht.

IoT-Device-Management mit KontronGrid: Sichere Updates, Monitoring und zentrale Verwaltung unterstützen die CRA-konforme Absicherung vernetzter Systeme.
IoT-Device-Management mit KontronGrid: Sichere Updates, Monitoring und zentrale Verwaltung unterstützen die CRA-konforme Absicherung vernetzter Systeme.Bild: Kontron Europe GmbH

Neue Anforderungen an Embedded-Systeme

Auch technisch steigen die Anforderungen erheblich. Gefordert wird u.a. eine Hardware Root of Trust bzw. Security, die sicherstellt, dass Bootloader, Firmware und Betriebssystem unverändert und authentisch sind. Software darf künftig nicht mehr beliebig nachinstalliert werden. Jede Änderung muss Teil des Sicherheitskonzepts sein. Gleichzeitig müssen Systeme Updates eigenständig validieren können, damit manipulierte Software ausgeschlossen wird. Hinzu kommt ein kontinuierliches Schwachstellen-Monitoring über den gesamten Produktlebenszyklus. Hersteller müssen Risiken in Komponenten und Gesamtsystemen überwachen und abhängig von der Sicherheitsklassifizierung regelmäßig Updates bereitstellen. Gerade bei älteren Produkten ist das oft schwierig umzusetzen.

Seiten: 1 2 3

Sichere Automation SPS-MAGAZIN 6 (Juni) 2026
Kontron Europe GmbH
Zur Firmenwebsite

MEHR ZUM THEMA

  • Farbecht
    Bild: Micro-Epsilon Messtechnik GmbH & Co. KG

    Farbecht

das könnte sie auch interessieren