Cyber Resilience Act Quick Check

CRA kompakt: Eine CRA-Einstiegshilfe für Produktverantwortliche

2 Minuten zum Lesen
Lars Roith
CRA kompakt: Eine CRA-Einstiegshilfe für Produktverantwortliche
Dieser Artikel bietet eine schnelle Orientierung für Hersteller, OEMs und Zulieferer mit Entscheidungstabelle, ob sie vom CRA betroffen sind sowie praxisnahen Fallbeispielen.

Der Cyber Resilience Act (CRA) betrifft nicht nur klassische IT-Hersteller. Auch Maschinenbauer, Geräteproduzenten und deren Zulieferer müssen sich fragen: Sind wir betroffen – und wenn ja, in welchem Umfang?

Diese Entscheidungshilfe liefert eine schnelle Orientierung für Produktverantwortliche. Wir zeigen typische Fallbeispiele, erläutern zentrale Begriffe und bieten eine kompakte Entscheidungsmatrix.

Wen meint der CRA eigentlich?

  • Hersteller: Entwickeln und bringen Produkte mit digitalen Elementen auf den Markt.
  • OEMs: Kombinieren bestehende Hardware oder Software zu neuen Produkten.
  • Zulieferer: Liefern Komponenten oder Software, die in andere Produkte integriert werden.

Entscheidend ist: Wer steht am Ende auf dem Typenschild und trägt die Verantwortung für das fertige Produkt?

Was ist ein Produkt mit digitalen Elementen?

Laut CRA ist das jedes Produkt, das Software enthält oder mit digitaler Kommunikation verbunden ist – also z. B.:

  • Industriegeräte mit Embedded Software
  • Maschinen mit Remote-Zugriff oder Cloud-Anbindung
  • Mobile Apps zur Steuerung oder Konfiguration
  • Gateways, Steuerungen, HMI-Systeme

Keine Rolle spielt, ob die Software selbst entwickelt oder zugekauft wurde – die Verantwortung bleibt beim Hersteller des Gesamtprodukts.

Entscheidungsmatrix: Bin ich betroffen?

Nutzen Sie diese einfache Entscheidungstabelle, um eine erste Einordnung vorzunehmen:

FrageJaNein
Wird Software mit dem Produkt ausgeliefert oder ist darin integriert?
Ist das Produkt netzwerkfähig oder mit anderen Systemen verbunden?
Tragen Sie als Hersteller das Typenschild?

Treffen zwei oder mehr Punkte zu, sollten Sie sich dringend mit den Pflichten aus dem CRA befassen.

Typische Fallbeispiele

Fall 1: Maschinenhersteller mit HMI und Remote-Wartung

Ein Sondermaschinenbauer vertreibt weltweit Anlagen mit integrierter Steuerung, Visualisierung und Fernzugriff. Die Software stammt zum Teil von Drittanbietern.

✅ Vom CRA betroffen.

Fall 2: OEM nutzt Fremdkomponenten zur Komplettlösung

Ein Anbieter kombiniert IoT-Gateways und Visualisierungssysteme zu einem Komplettpaket für seine Kunden. Er ist als Hersteller gelistet.

✅ Vom CRA betroffen.

Fall 3: Zulieferer liefert nur Embedded Library

Ein Softwarezulieferer stellt eine mathematische Bibliothek für Steuergeräte zur Verfügung, die vom OEM eingebunden wird.

❌ Nicht direkt betroffen, aber ggf. indirekt über Vertragsverpflichtungen.

Fazit

Der CRA betrifft viele Unternehmen, die sich bislang nicht als IT-Hersteller verstanden haben. Wer Software integriert, netzwerkfähige Produkte vertreibt oder in der Verantwortung für die Gesamtlösung steht, sollte sich aktiv vorbereiten.

Unser CRA-Workshop bietet Ihnen einen kompakten Einstieg und hilft, betroffene Produkte und Pflichten zu identifizieren.

Autoren

Lars Roith

Lars Roith

Lars berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.