Aktualisierung vom 23. Juni 2026: Dieser Beitrag dokumentiert den Stand vom März 2026 und ersetzt die Fassung vom 26. März. Die erste SECURE-Förderrunde endete am 29. März 2026; neue Anträge für diese Runde sind nicht mehr möglich. Auch die Rückmeldefrist für die Entwurfsleitlinien endete am 31. März 2026.
Im März 2026 kamen drei Entwicklungen zusammen, die für Hersteller relevant waren: Die EU-Kommission veröffentlichte am 3. März 2026 Entwurfsleitlinien, am 12. März 2026 stand die CRA-Standardisierung auf der ENISA-Konferenz im Mittelpunkt, und die erste SECURE-Förderrunde bot Kleinstunternehmen sowie kleinen und mittleren Unternehmen ein Unterstützungsfenster.
Für Maschinenbauer, Hersteller vernetzter Produkte, Embedded-Teams und Produktverantwortliche ist das kein Nebenthema. Der Markt bekommt gerade mehr Klarheit, aber nicht in der Form “jetzt ist alles final”. Die eigentliche Botschaft lautet: Die Richtung ist klar genug, um jetzt sauber vorzubereiten.
Wenn Sie zuerst den grundsätzlichen Rahmen brauchen, lesen Sie ergänzend meinen Überblick zum Cyber Resilience Act für Maschinenbauer und Hersteller. Dieser Beitrag fokussiert bewusst nur auf die aktuellen Entwicklungen im März 2026 und darauf, was Hersteller daraus schon jetzt ableiten sollten.
Warum der März 2026 für den CRA relevant ist
Drei Punkte sind gerade gleichzeitig wichtig:
- Die EU-Kommission hat einen Entwurf für CRA-Leitlinien veröffentlicht und bis 31. März 2026 zur Rückmeldung geöffnet.
- Die europäische Standardisierung zum CRA wurde am 12. März 2026 öffentlich weiter konkretisiert.
- Über das SECURE-Projekt konnten förderfähige Kleinstunternehmen, kleine und mittlere Unternehmen bis 29. März 2026 Unterstützung für CRA-nahe Umsetzungsmaßnahmen beantragen. Diese erste Runde ist beendet.
Das ist genau die Phase, in der viele Unternehmen einen Fehler machen: Sie warten auf das letzte Detail und übersehen, dass sich die operativen Baustellen längst klar abzeichnen.
Was die neuen CRA-Leitlinien vom 3. März 2026 praktisch bedeuten
Die Kommission hat am 3. März 2026 Entwurfsleitlinien veröffentlicht, die Unternehmen bei der Anwendung des CRA unterstützen sollen. Laut Kommission liegt der Schwerpunkt unter anderem auf:
- remote data processing solutions
- free and open-source software
- support periods
- dem Zusammenspiel mit anderer EU-Gesetzgebung
Gerade diese Punkte waren bisher in vielen Projekten die Stellen, an denen Diskussionen hängen blieben. Nicht weil der CRA unverständlich wäre, sondern weil Hersteller wissen wollten, wie weit der Anwendungsbereich praktisch reicht.
1. Scope wird operativ wichtiger
Die zentrale Frage bleibt nicht nur: “Gilt der CRA grundsätzlich?” Sondern: Welche Produkte, Softwareanteile und Betriebsmodelle fallen konkret in den Anwendungsbereich?
Für Hersteller heißt das:
- Produktgrenzen sauber ziehen
- digitale Elemente dokumentieren
- externe Komponenten und Services nicht nur technisch, sondern regulatorisch einordnen
Wer das heute nicht sauber abgrenzt, verliert später Zeit bei Dokumentation, Konformitätsbewertung und Verantwortlichkeiten.
2. Remote-Funktionen sind kein Randthema mehr
Dass die Leitlinien ausdrücklich auf remote data processing solutions eingehen, ist wichtig. Viele Hersteller denken beim CRA noch zu eng in Hardware, Firmware und klassischer Embedded Software. In der Praxis hängen heute aber oft Portale, Fernwartungsfunktionen, Cloud-Anbindungen, Telemetrie oder Update-Dienste mit am Produkt.
Genau dort entstehen die unangenehmen Fragen:
- Was gehört noch zum Produkt?
- Was ist Teil der Sicherheitsverantwortung?
- Welche Support- und Update-Zusagen müssen belastbar dokumentiert werden?
Der März-Stand zeigt: Diese Fragen lassen sich nicht mehr bis kurz vor 2027 vertagen.
3. Support-Zeiten werden Management-Thema
Dass die Leitlinien die support periods ausdrücklich adressieren, ist aus meiner Sicht einer der wichtigsten Punkte. Viele Hersteller haben technisch gute Produkte, aber keine wirklich belastbare Governance dazu, wie lange Sicherheitsupdates, Schwachstellenbehandlung und Pflege organisatorisch zugesagt und durchgehalten werden.
Das ist kein reines Security-Thema. Es betrifft:
- Produktmanagement
- Service
- Entwicklung
- Einkauf
- Geschäftsführung
Spätestens hier wird CRA vom Technikprojekt zum Organisationsprojekt.
Was die Standardisierung vom 12. März 2026 signalisiert
Auf der 10th Cybersecurity Standardisation Conference am 12. März 2026 haben ENISA, CEN, CENELEC und ETSI den CRA ausdrücklich als Schwerpunkt gesetzt. Offiziell ging es dort um den Stand der Harmonisierung, das Zusammenspiel mit anderer Gesetzgebung und die Auswirkungen auf Standards.
Das ist wichtig, weil viele Unternehmen aktuell auf harmonisierte Standards schauen, um später möglichst rechtssicher und effizient umzusetzen. Gleichzeitig höre ich in Projekten immer wieder denselben Satz:
“Solange die Standards nicht final sind, können wir noch nicht anfangen.”
Das ist fachlich zu kurz gedacht.
Denn auch ohne finalen Endstand der harmonisierten Normen lassen sich schon jetzt die Bausteine vorbereiten, die später sowieso gebraucht werden:
- Produktinventar und Scoping
- Verantwortlichkeiten im Produktlebenszyklus
- Schwachstellenmanagement
- Update- und Support-Prozesse
- technische Dokumentation
- Lieferanten- und Komponentenübersicht
- SBOM-nahe Transparenz
Gerade Maschinenbauer sollten an dieser Stelle auch die Schnittstelle zur Maschinenregulierung im Blick behalten. Dazu passen meine Beiträge zur Maschinenverordnung und Cybersicherheit und zum aktuellen Stand von prEN 50742.
Was die beendete Förderrunde für kleinere Hersteller gezeigt hat
Die erste Förderrunde des SECURE-Projekts endete am 29. März 2026. Laut EU-Kommission konnten KMU und Kleinstunternehmen (MSMEs) bis zu 30.000 Euro Kofinanzierung für bestimmte CRA-nahe Maßnahmen beantragen. Diese Angaben beschreiben die abgeschlossene Runde und sind kein aktuelles Förderangebot.
Das sollte man nicht romantisieren. Förderung ersetzt keine Strategie. Aber sie ist ein gutes Signal für genau die Unternehmen, die wissen:
- Wir müssen anfangen.
- Wir haben noch keine belastbare CRA-Struktur.
- Wir wollen nicht erst 2027 in Hektik geraten.
Für kleinere Hersteller ist das vor allem dann interessant, wenn bereits klar ist, dass Produkte mit digitalen Elementen im Markt sind, aber Security-Dokumentation, Komponentenübersicht, Support-Regeln oder Schwachstellenprozesse noch nicht sauber stehen.
Was Hersteller jetzt schon tun sollten, auch wenn noch nicht alles final ist
Aus meiner Sicht sind das die sinnvollsten Schritte für die nächsten 90 Tage:
1. Produktbestand und Scope sauber ziehen
Nicht abstrakt, sondern konkret:
- Welche Produkte fallen unter den CRA?
- Welche Software- und Hardwarebestandteile sind relevant?
- Wo hängen Remote-Funktionen oder externe Services am Produkt?
2. Sicherheitsverantwortung organisatorisch festziehen
Viele Unternehmen haben gute Technik, aber unklare Zuständigkeiten. Der CRA verzeiht diese Grauzonen schlecht. Es muss klar sein, wer intern für:
- Schwachstellenmanagement
- Produktpflege
- Sicherheitsupdates
- technische Dokumentation
- Lieferantenthemen
zuständig ist.
3. Komponenten- und Lieferkettentransparenz verbessern
Nicht jede Organisation braucht morgen eine perfekte SBOM-Landschaft. Aber jede Organisation braucht jetzt einen belastbaren Überblick darüber, welche Drittkomponenten, Open-Source-Bausteine und Zulieferbeiträge in den Produkten stecken.
4. Support- und Update-Modell prüfen
Was wird Kunden heute zugesagt? Was ist technisch möglich? Was ist intern wirklich abgesichert? Genau an dieser Stelle entsteht später oft die Lücke zwischen Vertrieb, Produktmanagement und Security.
5. Dokumentation nicht bis zum Schluss aufschieben
Der klassische Fehler lautet: Erst bauen, später erklären. Regulierte Produktsecurity funktioniert so nicht. Dokumentation muss mitlaufen, sonst fehlt am Ende die Nachweisfähigkeit.
Wo Unternehmen aktuell Zeit verlieren
In Gesprächen sehe ich gerade vier typische Bremsen:
- Der CRA wird intern noch als reines Rechtsthema eingeordnet.
- Das Thema hängt vollständig bei der IT, obwohl Produkt, Entwicklung und Management mitentscheiden müssen.
- Man wartet auf den finalen Standard, statt die offensichtlichen Grundlagen aufzubauen.
- Maschinenbauer unterschätzen, wie stark CRA, Produktdokumentation und MVO zusammenlaufen.
Genau deshalb ist der März 2026 relevant: Er nimmt die bequeme Warteposition aus dem System. Es ist nicht alles fertig, aber genug ist klar, um jetzt strukturiert zu handeln.
Was das für Maschinenbauer und Hersteller im Mittelstand konkret heißt
Für viele mittelständische Hersteller ist der sinnvollste Einstieg nicht direkt die große Konformitätsdiskussion, sondern eine nüchterne Standortbestimmung:
- Welche Produkte sind CRA-relevant?
- Wo fehlen Sicherheits- und Pflegeprozesse?
- Welche Remote- oder Software-Anteile machen die Lage komplizierter?
- Welche Anforderungen laufen parallel über Maschinenverordnung, CE-Dokumentation oder Kundenvorgaben?
Gerade für Maschinenbauer im Raum Ulm, Günzburg, Augsburg, Memmingen und Bayern ist das typischerweise kein reines Compliance-Projekt. Es ist eine Mischung aus Produktorganisation, Entwicklung, Security und Dokumentation. Genau dort entsteht in der Praxis auch der Beratungsbedarf.
Fazit
Der März 2026 hat den CRA nicht “fertig” gemacht. Aber er hat ihn deutlich praxisnäher gemacht.
Die Entwurfsleitlinien vom 3. März 2026, die Standardisierungsdiskussion vom 12. März 2026 und die inzwischen beendete erste Förderrunde zeigen in dieselbe Richtung: Hersteller sollten den CRA vorbereiten, statt auf die vollständige Normenlandschaft zu warten.
Wenn Sie Hersteller, Maschinenbauer oder Produktverantwortlicher sind und den CRA nicht nur juristisch, sondern operativ einordnen wollen, finden Sie meinen Leistungsüberblick hier: CRA & Maschinenverordnung. Ich unterstütze bei Scoping, Gap-Analyse, Dokumentation und der sinnvollen Priorisierung der nächsten Schritte.
Häufige Fragen zum aktuellen CRA-Stand
Muss ich auf die finalen harmonisierten Standards warten?
Nein. Auf den finalen Endstand zu warten, ist für viele Unternehmen der falsche Ansatz. Produktinventar, Zuständigkeiten, Schwachstellenmanagement, Support-Logik, Lieferantentransparenz und Dokumentation lassen sich schon jetzt sauber aufbauen.
Ist die SECURE-Förderung für alle Unternehmen offen?
Nein. Die erste Förderrunde für KMU und Kleinstunternehmen endete am 29. März 2026. Der damalige maximale Förderbetrag lag bei 30.000 Euro. Ob weitere Runden geöffnet werden, muss direkt beim SECURE-Projekt oder über aktuelle EU-Veröffentlichungen geprüft werden.
Warum sind die neuen Leitlinien schon relevant, obwohl sie noch Entwurf sind?
Weil sie genau die Punkte adressieren, an denen viele Unternehmen operativ hängen: Scope, Remote-Funktionen, Open Source, Support-Zeiten und das Zusammenspiel mit anderer Regulierung. Sie ersetzen keine Einzelfallprüfung, geben aber eine deutlich bessere Arbeitsgrundlage als noch Anfang 2026.