Stand: 25. März 2026. Wer den Cyber Resilience Act bisher als Thema für “später” eingeordnet hat, sollte den März 2026 genauer ansehen. Innerhalb weniger Wochen kamen drei Entwicklungen zusammen, die für Hersteller wirklich relevant sind: Die EU-Kommission hat am 3. März 2026 Entwurfsleitlinien veröffentlicht, am 12. März 2026 stand die CRA-Standardisierung prominent auf der ENISA-Konferenz, und für Kleinstunternehmen, kleine und mittlere Unternehmen läuft noch bis 29. März 2026 ein EU-gefördertes Unterstützungsfenster.

Für Maschinenbauer, Hersteller vernetzter Produkte, Embedded-Teams und Produktverantwortliche ist das kein Nebenthema. Der Markt bekommt gerade mehr Klarheit, aber nicht in der Form “jetzt ist alles final”. Die eigentliche Botschaft lautet: Die Richtung ist klar genug, um jetzt sauber vorzubereiten.

Wenn Sie zuerst den grundsätzlichen Rahmen brauchen, lesen Sie ergänzend meinen Überblick zum Cyber Resilience Act für Maschinenbauer und Hersteller. Dieser Beitrag fokussiert bewusst nur auf die aktuellen Entwicklungen im März 2026 und darauf, was Hersteller daraus schon jetzt ableiten sollten.

Warum der März 2026 für den CRA relevant ist

Drei Punkte sind gerade gleichzeitig wichtig:

  • Die EU-Kommission hat einen Entwurf für CRA-Leitlinien veröffentlicht und bis 31. März 2026 zur Rückmeldung geöffnet.
  • Die europäische Standardisierung zum CRA wurde am 12. März 2026 öffentlich weiter konkretisiert.
  • Über das SECURE-Projekt können förderfähige Kleinstunternehmen, kleine und mittlere Unternehmen noch bis 29. März 2026 Unterstützung für CRA-nahe Umsetzungsmaßnahmen beantragen.

Das ist genau die Phase, in der viele Unternehmen einen Fehler machen: Sie warten auf das letzte Detail und übersehen, dass sich die operativen Baustellen längst klar abzeichnen.

Was die neuen CRA-Leitlinien vom 3. März 2026 praktisch bedeuten

Die Kommission hat am 3. März 2026 Entwurfsleitlinien veröffentlicht, die Unternehmen bei der Anwendung des CRA unterstützen sollen. Laut Kommission liegt der Schwerpunkt unter anderem auf:

  • remote data processing solutions
  • free and open-source software
  • support periods
  • dem Zusammenspiel mit anderer EU-Gesetzgebung

Gerade diese Punkte waren bisher in vielen Projekten die Stellen, an denen Diskussionen hängen blieben. Nicht weil der CRA unverständlich wäre, sondern weil Hersteller wissen wollten, wie weit der Anwendungsbereich praktisch reicht.

1. Scope wird operativ wichtiger

Die zentrale Frage bleibt nicht nur: “Gilt der CRA grundsätzlich?” Sondern: Welche Produkte, Softwareanteile und Betriebsmodelle fallen konkret in den Anwendungsbereich?

Für Hersteller heißt das:

  • Produktgrenzen sauber ziehen
  • digitale Elemente dokumentieren
  • externe Komponenten und Services nicht nur technisch, sondern regulatorisch einordnen

Wer das heute nicht sauber abgrenzt, verliert später Zeit bei Dokumentation, Konformitätsbewertung und Verantwortlichkeiten.

2. Remote-Funktionen sind kein Randthema mehr

Dass die Leitlinien ausdrücklich auf remote data processing solutions eingehen, ist wichtig. Viele Hersteller denken beim CRA noch zu eng in Hardware, Firmware und klassischer Embedded Software. In der Praxis hängen heute aber oft Portale, Fernwartungsfunktionen, Cloud-Anbindungen, Telemetrie oder Update-Dienste mit am Produkt.

Genau dort entstehen die unangenehmen Fragen:

  • Was gehört noch zum Produkt?
  • Was ist Teil der Sicherheitsverantwortung?
  • Welche Support- und Update-Zusagen müssen belastbar dokumentiert werden?

Der März-Stand zeigt: Diese Fragen lassen sich nicht mehr bis kurz vor 2027 vertagen.

3. Support-Zeiten werden Management-Thema

Dass die Leitlinien die support periods ausdrücklich adressieren, ist aus meiner Sicht einer der wichtigsten Punkte. Viele Hersteller haben technisch gute Produkte, aber keine wirklich belastbare Governance dazu, wie lange Sicherheitsupdates, Schwachstellenbehandlung und Pflege organisatorisch zugesagt und durchgehalten werden.

Das ist kein reines Security-Thema. Es betrifft:

  • Produktmanagement
  • Service
  • Entwicklung
  • Einkauf
  • Geschäftsführung

Spätestens hier wird CRA vom Technikprojekt zum Organisationsprojekt.

Was die Standardisierung vom 12. März 2026 signalisiert

Auf der 10th Cybersecurity Standardisation Conference am 12. März 2026 haben ENISA, CEN, CENELEC und ETSI den CRA ausdrücklich als Schwerpunkt gesetzt. Offiziell ging es dort um den Stand der Harmonisierung, das Zusammenspiel mit anderer Gesetzgebung und die Auswirkungen auf Standards.

Das ist wichtig, weil viele Unternehmen aktuell auf harmonisierte Standards schauen, um später möglichst rechtssicher und effizient umzusetzen. Gleichzeitig höre ich in Projekten immer wieder denselben Satz:

“Solange die Standards nicht final sind, können wir noch nicht anfangen.”

Das ist fachlich zu kurz gedacht.

Denn auch ohne finalen Endstand der harmonisierten Normen lassen sich schon jetzt die Bausteine vorbereiten, die später sowieso gebraucht werden:

  • Produktinventar und Scoping
  • Verantwortlichkeiten im Produktlebenszyklus
  • Schwachstellenmanagement
  • Update- und Support-Prozesse
  • technische Dokumentation
  • Lieferanten- und Komponentenübersicht
  • SBOM-nahe Transparenz

Gerade Maschinenbauer sollten an dieser Stelle auch die Schnittstelle zur Maschinenregulierung im Blick behalten. Dazu passen meine Beiträge zur Maschinenverordnung und Cybersicherheit und zum aktuellen Stand von prEN 50742.

Warum die Förderung bis 29. März 2026 für kleinere Hersteller interessant ist

Die EU-Kommission weist auf die erste Förderrunde des SECURE-Projekts hin. Anträge sind noch bis 29. März 2026 möglich. Förderfähig sind laut Kommission KMU und Kleinstunternehmen (MSMEs). Möglich sind bis zu 30.000 Euro Kofinanzierung für bestimmte CRA-nahe Maßnahmen.

Das sollte man nicht romantisieren. Förderung ersetzt keine Strategie. Aber sie ist ein gutes Signal für genau die Unternehmen, die wissen:

  • Wir müssen anfangen.
  • Wir haben noch keine belastbare CRA-Struktur.
  • Wir wollen nicht erst 2027 in Hektik geraten.

Für kleinere Hersteller ist das vor allem dann interessant, wenn bereits klar ist, dass Produkte mit digitalen Elementen im Markt sind, aber Security-Dokumentation, Komponentenübersicht, Support-Regeln oder Schwachstellenprozesse noch nicht sauber stehen.

Was Hersteller jetzt schon tun sollten, auch wenn noch nicht alles final ist

Aus meiner Sicht sind das die sinnvollsten Schritte für die nächsten 90 Tage:

1. Produktbestand und Scope sauber ziehen

Nicht abstrakt, sondern konkret:

  • Welche Produkte fallen unter den CRA?
  • Welche Software- und Hardwarebestandteile sind relevant?
  • Wo hängen Remote-Funktionen oder externe Services am Produkt?

2. Sicherheitsverantwortung organisatorisch festziehen

Viele Unternehmen haben gute Technik, aber unklare Zuständigkeiten. Der CRA verzeiht diese Grauzonen schlecht. Es muss klar sein, wer intern für:

  • Schwachstellenmanagement
  • Produktpflege
  • Sicherheitsupdates
  • technische Dokumentation
  • Lieferantenthemen

zuständig ist.

3. Komponenten- und Lieferkettentransparenz verbessern

Nicht jede Organisation braucht morgen eine perfekte SBOM-Landschaft. Aber jede Organisation braucht jetzt einen belastbaren Überblick darüber, welche Drittkomponenten, Open-Source-Bausteine und Zulieferbeiträge in den Produkten stecken.

4. Support- und Update-Modell prüfen

Was wird Kunden heute zugesagt? Was ist technisch möglich? Was ist intern wirklich abgesichert? Genau an dieser Stelle entsteht später oft die Lücke zwischen Vertrieb, Produktmanagement und Security.

5. Dokumentation nicht bis zum Schluss aufschieben

Der klassische Fehler lautet: Erst bauen, später erklären. Regulierte Produktsecurity funktioniert so nicht. Dokumentation muss mitlaufen, sonst fehlt am Ende die Nachweisfähigkeit.

Wo Unternehmen aktuell Zeit verlieren

In Gesprächen sehe ich gerade vier typische Bremsen:

  1. Der CRA wird intern noch als reines Rechtsthema eingeordnet.
  2. Das Thema hängt vollständig bei der IT, obwohl Produkt, Entwicklung und Management mitentscheiden müssen.
  3. Man wartet auf den finalen Standard, statt die offensichtlichen Grundlagen aufzubauen.
  4. Maschinenbauer unterschätzen, wie stark CRA, Produktdokumentation und MVO zusammenlaufen.

Genau deshalb ist der März 2026 relevant: Er nimmt die bequeme Warteposition aus dem System. Es ist nicht alles fertig, aber genug ist klar, um jetzt strukturiert zu handeln.

Was das für Maschinenbauer und Hersteller im Mittelstand konkret heißt

Für viele mittelständische Hersteller ist der sinnvollste Einstieg nicht direkt die große Konformitätsdiskussion, sondern eine nüchterne Standortbestimmung:

  • Welche Produkte sind CRA-relevant?
  • Wo fehlen Sicherheits- und Pflegeprozesse?
  • Welche Remote- oder Software-Anteile machen die Lage komplizierter?
  • Welche Anforderungen laufen parallel über Maschinenverordnung, CE-Dokumentation oder Kundenvorgaben?

Gerade für Maschinenbauer im Raum Ulm, Günzburg, Augsburg, Memmingen und Bayern ist das typischerweise kein reines Compliance-Projekt. Es ist eine Mischung aus Produktorganisation, Entwicklung, Security und Dokumentation. Genau dort entsteht in der Praxis auch der Beratungsbedarf.

Fazit

Der März 2026 hat den CRA nicht “fertig” gemacht. Aber er hat ihn deutlich praxisnäher gemacht.

Die Entwurfsleitlinien vom 3. März 2026, die Standardisierungsdiskussion vom 12. März 2026 und die laufende Förderung bis 29. März 2026 zeigen in dieselbe Richtung: Jetzt ist der richtige Zeitpunkt, um CRA sauber vorzubereiten, statt auf perfekte Vollständigkeit zu warten.

Wenn Sie Hersteller, Maschinenbauer oder Produktverantwortlicher sind und den CRA nicht nur juristisch, sondern operativ einordnen wollen, finden Sie meinen Leistungsüberblick hier: CRA & Maschinenverordnung. Ich unterstütze bei Scoping, Gap-Analyse, Dokumentation und der sinnvollen Priorisierung der nächsten Schritte.

Häufige Fragen zum aktuellen CRA-Stand

Muss ich auf die finalen harmonisierten Standards warten?

Nein. Auf den finalen Endstand zu warten, ist für viele Unternehmen der falsche Ansatz. Produktinventar, Zuständigkeiten, Schwachstellenmanagement, Support-Logik, Lieferantentransparenz und Dokumentation lassen sich schon jetzt sauber aufbauen.

Ist die SECURE-Förderung für alle Unternehmen offen?

Nein. Laut EU-Kommission richtet sich die erste Förderrunde an KMU und Kleinstunternehmen (MSMEs). Anträge können in der ersten Runde bis 29. März 2026 gestellt werden, der maximale Förderbetrag liegt bei 30.000 Euro.

Warum sind die neuen Leitlinien schon relevant, obwohl sie noch Entwurf sind?

Weil sie genau die Punkte adressieren, an denen viele Unternehmen operativ hängen: Scope, Remote-Funktionen, Open Source, Support-Zeiten und das Zusammenspiel mit anderer Regulierung. Sie ersetzen keine Einzelfallprüfung, geben aber eine deutlich bessere Arbeitsgrundlage als noch Anfang 2026.

Quellenstand