Cyber Resilience Act und Maschinenverordnung — Beratung für Maschinenbauer
Zwei Regelwerke, ein Ziel: Cybersicherheit als Bestandteil des Produkts. Ab 2027 ist Security by Design Pflicht — für Maschinen und für alle vernetzten Produkte. Ich begleite Sie von der Gap-Analyse bis zur CE-konformen Dokumentation.
Rechtsstand 26. März 2026: CRA-Meldepflichten ab 11. September 2026, MVO anwendbar ab 20. Januar 2027, vollständige CRA-Anwendung ab 11. Dezember 2027.
Warum CRA und MVO für Maschinenbauer jetzt relevant sind
Rechtsstand 26. März 2026 stehen Maschinenbauer vor einer Situation, die es so nicht gab: Zwei EU-Regelwerke greifen parallel — der Cyber Resilience Act (CRA, EU 2024/2847) und die Maschinenverordnung (MVO, EU 2023/1230). Beide fordern Cybersicherheit. Beide sind verbindlich. Und beide haben Fristen, die näher sind als sie erscheinen.
Das Problem: Viele Unternehmen haben weder eine vollständige Übersicht über ihre vernetzten Komponenten noch eine Risikoanalyse, die Cyberbedrohungen systematisch adressiert. Was bei der klassischen CE-Kennzeichnung nicht notwendig war, ist ab 2027 Pflicht — dokumentiert, nachweisbar, prüffähig.
Hinzu kommt der Safety-Security-Nexus: Eine kompromittierte Steuerung kann eine Schutzeinrichtung außer Kraft setzen. Cybersicherheit ist damit keine IT-Frage — sie ist eine Frage der Maschinensicherheit.
MVO Security × Cyber Resilience Act
Links stehen die MVO-spezifischen Punkte, in der Mitte die gemeinsamen Arbeitsfelder, rechts die CRA-Themen. Ein Klick öffnet die Einordnung.
Was ich für Sie tue
CRA & MVO Gap-Analyse
Systematische Bestandsaufnahme Ihrer vernetzten Produkte: Welche Komponenten existieren? Welche Risikoklasse gilt? Was fehlt noch zur Konformität? Ergebnis: ein priorisierter Maßnahmenplan.
Cybersecurity-Risikobeurteilung
Strukturierte Bedrohungsanalyse (Threat Modeling) für jede betroffene Maschinenreihe — analog zur Sicherheitsrisikoanalyse nach EN ISO 12100, kompatibel mit prEN 50742 und IEC 62443.
SBOM-Aufbau
Vollständige Software Bill of Materials in SPDX oder CycloneDX — alle Open-Source-Komponenten, Drittanbieter-Software, Eigenentwicklungen erfasst, versioniert, maschinell pflegbar.
CE-Dokumentation & Konformität
Aktualisierung der technischen Unterlagen für die CE-Kennzeichnung: Cybersecurity-Risikobeurteilung, Maßnahmendokumentation, Konformitätserklärung nach MVO-Anforderungen.
Schwachstellenmanagement-Prozess
Etablierung des internen Prozesses für Vulnerability Disclosure und Patch-Management — inklusive der 24-Stunden-Meldekette zur ENISA-Plattform, die ab September 2026 Pflicht ist.
Schulung Entwicklungsteam
Security by Design in der Praxis: Halbtages- oder Tagesworkshop für Konstrukteure und Softwareentwickler — von Threat Modeling bis zu sicheren Update-Mechanismen.
Wie wir vorgehen
Erstgespräch & Scope
Welche Produkte sind betroffen? Welche Fristen sind relevant? Welche Vorarbeit existiert bereits? Kostenloses Erstgespräch — 45 Minuten, konkrete Einschätzung.
Produkt-Screening
Vollständige Bestandsaufnahme: Schnittstellen, Softwarekomponenten, Netzwerkverbindungen, bestehende Sicherheitsmaßnahmen. Grundlage für alle weiteren Schritte.
Risikoanalyse & Gap-Analyse
Systematische Bedrohungsidentifikation für jede Produktlinie. Abgleich mit CRA-Anforderungen und MVO-Schutzzielen. Priorisierter Handlungsbedarf.
Maßnahmen & Dokumentation
Umsetzungsbegleitung für technische Maßnahmen. Parallele Erstellung der CE-Dokumentation: Risikobeurteilung, SBOM, Maßnahmenbeschreibung.
Prozesse & Schulung
Schwachstellenmanagement-Prozess etabliert. Entwicklungsteam geschult. Interne Fähigkeit zur Pflege von SBOM und Meldekette aufgebaut.
Relevante Normen und Regelwerke
Cyber Resilience Act (CRA)
Meldepflichten ab 11.09.2026 · Vollständige Anwendung ab 11.12.2027 · SBOM-Pflicht · Schwachstellenmanagement
Maschinenverordnung (MVO)
Anhang III, 1.1.9 Schutz gegen Korrumpierung · 1.2.1.f Steuerungssicherheit · CE-Pflicht ab 20.01.2027
Cybersicherheit für Maschinen
Entwurfsstand März 2026 · Konkretisiert Cybersicherheit für Maschinen · Konformitätsvermutung erst nach formaler Veröffentlichung
Industrial Cybersecurity
Zonen & Konduit-Modell · Security Levels · Technische Grundlage für prEN 50742
CRA & MVO — Was Maschinenbauer wissen wollen
Gilt der CRA auch für Maschinenbauer?
Ja. Wer Maschinen mit vernetzten Komponenten — SPS, HMI, Sensoren, Fernwartungsschnittstellen — herstellt, fällt unter den CRA. Zusätzlich gilt die Maschinenverordnung (MVO), deren Cybersicherheitsanforderungen sich stark mit dem CRA überschneiden. Eine koordinierte Umsetzung beider Regelwerke ist effizienter als zwei separate Projekte.
Was ist eine SBOM und brauche ich sie wirklich?
Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten Ihres Produkts — Open-Source-Bibliotheken, Eigenentwicklungen, Drittanbieter-Komponenten, Versionen, Lizenzen. Der CRA schreibt die SBOM vor. In der Praxis empfehle ich SPDX (ISO/IEC 5962) oder CycloneDX — beide sind ENISA-anerkannt und toolgestützt pflegbar.
Ab wann gilt der CRA verbindlich?
Rechtsstand 26. März 2026: Die CRA-Meldepflichten für aktiv ausgenutzte Schwachstellen greifen ab 11. September 2026. Die vollständige CRA-Anwendung folgt ab 11. Dezember 2027. Die Maschinenverordnung gilt ab 20. Januar 2027. Eine mögliche Angleichung einzelner Cybersicherheitsanforderungen an Dezember 2027 wird branchenweit diskutiert, ist aber nicht beschlossen.
Was kostet eine CRA/MVO-Gap-Analyse?
Das hängt von der Anzahl der Produktlinien und ihrer Komplexität ab. Für ein mittelständisches Unternehmen mit zwei bis fünf vernetzten Maschinenreihen liegt der Aufwand für eine strukturierte Gap-Analyse erfahrungsgemäß bei drei bis sechs Wochen. Das Ergebnis ist ein konkreter Maßnahmenplan mit Priorisierung und Kostenrahmen.
Kann ich CRA und MVO gemeinsam angehen?
Ja — und genau das empfehle ich. Die Anforderungen überschneiden sich erheblich: Security by Design, Risikobeurteilung, Dokumentation. Eine gemeinsame Risikoanalyse, ein gemeinsames Maßnahmenkonzept, eine gemeinsame Dokumentationsstruktur — das spart Zeit und vermeidet doppelte Arbeit bei der CE-Kennzeichnung.