Cyber Resilience Act: Was Geräte- und Maschinenhersteller jetzt wissen müssen
Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen EU-weit zu Cybersicherheit über den Lebenszyklus. Wen er betrifft, welche Fristen gelten und warum ISO 27001 die naheliegende Grundlage ist.
Kurz gesagt
Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen EU-weit zu Cybersicherheit über den gesamten Lebenszyklus: Security by Design, Schwachstellenmanagement und Meldepflichten. Eine erste Stufe gilt seit Juni 2026, die Hauptpflichten greifen gestaffelt bis 2027. Für den produzierenden Mittelstand mit vernetzten Maschinen und Geräten ist das relevant, und ISO/IEC 27001 ist die naheliegende Grundlage.
Read in English: English version
Während alle auf den AI Act schauen, rückt für den produzierenden Mittelstand eine zweite Pflicht näher: der Cyber Resilience Act. Er betrifft nicht nur Software-Häuser, sondern jeden, der Produkte mit digitalen Elementen in Verkehr bringt, also auch vernetzte Maschinen, Steuerungen und Geräte. Eine erste Anwendungsstufe gilt bereits seit Juni 2026.
Wen der CRA betrifft
Erfasst sind Produkte mit digitalen Elementen, von reiner Software bis zur vernetzten Maschine. Wer herstellt, importiert oder vertreibt, hat Pflichten. Anders als bisher wird Cybersicherheit damit zur Voraussetzung für den Marktzugang in der EU, kein freiwilliges Extra mehr, sondern Teil der CE-Kennzeichnung.
Die Kernpflichten
Im Kern verlangt der CRA drei Dinge: Security by Design und by Default, also Sicherheit von Anfang an statt nachträglich. Ein funktionierendes Schwachstellenmanagement über den gesamten Lebenszyklus, inklusive Sicherheitsupdates. Und Meldepflichten: aktiv ausgenutzte Schwachstellen und schwere Vorfälle müssen in kurzer Frist gemeldet werden. Dazu kommen technische Dokumentation und der Konformitätsnachweis.
Die Fristen
Der CRA gilt gestaffelt. Eine erste Stufe, unter anderem zu den Konformitätsbewertungsstellen, gilt seit Juni 2026. Die Meldepflichten und die vollen Herstellerpflichten greifen gestaffelt bis 2027. Wer Produkte mit langer Entwicklungs- und Lebensdauer baut, sollte jetzt anfangen, nicht erst kurz vor der Frist.
Warum ISO 27001 die naheliegende Grundlage ist
Der CRA verlangt im Kern einen strukturierten Umgang mit Informationssicherheit und Schwachstellen. Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 liefert genau diesen Rahmen: Risikomanagement, Zugriffssteuerung, sicherer Entwicklungsprozess sowie Schwachstellen- und Vorfallmanagement. Das erfüllt den CRA nicht automatisch, denn der CRA stellt zusätzliche Anforderungen an das Produkt. Aber es ist das Fundament, auf dem die Produktpflichten sauber aufsetzen. Wie Sie das verbinden, klären wir im kostenlosen Erstgespräch.
Häufige Fragen
Wen betrifft der Cyber Resilience Act?+
Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, von Software bis zu vernetzten Maschinen und Geräten. Cybersicherheit wird damit zur Voraussetzung für den Marktzugang in der EU und Teil der CE-Kennzeichnung.
Ab wann gilt der CRA?+
Gestaffelt: eine erste Stufe seit Juni 2026, die Meldepflichten und die vollen Herstellerpflichten greifen gestaffelt bis 2027. Produkte mit langer Entwicklungs- und Lebensdauer sollten jetzt vorbereitet werden.
Hilft ISO 27001 beim CRA?+
Ja, als Fundament. Ein ISMS nach ISO/IEC 27001 liefert den strukturierten Rahmen für Risiko, sichere Entwicklung sowie Schwachstellen- und Vorfallmanagement, auf dem die konkreten CRA-Produktanforderungen aufsetzen. Es ersetzt die produktspezifischen Pflichten aber nicht.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 18. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.