Kontakt
+49 611 7103-0 info@eckelmann.de

Sicherheit für Endnutzer von Produkten mit digitalen Komponenten Eckelmann informiert zum EU-weiten Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine Initiative der Europäischen Union, die verpflichtend Cybersicherheit bei Produkten mit digitalen Komponenten einfordert.

Er definiert für Hersteller digitaler Produkte Verpflichtungen, insbesondere zur Implementierung von Security-by-Design. Eckelmann ist erfahrener Partner und gibt Antworten zur konkreten Umsetzung des CRA!

Cyberangriffe zählen zu den höchsten Risiken, mit denen Unternehmen konfrontiert werden. Die finanziellen Schäden durch gestohlene Daten, lahmgelegte IT-Infrastrukturen, stehende Produktion, aber auch den Vertrauensverlust bei Kunden und Partnern können existenziell sein. Längst dehnen sich Cyberangriffe über Ländergrenzen hinweg aus.

Der CRA fordert konkrete Prophylaxe:

  • Vollumfängliche Analyse & Risikobewertung für Software und Produkte
  • Nachweis der CRA-Konformität über die CE-Kennzeichnung
  • Verbindliche To Do-Liste zum Schutz vor Schwachstellen
  • Industrial Security: Prozessmanagement von Sicherheitslücken (Vulnerability Management)
  • Bereitstellung von Sicherheits-Updates
  • Verpflichtung zur Meldung einer Attacke binnen 24 Stunden an die EU-Agentur ENISA
  • Verpflichtung zur (Kunden-)Kommunikation

Der verpflichtende CRA wurde Ende 2024 eingeführt, um Verbraucher und Unternehmen EU-weit vor Cyberangriffen zu schützen. In Konsequenz ist die Transparenz bei Produkten mit digitalen Komponenten verpflichtend.

Es gibt Übergangsfristen:

  • Melde- und Vulnerability-Handling-Pflichten gelten 21 Monate nach Inkrafttreten (ab 11. September 2026).
  • Alle weiteren Pflichten – und damit die CE-Konformität nach CRA –36 Monate nach Inkrafttreten (spätestens bis 11. Dezember 2027).

Bei Eckelmann betrifft die Umsetzung des CRA:

  • Software, insbesondere solche, die in der Cloud läuft
  • Industrielle Steuerungstechnik und Embedded Systeme mit Netzwerkverbindung
  • vernetzte Komponenten, beispielsweise Steuerungen, Antriebe und Sensoren
  • Maschinen und Anlagen, die diese Komponenten einsetzen
  • Firmware und Betriebssysteme
  • Maschinensoftware, die eine Netzwerkanbindung herstellt
  • Anlagensoftware
  • Vision AI (Bildverarbeitende Systeme)

Digitale Sicherheit für den Gesamtlebenszyklus von Maschinen und Anlage

Die Fortschreibung der Digitalisierung und industriellen Automatisierung von Unternehmen, beispielsweise durch Softwareentwicklung, Künstliche Intelligenz (KI) und Betriebstechnologien (OT), ist Kernaufgabe von Eckelmann.

Eckelmann-Expertenteams unterstützen seit Jahrzehnten Maschinenbauer und -anwender bei der Sicherheit ihrer Maschinen und Anlagen inklusive kontinuierlicher Schwachstellenüberprüfung und Aufrechterhaltung der digitalen Sicherheit über den Gesamtlebenszyklus hinweg!

Wir unterstützen unsere Kunden aktiv bei der Erfüllung von CRA-Anforderungen:

  • Mit unserem gehärteten Software-Framework mit hohem Standardisierungsgrad, der zeitnahe Patches für sämtliche Produkte gewährleistet.
    Springen/Verweis zu Passus „Digitale Sicherheit für den Gesamtlebenszyklus von Maschinen und Anlagen“
  • Die Eckelmann-Software folgt einem Build-Prozess mit automatischem Abgleich zu bekannten Schwachstellendatenbanken.
    Springen/Verweis zu „Build Infrastruktur: CRA ganzheitlich gedacht“
  • Unsere Software-Stücklisten (SBOM) werden in einem festen Turnus auf bekannten Schwachstellen geprüft.
    Springen/Verweis zu „Unternehmensschnittstellen abfragen – Angriffe melden“
  • Eckelmann-Lösungen für die industrielle Steuerungstechnik werden von einer 360°-Risikobewertung begleitet. Wir haben für diese Anforderung inhouse eine KI-Lösung zur Risikobewertung entwickelt.
  • Mit Verschlüsselung und Authentifizierung (MFA), Standard der Eckelmann-Lösungen.
    Springen/Verweis zu „CRA-Vorbereitung: Security by Design & Default“

Unsere kundenindiviuellen Softwarelösungen beinhalten bereits eine Business-Logik. Ohne Sicherheitsmaßnahmen wären automatisierte Maschinen und Anlagen angreifbar. Wiederkehrende Standardkomponenten von Eckelmann beinhalten unter anderem:

  • Authentifizierung
  • Logging (Monitoring und Aufzeichnen von Ereignissen, Statusmeldungen oder Fehlern in unserer Software)
  • Datenbank & Dokumentation
  • Verschlüsselung
  • Kommunikation
  • UI-Visualisierung / Nutzerfreundliche HMI-Lösungen

Mit dem Ziel des Verbraucherschutzes wurden für Hersteller und Systemintegratoren wie Eckelmann aber auch Importeure oder Händler durch den CRA erstmals verbindliche Cybersicherheitsanforderungen geschaffen. Die Eckelmann Standardkomponenten bringen die notwendigen Voraussetzungen zur Erfüllung des CRA bereits mit!

CRA-Vorbereitung:
Security by Design & Default

Software-Entwicklung ist unser „täglich Brot“! Selbstverständlich ist daher unser Sicherheitsansatz „Security by Design & Default“. Dies bedeutet, dass vom ersten Planungsschritt an die prophylaktische Sicherheit im Mittelpunkt unserer IT-Entwicklungen steht: Risikoanalysen und Sicherheitskonzepte inklusive Bedrohungsanalyse, sichere Architekturentscheidungen, abgesicherter Update-Mechanismen und dem Schutz von gespeicherten und übertragenen Daten.

Im Rahmen der CRA-Vorbereitung startet unser Expertenteam mit einer vollumfängliche Risiko-Analyse inklusive GAP-Analyse, um potenzielle Sicherheitslücken zu schließen.

Dabei werden Schwachstellen zyklisch ermittelt, die Relevanz bewertet und entsprechende Maßnahmen eingeleitet. Die Umsetzung des CRA endet für uns nicht mit der Vergabe des CE-Siegels. Sie schließt die technische Dokumentation und das fortlaufende Lifecycle-Management ein.

Build Infrastruktur:
CRA ganzheitlich gedacht

Das Schaffen digitaler Sicherheit ist ein Versprechen! Schaffen wir mit der Erfüllung des CRA gemeinsam ein sicheres digitales Zeitalter! Der CRA gibt während des gesamten IT-Entwicklungsprozesses essenzielle Aspekte wie Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit vor.

Dies gilt für die Build-Infrastruktur als Gesamtsystem aus Software, Hardware und Services, die Software-Build-Prozesse automatisieren.

Die geforderte Sicherheit gilt für den zu erwartenden Produktlebenszyklus. Der CRA verpflichtet zu Sicherheitsupdates für die voraussichtliche Nutzungsdauer, zumeist im Rahmen von 5 Jahren. Updates müssen klar kommuniziert, integriert und nutzerfreundlich („secure by default“) eingespielt werden.

Unternehmensschnittstellen abfragen – Angriffe melden

Eckelmann definiert sich als Partner bei der Erfüllung des CRA, um das Vertrauen in die digitale Infrastruktur der Europäischen Union zu stärken.

Die CRA verpflichtet Hersteller, Sicherheitsvorfälle und ausnutzbare Schwachstellen innerhalb von 24 Stunden nach ihrer Kenntnis zu melden. Es drohen empfindliche Bußgelder!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die ausführende Sicherheitsbehörde des CRA in Deutschland und besitzt Marktaufsichtsfunktion.

Dokumentation & Updates

Sicherheitsrisiken müssen vom Hersteller dokumentiert und eindeutige Benutzeranleitungen bereitgestellt werden. Zur Dokumentation des Produktdesigns und -prozesses gehört der automatische SBOM-Abgleich (Software Bill of Materials (SBOM), die Implementierung eines Schwachstellenmanagements und regelmäßige Updates plus Dokumentationen für Endanwender.

Sicherheitslücken müssen über die gesamte Produktlebensdauer oder einen definierten Supportzeitraum (min. alle 5 Jahre) behoben und die Updates dokumentiert werden.

“Eine spannende Aufgabenstellung mit hohem Anspruch – hier können wir unsere CRA-Kompetenzen und das gewissenhaften Engagement zeigen! Immer wenn der Kunde ein enges Zeitfenster vorgibt, wachsen wir über uns hinaus!”

Dr. Marco Münchhof, Vorstand Eckelmann AG

Die wichtigsten Fragen zum CRA auf einen Blick

Wann ist der CRA in Kraft getreten?

Das EU-weit verpflichtende Gesetz, der Cyber Resilience Act (CRA), ist bereits am 10. Dezember 2024 in Kraft getreten. Die wichtigsten Verpflichtungen, die der CRA einfordert, gelten ab dem 11. Dezember 2027.

Warum eine EU-übergreifende Gesetzgebung?

Cybersicherheitsbedrohungen sind häufig grenzüberschreitend und können sich damit über Länderhinweg auswirken. Die EU-weite, zentrale Überwachung optimiert auch den Informationsaustausch und die reget die Zusammenarbeit zwischen den EU-Staaten.

Unterschied zwischen dem CRA und der NIS2-Richtlinie

Beide haben die EU-weite Cybersicherheit zum Ziel, jedoch einen differenten Fokus: Der CRA bezieht sich auf Produkte mit digitalen Elementen, indem er verbindliche Sicherheitsanforderungen für Hardware und Software definiert und für Produkte, die in der EU hergestellt, importiert oder vertrieben werden einfordert.

Die NIS2-Richtlinie stellt die Cybersicherheit digitaler Dienste wie Netzwerke und Informationssysteme in den Mittelpunkt. In Summe ergänzen sich NIS2-Richtlinie und CRA.

Welche Verantwortung übernehmen Industrieunternehmen und Systemintegratoren?

Die Verantwortung für Cyber-Sicherheit liegt auf Herstellerseite: Der CRA umfasst eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte, wie sie Eckelmann entwickelt und produziert, ein. Betroffen sind beispielsweise Steuerungen und Sensoren oder Betriebssysteme.

Der CRA betrifft alle Unternehmen und Systemintegratoren, die Produkte mit digitalen Elementen ein- und verkaufen – unabhängig vom Standort des Herstellers. Sie müssen sicherstellen, dass die Produkte, die sie in den EU-Markt einführen, zukaufen oder in EU-Staaten verkaufen, den Anforderungen des CRA entsprechen.

Dies gilt insbesondere für die Konformitätsbewertung und die CE-Kennzeichnung sowie – bei Importen – Kontaktdaten auf den Produkten.

Meldepflicht

Grundstein für schnelle Reaktionen auf Cyberangriffe: EU-weit sind mit Einführung de CRA alle Unternehmen verpflichtet, Cybersicherheitsvorfälle und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Gewahr Werden an die Europäische Agentur für Cybersicherheit (ENISA) zu melden. Um diese enorm knappe Frist überhaupt gewährleisten zu können, müssen betroffene Unternehmen frühzeitig entsprechende Prozesse und Meldewege konzipieren.

Welche Strafen werden verhängt?

Mit dem CRA wird mangelnde IT-Sicherheit rechtlich fassbar. Für verschiedene Verstöße gegen den CRA können Herstellern bis zu 15 Millionen Euro oder bis zu 2,5 % ihres Jahresumsatzes als Bußgeld drohen.

Lifecycle-Management

Das Cyberresilienzgesetz verbessert die Cybersicherheitsstandards aller Produkte, die eine digitale Komponente enthalten. Eckelmann gewährleistet die IT-Sicherheit sowohl zum Zeitpunkt der Veröffentlichung des Produkts als auch für den gesamten Lebenszeitraum hinweg – einschließlich Planung, Entwicklung, Produktion, Installation und Service.

Hinweis: Die auf dieser Website bereitgestellten Informationen stellen keine Rechtsberatung dar.

Sie haben Fragen?

Oliver Elias Sebastian

Oliver Elias Sebastian
Head of Sales Automation Products
E-Mail: o.sebastian@eckelmann.de

Kontaktformular
Kälte- & Gebäudeleittechnik Newsletter abonnieren