Der Cyber Resilience Act (CRA) Ab dem 11. Dezember 2027 müssen vernetzte Produkte in der EU die Anforderungen des Cyber Resilience Act (CRA) erfüllen. Cyber Security wird damit über den gesamten Produktlebenszyklus hinweg verbindlich. Auch unsere Produkte werden diesen Anforderungen entsprechen. Gleichzeitig unterstützen wir Sie dabei, Ihre Prozesse anzupassen und die Sicherheit Ihrer Anlagen zu erhöhen.

Produktion gemäß Cyber Resilience Act (CRA)
CRA-Konformitätsklassen

Der CRA unterteilt Produkte mit digitalen Elementen in insgesamt vier Risikoklassen

Cyber Security wird zur Pflicht für Produkte

Der Cyber Resilience Act (CRA) schafft erstmals einen verbindlichen Rahmen für die Cyber Security von Produkten mit digitalen Elementen. Unternehmen müssen künftig nachweisen, dass ihre Produkte grundlegende Sicherheitsanforderungen erfüllen. Zu den Produkten mit digitalen Elementen zählen Hard- und Software mit Kommunikationsfähigkeiten. Diese Vorgaben gelten sowohl für neue als auch für bestehende Produkte. Entscheidend ist dabei nicht die Unternehmensgröße, sondern ausschließlich die Art des Produkts. Damit sind u. a. Maschinenbauer, Gerätehersteller und Softwareanbieter gleichermaßen betroffen.

Der CRA unterscheidet Produkte je nach Funktion, Verwendungszweck und Risikoniveau in verschiedene Kategorien. Für jede dieser Kategorien gelten spezifische Anforderungen. Während für viele Produkte eine Selbsterklärung auf Basis des Stands der Technik ausreicht, müssen für höher eingestufte Produkte harmonisierte Normen angewendet werden. Ist dies nicht möglich oder handelt es sich um besonders kritische Produkte, ist die Einbindung einer benannten Stelle, wie z. B. der TÜV, erforderlich. Nach ersten Schätzungen der Europäischen Kommission fallen etwa 90 % der betroffenen Produkte in die niedrigste Risikokategorie.

Zeitplan des Cyber Resilience Acts

Die wichtigsten Meilensteine des CRA im Überblick

Zeitplan zur Umsetzung des CRA

Die Umsetzung des CRA erfolgt nach einem klar definierten Zeitplan mit mehreren Meilensteinen. Nach der Veröffentlichung im EU-Amtsblatt trat die Verordnung am 10. Dezember 2024 in Kraft. Die Anwendungspflicht greift nach einer Übergangsfrist, in der Hersteller ihre Produkte, Prozesse und Dokumentation entsprechend anpassen können.

Diese Fristen müssen Sie kennen:

    1. Dezember 2024: Inkrafttreten des Cyber Resilience Act
    1. Juni 2026: Beginn der Anforderungen für Konformitätsbewertungsstellen
    1. September 2026: Einführung der Meldepflichten für Hersteller
    1. Dezember 2027: Vollständige Anwendung aller Anforderungen für betroffene Produkte

Produkte, die ab dem 11. Dezember 2027 die CRA-Anforderungen nicht erfüllen, dürfen in der Europäischen Union nicht mehr in Verkehr gebracht werden. Cyber Security wird damit zur grundlegenden Voraussetzung für Produkte.

Alle Fakten auf einen Blick
Leitfaden zum Cyber Resilience Act

Verschaffen Sie sich einen schnellen Überblick über den Cyber Resilience Act: In unserem Whitepaper „Der Cyber Resilience Act – Zukunft der Cyber Security für digitale Produkte“ sind die wichtigsten Fakten gebündelt und wir zeigen Ihnen, wie Phoenix Contact die Anforderungen in der Praxis umsetzt.

Jetzt Whitepaper herunterladen
Whitepaper: Der Cyber Resilience Act – Zukunft der Cyber Security für digitale Produkte

CRA-Umsetzung bei Phoenix Contact


Bedeutung des CRA für Ihre Produkte Mit dem Cyber Resilience Act wird vor allem eines deutlich: Cyber Security wird zur Grundvoraussetzung für vernetzte Produkte. Da Sicherheitsanforderungen bei Phoenix Contact seit Jahren fest in der Produktentwicklung verankert sind, erfüllen viele unserer Lösungen bereits heute wesentliche Anforderungen an Sicherheit und Resilienz. Mit einem Klick auf die jeweiligen CRA-Anforderungen erfahren Sie mehr über unsere Umsetzung.

Interaktive Image-Map: Die Anforderungen des CRA im Überblick
Sicherheit über den gesamten Lebenszyklus
Bereits heute berücksichtigen wir Cyber Security entlang des gesamten Lebenszyklus unserer Produkte – von der Planung über Design und Entwicklung bis hin zu Produktion, Auslieferung und Wartung. Dabei stehen die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ebenso im Fokus wie ein wirksamer Schutz vor unbefugtem Zugriff.
Sicherheit über den gesamten Lebenszyklus
Praxisnahe Dokumentation
Ergänzt wird dies durch eine umfassende und verständliche Dokumentation. Sie erhalten alle notwendigen Informationen, um unsere Produkte sicher zu installieren, zu integrieren, zu betreiben und bei Bedarf außer Betrieb zu nehmen. Damit schaffen wir die Grundlage dafür, dass Sie Ihre Anlagen nicht nur effizient, sondern auch nachhaltig sicher betreiben können.
Praxisnahe Dokumentation
Strukturiertes Schwachstellenmanagement
Neben der Dokumentation ist transparente Kommunikation entscheidend für ein systematisches Schwachstellenmanagement. Bereits heute informieren wir Sie gezielt und zuverlässig über relevante Schwachstellen und verfügbare Maßnahmen. Besuchen Sie unsere PSIRT-Website oder abonnieren Sie unseren englischsprachigen PSIRT-Newsletter, um keine aktuellen Informationen zu verpassen.
Weitere Informationen über unser PSIRT
Strukturiertes Schwachstellenmanagement
Langfristige Sicherheit
Zudem stellen wir Sicherheits-Updates über einen langen Zeitraum bereit und schaffen so Planungssicherheit für Ihre Anwendungen und Investitionen. Gleichzeitig stellen wir sicher, dass alle erforderlichen Nachweise für die Einhaltung der Sicherheitsanforderungen erbracht werden können, etwa im Rahmen der CE-Kennzeichnung.
Langfristige Sicherheit
Dokumentation von Security-Risiken
Für unsere Produkte bedeutet dies, dass Cyber-Security-Risiken systematisch identifiziert, bewertet und dokumentiert werden. Bereits in der Entwicklung berücksichtigen wir mögliche Bedrohungen und halten die Ergebnisse über den gesamten Lebenszyklus aktuell und transparent fest.
Dokumentation von Security-Risiken
Unsere Produkte sicher eingesetzt
Wir überwachen und beheben Sicherheitslücken kontinuierlich und stellen Ihnen über mindestens fünf Jahre Updates und Handlungsempfehlungen bereit. Das bedeutet für Sie vor allem eines: langfristige Planungssicherheit für Ihre eingesetzten Produkte.
Unsere Produkte sicher eingesetzt
Whitepaper: IEC 62443 praxisnah erklärt
IEC 62443 als Erfolgsfaktor für Security-Konzepte

Wie lassen sich Cyber Security und EU-Anforderungen wie NIS 2, CRA und Maschinenverordnung vereinen? Unser Whitepaper zeigt, wie IEC 62443 dabei unterstützt, und gibt einen Überblick über die Umsetzung von Cyber Security in der Automatisierung.

Jetzt Whitepaper herunterladen
IEC 62443 zertifizierte Produkte

360°-Security – unser vollständiges Angebot ohne Kompromisse


Umsetzung der IEC 62443 - 360°-Security

Unser vollständiges 360°-Security-Konzept

Ganzheitlicher Schutz für Ihre Anlagen und Unterstützung bei neuen Richtlinien

Für uns ist Cyber Security mehr als sichere Produkte und regulatorische Anforderungen. Wir unterstützen Sie dabei, Ihre industriellen Netzwerke effektiv vor Cyber-Angriffen zu schützen.
Dafür betrachten wir Industrial Security ganzheitlich. Genau hier setzt unser 360°-Security-Ansatz an: Er verbindet technische, organisatorische und prozessuale Maßnahmen auf Basis etablierter Standards wie der IEC 62443 und führt diese zu einem durchgängigen Gesamtkonzept zusammen. So decken wir alle relevanten Ebenen ab, von der Auswahl und Integration sicherer Komponenten über die Gestaltung robuster Netzwerkarchitekturen bis hin zum sicheren Betrieb sowie dem strukturierten Umgang mit Sicherheitsvorfällen.

Gleichzeitig unterstützen wir Sie konkret bei der Umsetzung neuer regulatorischer Vorgaben wie dem Cyber Resilience Act, NIS 2 oder der Maschinenverordnung. Unsere Expertinnen und Experten analysieren gemeinsam mit Ihnen Ihre Anforderungen und entwickeln passgenaue Lösungen, damit Ihre Maschinen und Anlagen sicher aufgestellt sind.

Frequently Asked Questions (FAQ)

Anforderungen des CRA
Produktions-Icon
Nichteinhaltung des CRA
Was bedeutet der CRA für Produkte außerhalb der EU?
Unterschied zwischen NIS 2 und CRA
Anforderungen des CRA

Zu den Anforderungen des CRA gehören u. a. sichere Entwicklungsprozesse (Secure by Design), ein geschützter Auslieferzustand (Secure by Default) sowie Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.

Ergänzend fordert der CRA ein strukturiertes Schwachstellenmanagement, klare Meldeprozesse und die Bereitstellung regelmäßiger Sicherheitsupdates über den gesamten Produktlebenszyklus hinweg.

Produktions-Icon

Die Konformität mit dem Cyber Resilience Act wird abhängig von der jeweiligen Produktkategorie und dem Risikoniveau nachgewiesen. Für jede Kategorie gelten spezifische Anforderungen und Verfahren. Für viele Produkte ist eine Selbsterklärung des Herstellers ausreichend. Diese basiert auf dem Stand der Technik und bestätigt die Einhaltung der definierten Sicherheitsanforderungen.

Für Produkte mit höherem Risikoniveau ist die Anwendung harmonisierter europäischer Normen erforderlich. Können diese nicht vollständig angewendet werden oder handelt es sich um besonders kritische Produkte, ist eine Konformitätsbewertung durch eine benannte Stelle, z. B. den TÜV, notwendig. Der Nachweis der Konformität ist Voraussetzung für die CE-Kennzeichnung.

Nichteinhaltung des CRA

Die Nichteinhaltung der Anforderungen des Cyber Resilience Act kann für Hersteller weitreichende Konsequenzen haben. Produkte ohne gültige CE-Kennzeichnung oder ohne nachgewiesene Konformität dürfen in der Europäischen Union nicht in Verkehr gebracht oder weiter vertrieben werden.

Zudem drohen erhebliche Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Was bedeutet der CRA für Produkte außerhalb der EU?

Der Cyber Resilience Act gilt nicht nur für EU‑Hersteller, sondern für alle Produkte, die auf dem EU‑Markt bereitgestellt werden, unabhängig vom Herstellungsort.

Auch Produkte aus z. B. den USA oder Asien müssen die CRA‑Anforderungen erfüllen, sobald sie in der EU verkauft oder in Verkehr gebracht werden.

Unterschied zwischen NIS 2 und CRA

Der CRA und die NIS‑2-Richtlinie verfolgen unterschiedliche Ansätze, ergänzen sich aber in ihrer Wirkung: Während der CRA die Cyber Security von Produkten mit digitalen Elementen regelt und sich damit vor allem an Hersteller richtet, zielt NIS 2 auf die Sicherheit von Betreibern ab.

Unternehmen müssen im Rahmen von NIS 2 ihre Systeme und Prozesse absichern, während der CRA sicherstellt, dass die eingesetzten Produkte bereits die notwendigen Sicherheitsanforderungen erfüllen.

LinkedIn-Logo

LinkedIn: Industrial Communication und Cyber Security Jetzt Teil unserer Community werden!

Industrielle Kommunikationsnetzwerke ermöglichen es uns, Daten vom Feld über die Steuerungsebene bis hin zur Cloud zuverlässig zu übertragen. Auf unserer LinkedIn-Seite Industrial Communication und Cyber Security finden Sie interessante Informationen rund um die Themen Netzwerkverfügbarkeit, Cyber Security, Fernwartung und vieles mehr. Werden Sie Teil unserer Community!