Muss ich als Anwender den Cyber Resilience Act beachten?

Der CRA richtet sich an Hersteller, Importeure und Händler digitaler Produkte — nicht direkt an Anwender. Wenn Sie Software oder vernetzte Geräte einsetzen, haben Sie daraus keine eigenen CRA-Pflichten. Aber: Das CE-Siegel nach dem CRA bestätigt nur, dass das Produkt zum Zeitpunkt der Markteinführung Mindeststandards erfüllt. Für den sicheren Betrieb in Ihrer konkreten Umgebung, für die richtige Konfiguration und für die Vorbereitung auf Ausfälle bleiben Sie als Betreiber verantwortlich.

Was bedeutet der CRA für bestehende Maschinen und Altgeräte?

Der CRA gilt für Produkte, die ab Dezember 2027 neu auf den EU-Markt gebracht werden. Bestehende Maschinen und Software, die bereits im Betrieb sind, müssen nicht nachträglich zertifiziert werden. Allerdings: Wenn wesentliche Änderungen vorgenommen werden — etwa ein neues Softwaremodul oder eine veränderte Netzwerkanbindung — kann das Produkt als neu in Verkehr gebracht gelten. Und unabhängig vom CRA bleibt die Frage: Ist Ihre 20 Jahre alte Maschinensteuerung gegen heutige Risiken gewappnet?

Schützt mich das CE-Siegel vor Haftung, wenn etwas schiefgeht?

Nein. Das CE-Siegel bestätigt die Herstellerkonformität zum Zeitpunkt der Markteinführung. Es sagt nichts darüber aus, ob die Software in Ihrem Betrieb korrekt konfiguriert ist, ob die Netzwerkumgebung sicher ist oder ob Ihre Daten bei einem Ausfall erreichbar bleiben. Wenn ein manipuliertes System fehlerhafte Etiketten auf Lebensmittel druckt oder falsche Berechnungen in ein Angebot übernimmt, haftet der Betreiber — unabhängig davon, ob die Software ein Siegel trägt.

Zurück zu Wissen

Cyber Resilience Act — bin ich als Anwender verantwortlich, wenn die Software das CE-Siegel hat?

Claudia Raspl · cyrinox IT GmbH
·
Mai 2026
·
8 Min. Lesezeit

Kurz beantwortet

Das CE-Siegel nach dem Cyber Resilience Act bestätigt, dass ein Produkt zum Zeitpunkt der Markteinführung Mindestsicherheitsstandards erfüllt. Es sagt Ihnen aber wenig darüber, ob die Software in Ihrem konkreten Betrieb sicher läuft — ob sie richtig konfiguriert ist, ob die Netzwerkumgebung geschützt ist und ob Ihre Daten bei einem Ausfall erreichbar bleiben. Die Verantwortung für den sicheren Betrieb bleibt bei Ihnen. Und bei Maschinen, die seit Jahren zuverlässig laufen, stellt sich eine Frage, die viele verdrängen: Was passiert, wenn sich die Welt um die Maschine herum verändert hat?

Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft. Es ist die erste EU-Verordnung, die verbindliche Sicherheitsstandards für alle vernetzten Produkte festlegt — von der Smartphone-App bis zur industriellen Maschinensteuerung. Hersteller müssen ab Dezember 2027 nachweisen, dass ihre Produkte „Security by Design“ erfüllen, also von Anfang an mit Blick auf Sicherheit entwickelt wurden.

Als Anwender — also als jemand, der Software und Geräte einsetzt, statt sie herzustellen — haben Sie aus dem CRA selbst formal wenig Pflichten. Aber das Gesetz betrifft Sie trotzdem. Und zwar dort, wo es aufhört.

Ein Beispiel aus dem Alltag eines Produktionsbetriebs

Stellen Sie sich einen Betrieb vor, der seit 20 Jahren gut läuft. Im Büro sitzt jemand am PC, gibt Auftragsdaten ein. Die gehen an den Server, der nebenan im Schrank steht. In der Produktion läuft man zur Maschine, startet am Display den Auftrag, und die Maschine holt sich die Daten vom Server. Fertig. Funktioniert seit Jahren. Zuverlässig. Keiner fasst das an.

So sieht es in vielen Handwerksbetrieben, Fertigungsfirmen und Lebensmittelunternehmen aus. Die Maschine tut, was sie soll. Der Server steht im Keller. Und das Zusammenspiel zwischen PC, Server, Netzwerk und Maschine wurde irgendwann eingerichtet — von einem Techniker, der vielleicht längst woanders arbeitet.

Das Problem ist: Die Welt um diese Maschine herum hat sich verändert. Der Server, der früher abgeschottet im Keller stand, hat heute eine Netzwerkverbindung — für Fernwartung, für Updates, für Cloud-Backups. Der PC im Büro hat Internetzugang. E-Mails kommen rein. Und über diese Verbindungen ist plötzlich ein Weg da, der bis zur Maschine führt — ein Weg, den es vor 20 Jahren schlicht noch gar nicht gab.

Was der CRA regelt — und wo er aufhört

Der CRA verpflichtet Hersteller. Ab Dezember 2027 dürfen nur noch Produkte mit digitalen Elementen auf den EU-Markt gebracht werden, die die neuen Sicherheitsanforderungen erfüllen. Dazu gehören Schwachstellenmanagement, Sicherheitsupdates über den gesamten Produktlebenszyklus und eine CE-Kennzeichnung für Cybersicherheit.

Das BSI erklärt den Stufenplan: Ab September 2026 gelten Meldepflichten für Hersteller bei entdeckten Schwachstellen. Ab Dezember 2027 müssen alle neu auf den Markt gebrachten Produkte die vollständigen Anforderungen erfüllen.

Die Produkte werden dabei in Risikoklassen eingeteilt:

Standardprodukte (ca. 90 % aller Produkte): Einfache IoT-Geräte, Bürosoftware, Consumer-Produkte. Hersteller dürfen die Konformität selbst bewerten.

Wichtige Produkte, Klasse I: Firewalls, Router, VPN-Software, Passwortmanager. Bewertung nach harmonisierten Normen oder durch eine externe Prüfstelle.

Wichtige Produkte, Klasse II: Hypervisoren, Container-Systeme, manipulationssichere Mikroprozessoren. Externe Prüfung erforderlich.

Kritische Produkte: Smart-Meter-Gateways, industrielle Steuerungssysteme, Smartcards. Verpflichtende Prüfung durch eine benannte Stelle.

Das ist die Herstellerseite. Und die ist sinnvoll: Endlich müssen Hersteller nachweisen, dass ihre Produkte sicher entwickelt wurden, und Sicherheitsupdates über Jahre bereitstellen.

Aber: Das CE-Siegel auf der Software, die Ihre Maschine steuert, sagt Ihnen, dass der Hersteller seinen Teil getan hat. Es sagt Ihnen nichts darüber, ob Ihr Netzwerk sicher ist. Ob der alte Server im Keller noch Updates bekommt. Ob die Verbindung zwischen Büro-PC und Maschinensteuerung geschützt ist. Ob jemand weiß, was passiert, wenn der Server ausfällt. Das ist Ihre Verantwortung.

Die Maschine läuft seit 20 Jahren — aber die Welt um sie herum ist eine andere

Industriemaschinen sind auf Jahrzehnte ausgelegt. Eine CNC-Fräse, eine Verpackungsanlage, eine Druckmaschine — die laufen 20, manchmal 30 Jahre. Das ist wirtschaftlich sinnvoll und technisch oft einwandfrei. Mechanisch.

Die Software auf diesen Maschinen stammt aber aus einer anderen Zeit. Steuerungsmodule mit Windows XP oder älteren Betriebssystemen gelten in der Industrie vielerorts als üblich — obwohl der Hersteller seit über einem Jahrzehnt keine Sicherheitsupdates mehr liefert. Die Architektur des Zusammenspiels zwischen Büro-PC, Server und Maschinensteuerung wurde entworfen, als die Maschine installiert wurde. Damals gab es keine Cloud. Keinen Fernzugriff. Kein permanentes Internet. Und keine Angriffe, die über ein Netzwerk bis in die Maschinensteuerung reichen.

Über die Jahre wurde dann ergänzt: Ein Router für die Fernwartung. Ein Cloud-Backup. Eine neue Bürosoftware, die mit dem alten Server kommuniziert. Stück für Stück ist ein komplexes System entstanden — ohne dass jemand das Gesamtbild noch überblickt. Und ohne dass die Sicherheitsarchitektur mitgewachsen wäre.

Der CRA betrifft diese bestehenden Maschinen formal nur, wenn sie wesentlich verändert und erneut in Verkehr gebracht werden. Aber das ändert wenig an der Realität: Die Maschine läuft in einer Umgebung, für die sie nicht konzipiert wurde.

Die Haftungsfrage bleibt bei Ihnen — mit oder ohne Siegel

Ein konkretes Beispiel: Sie betreiben einen Lebensmittelbetrieb. Die Etiketten auf Ihren Produkten — mit Zutaten, Allergenen, Mindesthaltbarkeitsdaten — werden von einem System gedruckt, das aus genau dieser Kette besteht: PC, Server, Drucker an der Verpackungslinie. Wenn jemand dieses System manipuliert — ob von außen über das Netzwerk oder durch einen Fehler in der Software — und falsche Angaben auf dem Etikett landen, haften Sie als Betreiber. Für die Richtigkeit der Angaben auf Ihrem Produkt. Für die Sicherheit der Lebensmittel, die Sie verkaufen.

Das CE-Siegel auf der Drucksoftware ändert daran nichts. Es bestätigt, dass der Hersteller die Software nach den CRA-Anforderungen entwickelt hat. Es bestätigt weder, dass die Software in Ihrer Umgebung korrekt eingebunden ist, noch dass niemand den Weg vom Internet über Ihren Büro-PC bis zum Etikettendrucker ausnutzen kann.

Das gilt genauso für andere Branchen: Eine Kfz-Werkstatt, deren Prüfprotokoll aus dem vernetzten System kommt. Ein Handwerksbetrieb, dessen Angebotskalkulation über den Server läuft. Ein Architekturbüro, dessen Berechnungen in einer Software stecken, die mit dem Netzwerk verbunden ist. Überall dort, wo ein digitales System Ergebnisse produziert, für die Sie als Betreiber einstehen, bleibt die Verantwortung bei Ihnen.

Was Hersteller tun können — und was eben auch nicht

Der CRA verpflichtet Hersteller, Schwachstellen zu beheben und Sicherheitsupdates bereitzustellen — mindestens fünf Jahre lang oder über die erwartete Lebensdauer des Produkts. Das ist ein echter Fortschritt. Bisher war es bei vielen Produkten so, dass der Hersteller nach dem Verkauf wenig Verantwortung trug.

Aber der Hersteller kennt Ihren Betrieb so wenig wie der Autohersteller die Straßen kennt, auf denen Sie fahren. Er kann sein Produkt sicher bauen. Er kann Ihnen sagen, wie Sie es sicher einrichten. Er kann Sicherheitslücken schließen, wenn sie entdeckt werden. Was er gar nicht beurteilen kann: Wie dieses Produkt in Ihrem spezifischen Netzwerk eingebunden ist, welche anderen Systeme damit verbunden sind und ob jemand bei Ihnen die Updates auch einspielt.

Und bei den vielen kleinen Softwareherstellern — den Branchenlösungen, den Spezialanwendungen, den Maschinensteuerungen von Nischenanbietern — wird es spannend: Viele dieser Hersteller haben über Jahre eine Software weiterentwickelt und ergänzt. Eine gewachsene Architektur, manchmal auf Technologien aufgebaut, die zum Zeitpunkt der Entwicklung sicher waren und es heute längst nicht mehr sind. Den CRA zu erfüllen bedeutet für manche dieser Anbieter, ihre Software grundlegend umzubauen. Ob das gelingt, wie lange die Unterstützung reicht und was passiert, wenn der Anbieter die Anforderungen am Ende nicht erfüllen kann — das sind Fragen, die Sie als Betreiber im Blick behalten sollten.

Was Sie als Betreiber tun können — pragmatisch und machbar

Sie müssen kein Sicherheitsexperte werden. Aber Sie sollten wissen, wie Ihr System zusammenhängt — und wo die Stellen sind, an denen es verwundbar sein könnte:

Wie hängen Ihre Systeme zusammen? Der Weg von der Auftragserfassung im Büro bis zur Maschine in der Halle — über welche Geräte und Verbindungen läuft er? Gibt es Stellen, an denen das Netzwerk offen ist, die es früher nicht gab?

Werden Ihre Systeme noch mit Updates versorgt? Die Maschinensteuerung, der Server, die Branchensoftware — bekommt all das noch Sicherheitsupdates? Wenn der Hersteller den Support eingestellt hat, laufen diese Systeme zwar weiter, aber ohne Schutz gegen neue Bedrohungen.

Was passiert, wenn das System manipuliert wird? Welche Ergebnisse produziert Ihr System, für die Sie als Betreiber haften? Etiketten, Berechnungen, Prüfprotokolle, Rechnungen? Wie würden Sie merken, wenn etwas verändert wurde?

Wer versteht das Gesamtbild? In vielen Betrieben wurde das System von verschiedenen Personen zu verschiedenen Zeiten eingerichtet. Gibt es jemanden, der das Zusammenspiel heute noch überblickt?

Der CRA ist eine gute Nachricht für Betreiber: Hersteller werden verpflichtet, ihren Teil besser zu machen. Aber Ihr Teil — das Zusammenspiel in Ihrem Betrieb, die Einbindung in Ihr Netzwerk, die Verantwortung für das, was das System produziert — der bleibt bei Ihnen. Und eine dokumentierte Übersicht darüber, wie Ihre Systeme zusammenhängen und wo die Risiken liegen, ist das beste Werkzeug, das Sie dafür haben können.

Häufige Fragen

Muss meine bestehende Maschine nachträglich CRA-konform gemacht werden?

Formal nur dann, wenn sie wesentlich verändert und erneut in Verkehr gebracht wird. Ihre 20 Jahre alte Fräse, die seit der Installation unverändert läuft, muss kein CRA-Siegel tragen. Aber: Wenn wesentliche Softwareänderungen vorgenommen werden oder ein neues Modul hinzukommt, kann das als Neuinverkehrbringung gelten. Und unabhängig vom CRA gilt: Die Verantwortung für den sicheren Betrieb liegt immer bei Ihnen — auch bei Altanlagen.

Wie lange muss der Hersteller Sicherheitsupdates liefern?

Der CRA schreibt Sicherheitsupdates über mindestens fünf Jahre vor — oder über die erwartete Nutzungsdauer des Produkts, wenn diese länger ist. Bei Industriemaschinen mit einer Lebensdauer von 20 oder 30 Jahren entsteht hier eine Diskrepanz: Die Maschine überlebt die Updatepflicht des Softwareherstellers bei Weitem. Was danach passiert, ist Ihre Verantwortung als Betreiber.

Was ist, wenn mein Branchensoftware-Hersteller die CRA-Anforderungen gar nicht erfüllen kann?

Das ist eine reale Möglichkeit, besonders bei kleineren Anbietern, deren Software über viele Jahre gewachsen ist. Wenn der Hersteller die Anforderungen ab Dezember 2027 nicht erfüllt, darf er das Produkt formal nicht mehr auf den EU-Markt bringen. Für Sie als Bestandskunde heißt das: Die Software läuft weiter, aber es gibt möglicherweise keine Updates, keine neuen Versionen und irgendwann auch keinen Support mehr. Genau deshalb lohnt es sich, frühzeitig zu wissen, wie abhängig Sie von einzelnen Anbietern sind.

Quellen und weiterführende Informationen

BSI: Cyber Resilience Act — Stufenplan und Anforderungen

Fraunhofer IEM: Cyber Resilience Act — was sich ändert und wer betroffen ist

Pilz: Cyber Resilience Act — Anforderungen für Maschinenhersteller und -betreiber

IBF Solutions: CRA-Leitfaden für Hersteller — komplexe Systeme und Bestandsmaschinen

Dieser Artikel dient der allgemeinen Orientierung und stellt keine rechtliche Beratung dar. Die Einordnung Ihrer konkreten Situation obliegt einer Rechtsanwältin oder einem Rechtsanwalt.

Wissen, wie Ihre Systeme zusammenhängen

Wir kommen zu Ihnen, schauen uns an, wie Büro, Server und Produktion zusammenspielen, und dokumentieren die Verbindungen und Abhängigkeiten. Das Ergebnis: eine Übersicht, die Ihnen zeigt, wo Ihre Systeme verwundbar sein könnten — und was Sie pragmatisch tun können, bevor sich die Rahmenbedingungen ändern.

Gespräch vereinbaren