Der Cyber Resilience Act verlangt von Herstellern, Integratoren und Betreibern digitaler Produkte umfangreiche Cyber-Security-Maßnahmen über den gesamten Lebenszyklus hinweg. Doch was genau kommt nun auf betroffene Unternehmen zu?
Der Cyber Resilience Act (CRA) gilt für Produkte, Software und Hardware mit digitalen Elementen und gilt damit auch für vernetzte Geräte im Industrial Internet of Things.
Cybersicherheit ist ein heißes Thema: 2023 wurden die entsprechenden Vorgaben der EU durch die NIS2-Richtlinie aktualisiert, im März ist das EU-Gesetz über Cyberresilienz, der Cyber Resilience Act (CRA), vom Europäischen Parlament verabschiedet worden. Nach der Verabschiedung durch den Europäischen Rat – eine reine Formsache – haben Hersteller 36 Monate Zeit, die Vorgaben umzusetzen.
Der CRA gilt für Produkte, Software und Hardware mit digitalen Elementen und damit ist auch die Industrie angesichts von vernetzter Fertigung im Industrial Internet of Things (IIOT) voll im Fokus: Geräte, Maschinen und Komponenten in der Produktion sammeln und erzeugen Daten mit Sensoren und Aktoren und tauschen sie aus, industrielle Steuerungssysteme (Industrial Control Systems) arbeiten damit.
Sicherheitskritische Produkte mit digitalen Elementen werden im Anhang III des CRA sogar als kritische Hard- und Softwareprodukte gelistet: Dazu zählen unter anderem Firewalls, Systeme zur Erkennung und Prävention von Einbrüchen und Angriffen, Router, Modems und Switches, auch im industriellen Kontext.
Für all diese Produkte legt der CRA einen umfangreichen Anforderungskatalog fest. Sie benötigen:
einen sicheren Produkt- und Entwicklungslebenszyklus (Security by Design), der Cybersicherheit im gesamten Lebenszyklus berücksichtigt.
ein kontinuierliches Schwachstellen-Management: Cybersicherheitsrisiken müssen dokumentiert werden und die Hersteller aktiv ausgenutzte Schwachstellen und Zwischenfälle melden.
ein sicheres Software-Update-Management: Die Hersteller müssen nach dem Verkauf weiterhin sicherstellen, dass für die Dauer des Support-Zeitraums Schwachstellen ihrer Produkte wirksam behandelt werden. Außerdem sind Sicherheitsaktualisierungen und Patches für die voraussichtliche Nutzungsdauer des Produkts vorgeschrieben.
eine sicherheitsbezogene Dokumentation mit klaren und verständlichen Anweisungen.
Vorgaben zur Konformitätsbewertung bzw. der Produktkonformität und der Risikobewertung.
Cyber-Security-Anforderungen und kritische Produkte
Die konkreten Cybersicherheitsanforderungen stehen in Anhang I des CRA: Produkte mit digitalen Elementen benötigen auf Grundlage ihrer Risikobewertung geeignete Kontrollmechanismen, die Schutz vor unbefugtem Zugriff bieten. Genannt werden hier Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme. Sie müssen die Integrität gespeicherter, übermittelter oder anderweitig verarbeiteter Daten, ob personenbezogener oder sonstiger Daten, Befehle, Programme und Konfigurationen vor einer Manipulation schützen. Ihre Beschädigung muss gemeldet werden. Außerdem muss sichergestellt werden, dass Schwachstellen durch (automatische) Sicherheitsaktualisierungen behoben werden können.
Die normativen Anforderungen legt die IEC 62443 fest, die wichtigste Sicherheitsnorm der Automatisierungsindustrie. Diese Sicherheitsanforderungen des CRA zu erfüllen und die IEC 62443 umzusetzen, ist keine einfache Aufgabe - weder für Hersteller noch für Integratoren und Betreiber: Nicht nur, dass die speziellen Anforderungen an die Vernetzung mit Routern und smarten Geräten oft nicht im Fokus liegen. Viele Unternehmen sind per se keine IT-Sicherheitsspezialisten und verfügen nur über limitierte IT-Sicherheitskapazitäten in einem allgemeinen Sicherheitsumfeld wie IT Security Management Systems (EN ISO 270001). Zudem sind Verantwortlichkeiten oft nicht klar definiert und es fehlt die Expertise.
Public-Key-Infrastruktur (PKI)
Mit elektronischen Zertifikaten können die wichtigsten Sicherheitsanforderungen des CRA realisiert werden: Sie werden über eine Public Key Infrastruktur (PKI) bereitgestellt. Eine PKI gilt als das sicherste Verfahren für die Vernetzung von IoT-Geräten und industriellen Steuerungssystemen. Sie ist eine asymmetrische Kryptographietechnologie, die mit öffentlichen und privaten Schlüsseln einen vertraulichen Datenaustausch ermöglicht. Die Daten werden dafür signiert und verschlüsselt. Digitale Zertifikate erzeugen einen Zertifizierungspfad und stellen die Authentizität der Schlüssel sicher.
Über die Zertifikate der PKI greifen vier Schutzmechanismen: Die initiale Geräteidentität in der Produktion beim Hersteller wird durch eine zertifikatsbasierte Authentifizierung im Netzwerk sichergestellt – ein Geburtszertifikat identifiziert und authentifiziert das jeweilige Gerät, so dass ein sicherer Kommunikationskanal ins Internet aufgebaut werden kann.
Elektronische Zertifikate sichern auch das Update Management ab: Die PKI prüft darüber die Authentizität der Software, so dass keine Malware eingeschleust oder unerlaubte Änderungen vorgenommen werden können. Die Firmware-Updates durch den Hersteller sind signiert. Über Zertifikate kann ebenfalls die Autorisierung von Updates von Drittanbietern gesteuert werden.
Dritter Anwendungsfall ist der sichere Gerätestart, das Secure Boot. Hierbei wird gewährleistet, dass die Firmware der Geräte vor jedem Start authentifiziert ist und sie über einen sicheren Integritätscode verfügen. Eine PKI ermöglicht auch die sichere Inbetriebnahme eines Geräts bei seinem Betreiber – nach einer Authentisierung wird eine lokale Geräteidentität generiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Secure Development Lifecycle
Die CRA konforme Entwicklung von Steuergeräten und Systemen unter Berücksichtigung industrieller Sicherheitsstandards gemäß IEC 62443 gelingt mit einem Secure Development Lifecycle (SDL) Ansatz. Eine Bestandsaufnahme des Produkts mit Gap-Analyse zu CRA-Anforderungen macht hier den Anfang. Dem schließt sich im Rahmen von Security Requirements Engineering / TARA eine Bedrohungs- und Schwachstellenanalyse und Risikobewertung an, um Sicherheitsanforderungen spezifizieren zu können. Danach werden im Security Architecture Engineering Prozess Sicherheitskonzeption und -architektur entwickelt.
Geschützt müssen auch die Update- und Boot-Prozesse der ICS-Komponenten sein – hier greift das Embedded Security Engineering, bei dem kryptographische Funktionen implementiert werden. Unternehmen benötigen nun leistungsfähige Testwerkzeuge, um ihre ICS- Produkte herstellerunabhängig auf Sicherheit und Konformität mit der IEC 62443 und individuellen Sicherheitsanforderungen zu testen – unter anderem in Form von Robustheitstests, Code-Analysen oder Penetrationstests. Danach sind Produkt-Evaluierungen nach IEC 62443 sinnvoll.
Security Consulting und Engineering
Um die Anforderungen von CRA und IEC 62443 umzusetzen, können Unternehmen mit einem Partner zusammenarbeiten, der sie auf dem Weg zur Compliance und Produktzertifizierung berät. Dieser Partner kann Unternehmen bei der Systemplanung über die Bereitstellung bis zum sicheren Betrieb unterstützen und ebenfalls als Systemintegrator den Aufbau neuer oder der Migration bestehender PKI-Systeme begleiten.
Als Systemhaus übernimmt achelos zum Beispiel die Planung, Implementierung und den Betrieb einer PKI: Nach der Risikoabschätzung wird definiert, welche Prozesse aufgesetzt werden müssen, und ein Betriebskonzept erstellt. Die Sicherheit der PKI wird konzeptioniert, bestimmt, welche Komponenten und welche Sicherheitsebenen notwendig sind und die geeignete Software ausgewählt. Audits werden integriert, Notfallpläne erstellt. Mit seiner Security Engineering Leistung deckt achelos außerdem den Secure Development Lifecycle ab und unterstützt über den gesamten Entwicklungsprozess von Produkten.
Dank der Unterstptzung erhalten Unternehmen sichere Produkte, die gegen Angriffe und andere Sicherheitsbedrohungen resistent sind. Cybersicherheit wird effizient in den Entwicklungsprozess integriert, was die Produkte zukunftssicher macht, und eine sichere Softwareentwicklung minimiert Sicherheitsrisiken. Unternehmen sparen Zeit und Kosten, da Schwachstellen nicht mehr nachträglich beseitigt werden müssen und verbessern ihre Effizienz.
Fazit
Industrieunternehmen müssen bei der Entwicklung ihrer Steuerungen den CRA berücksichtigen, einen sicheren Produktlebenszyklus, Konformität und Schwachstellenmanagement gewährleisten und dabei die Industrienorm IEC 62443 umsetzen. Eine PKI mit Signatur-Services für Firm- und Software bzw. elektronischen Zertifikaten gewährleistet die Datensicherheit in der Kommunikation der Infrastruktur und ein Secure Development Lifecycle (SDL) Ansatz die CRA konforme Entwicklung von Steuergeräten und Systemen. All diese Anforderungen lassen sich auch mit einem Security-Partner bewältigen.
* Über den Autor Michael Jahnich ist Director Business Development bei der achelos GmbH.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d6/fb/d6fbecccc4e3888afdbe8524208b769d/0126756814v1.jpeg "Software-Stücklisten (SBOMs) werden mit dem Cyber Resilience Act ab 2027 Pflicht, doch viele Unternehmen unterschätzen die damit einhergehenden Herausforderung. (Bild: © Dmytro Tolokonov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/a4/77a496666db2c60fbdf85547a27c559d/0126627715v1.jpeg "Cloud-native DevOps und Security by Design beschleunigen die Entwicklung von Software-Defined Vehicles und sichern regulatorische Konformität. (Bild: © vegefox.com - stock.adobe.com)")