FAQs zum Cyber-Resilience-Act (CRA) bzw. Cyberresilienz-Verordnung (EU) 2024/2847

Die „Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828“ wird kurz als Cyberresilienz-Verordnung bezeichnet. In der Industrie und Normung hat sich, auch im deutschen Sprachraum, die englische Bezeichnung „Cyber-Resilience-Act“, abgekürzt als „CRA“ durchgesetzt, welche daher auch nachfolgend verwendet wird.

Ja, der CRA gilt grundsätzlich für alle Produkte mit „digitalen Elementen“ gemäß der Definition im CRA (siehe Artikel 2), was auch viele Maschinen betrifft.

Der CRA ist am 10.12.2024 in Kraft getreten und ab dem 11.12.2027 vollumfänglich anzuwenden. Ab dem 11.09.2026 ist bereits Artikel 14 des CRA anzuwenden, welcher Meldepflichten zu ausgenutzten Schwachstellen regelt und für den Maschinenbau bzw. Komponentenhersteller besonders relevant ist, da er auch für bereits in Verkehr gebrachte Produkte, also „Bestandsmaschinen“, gilt.

Bereits in Verkehr gebrachte Maschinen (Bestand) verlieren dadurch nicht die Konformität (CE-Zeichen). Artikel 14, welcher für auch den Bestand gilt, regelt lediglich die Meldepflichten der Hersteller.

Dazu bietet sich das Common Security Advisory Framework (CSAF) als maschinenlesbares Format für den automatisierten Datenbankabgleich an. Weitere Informationen dazu finden Sie z.B. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Deutschen Gesetzlichen Unfallversicherung (DGUV).

Beide EU-Verordnungen bringen für Maschinen mit Schnittstellen bzw. „digitalen Elementen“ (siehe Definitionen in den Verordnungen), die ab dem Jahr 2027, allerdings zu verschiedenen Stichtagen, in Verkehr gebracht werden, neue Anforderungen hinsichtlich Security mit sich. In der MVO sind das die Anforderungen aus Anhang III, Abschnitt 1.1.9 und 1.2.1, welche den Schutz der sicherheitsrelevanten Steuerung der Maschine (Safety) vor Korrumpierung im Fokus haben. Im CRA haben die Anforderungen den Schutz der Daten und das Schwachstellenmanagement im Fokus. Die beiden Verordnungen widersprechen sich also nicht, sondern ergänzen sich.

Ja, für Produkte (Maschinen) die ab dem 11.12.2027 in Verkehr gebracht werden ist bei der Konformitätserklärung neben der Maschinenverordnung (EU) 2023/1230 auch der Cyber-Resilience-Act (EU) 2024/2847 zu beachten und in der Konformitätserklärung zu nennen, sofern das Produkt „digitale Elemente“ gemäß der Definition des CRA enthält. Zu beachten ist dabei, dass bei Serienprodukten der Stichtag sich nicht auf das erste Produkt der Serie, sondern auf jedes einzelne in Verkehr gebrachte Produkt bezieht.

Das ist im Einzelfall genau zu prüfen, ob es sich noch um eine „identische Komponente“ handelt, oder ob neue Funktionen oder Eigenschaften hinzugekommen sind. Siehe dazu Erwägungsgrund 29: „Damit auf dem Markt bereitgestellte Produkte mit digitalen Elementen wirksam repariert werden können und ihre Lebensdauer verlängert wird, sollte eine Ausnahme für Ersatzteile vorgesehen werden. Diese Ausnahme sollte sowohl für Ersatzteile gelten, die der Reparatur von Altprodukten dienen, die vor dem Geltungsbeginn dieser Verordnung zur Verfügung gestellt wurden, als auch für Ersatzteile, die bereits ein Konformitätsbewertungsverfahren gemäß dieser Verordnung durchlaufen haben.“

Sowie weiterhin Artikel 2 (1): „Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“

Und Artikel 2 (6): „Diese Verordnung gilt nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen.“

Dazu bietet sich der IETF-Standard RFC 9116 „A File Format to Aid in Security Vulnerability Disclosure“, Welcher kostenfrei verfügbar ist, an. Dies wird u.a. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Deutschen Gesetzlichen Unfallversicherung (DGUV) empfohlen und hat sich bereits weltweit etabliert.

Dies ist im CRA nicht genauer definiert. Die Anwendung der BSI TR-03183 Cyber-Resilienz-Anforderungen wird empfohlen.

Ja, zum einen ist im CRA ebenfalls der Begriff der „wesentlichen Änderung“ (Artikel 3, Nummer 30) definiert, welcher sich dort aber auf die Anforderungen des CRA bezieht und nicht mit der „wesentlichen Veränderung“ im Sinne der MVO zu verwechseln ist. Zum anderen sind bei einer „wesentlichen Veränderung“ der Maschine im Sinne der MVO ab dem 11.12.2027 (Stichtag der vollumfänglichen Anwendung des CRA) auch die Anforderungen des CRA zu beachten, um die Konformität der Maschine erklären zu können.

SPS, Frequenzumrichter, Netzwerkschnittstellen etc. in einer Maschine führen nicht direkt dazu, dass diese Maschine als „wichtiges Produkt mit digitalen Elementen“ eingestuft wird.

Siehe dazu Artikel 7 (1):
„[…] Die Integration eines Produkts mit digitalen Elementen, das die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweist, führt für sich genommen nicht dazu, dass das Produkt, in das es integriert ist, den Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2 und 3 unterliegt.“

D.h. die Integration einer Komponente, welche nach CRA „wichtig“ ist, in eine Maschine, führt nicht dazu, dass die gesamte Maschine in diese Kategorie fällt. à alle Ihre drei Beispiele fallen daher in die „Standard“-Kategorie.

Der CRA nimmt eine Einstufung in Anbetracht der Schutzbedürftigkeit, der auf dem Produkt verarbeiteten/vorhandenen Daten vor. Da auf Maschinen in der Regel weder kritische personenbezogene Daten noch z.B. wichtige kryptografische Daten vorhanden sind, sind Maschinen grundsätzlich als unkritisch zu betrachten. Wenn im CRA von „sicherheitsrelevanten Funktionen“ die Rede ist, dann ist das nicht mit der „Sicherheit“ im Sinne der Maschinenverordnung gleichzusetzen. Im CRA ist damit keine funktionale Sicherheit, sondern IT-Sicherheit (Schutz der Daten) gemeint.

Der CRA ist eine produktbezogene Verordnung, gilt also für getrennt (d.h. nicht als Komponente eines anderen Produkts) in Verkehr gebrachte Produkte (Art. 3). Wird nur die Maschine als Ganzes in Verkehr gebracht, ist nur diese insgesamt zu betrachten. Werden Komponenten auch getrennt (also einzeln) in Verkehr gebracht, sind diese ebenfalls als Produkt zu betrachten. Werden diese Komponenten jedoch nur als identische Ersatzteile für bestimmte Maschinen einzeln in Verkehr gebracht, sind diese ausgenommen (Art. 2, Abs. 6).

Gemäß CRA ist Software auch ein Produkt. Wird (nachträglich) zur Maschine eine neue (leistungsfähigere) Software verkauft, welche nicht nur der Fehlerbehebung dient, stellt diese ein neues Produkt dar, das getrennt in Verkehr gebracht wird. Der Supportzeitraum für dieses neue Produkt „Software“ startet dann dementsprechend erst mit der Inverkehrbringung desselben (Art. 3, siehe außerdem Erwägungsgründe 39, 40 und 60). Beachten Sie weiterhin, dass die neue Software außerdem eine wesentliche Änderung darstellen kann, was sich auf die Konformität des Produkts auswirken würde (Art. 3, Punkt 30, Art. 21, Art 22 des CRA sowie die Regelungen zu wesentlichen Änderungen aus der MVO).

Es ist im Sinne des CRA irrelevant, ob die Komponenten vom Hersteller-Service oder vom Betreiber nachgerüstet werden. Entscheidend ist, wer die Komponenten in Verkehr bringt, also auf dem Markt bereitstellt. Der CRA erfasst die im Beispiel genannten Komponenten, da es sich dabei nicht um identische Ersatzteile handelt, sondern über getrennt in Verkehr gebrachte („neue“) Produkte (Komponenten) Funktionen nachgerüstet werden.

FAQs zum Cyber-Resilience-Act (CRA) bzw. Cyberresilienz-Verordnung (EU) 2024/2847

Ist der CRA für den Maschinenbau relevant?

Wann tritt der CRA in Kraft?

Artikel 14 gilt für Bestandsmaschinen: erlischt dadurch dann das CE-Zeichen für die Bestandsmaschinen oder ist es nur die Meldepflicht?

Wie kann die Meldepflicht nach Artikel 14 Abs. 8 umgesetzt werden, sodass ein Hersteller die Kunden/Nutzer mit betroffenen Produkten informieren kann?

Wie ist das Zusammenspiel der Maschinenverordnung (EU) 2023/1230 mit dem Cyber-Resilience-Act (EU) 2024/2847 zu sehen?

Ist der CRA bei der Konformitätserklärung zu beachten?

Gilt der CRA auch für neue Generationen von Ersatzteilen? Z.B. ein bestimmtes Steuermodul wird durch eine neue Generation ersetzt, welche auf Grund von geänderten Normen, Richtlinien, Verordnungen o.Ä. von der alten Generation abweicht. Würden diese dann unter den CRA fallen?

Wie kann die Anforderung des CRA nach einer Kontaktadresse (SPOC, Single Point of Contact) für die Meldung von Schwachstellen erfüllt werden?

Ist die Tiefe der „Software-Stückliste“ (SBOM), festgeschrieben? Sprich bis zu welcher Tiefe diese geführt werden muss?

Wird sich mit Einführung des CRA die heute gängige Definition / Interpretation einer "wesentlichen Veränderung" (z.B. nach Retrofit) ändern bzw. erweitern?

Moderne Maschinen enthalten meistens SPS-Steuerungen, Frequenzumrichter mit Netzwerkschnittstellen, Fernwartungsmodulen etc., führt dies dazu, dass diese Maschinen als „wichtiges Produkt mit digitalen Elementen“ eingestuft wird?

Sind alle im CRA geforderten Anforderungen aus Anhang I für jede Einzelkomponente umzusetzen oder nur risikobasiert und auf Produktebene (also Maschine)?

Wann genau liegt laut CRA ein Inverkehrbringen vor? Ist das nur dann der Fall, wenn ein Produkt initial verkauft wird oder stellt auch der Verkauf einer neueren Softwareversion mit Funktionserweiterung für das Produkt ein neues Inverkehrbringen dar?