CRA-Update für Maschinenhersteller: Was jetzt fällig wird
- 11. September 2026: Meldepflichten beginnen (Art. 14 CRA), Hersteller müssen ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die ENISA und das nationale CSIRT melden und nach spätestens 72 Stunden eine detaillierte Analyse und Risikominderungsmaßnahmen nachliefern. Jetzt erforderlich werden daher klare Kriterien, Bearbeitungswege und Verantwortlichkeiten, auch über die Feiertage hinweg.
- 11. Dezember 2027: Volle CRA-Compliance, CE-Kennzeichnung, konform entwickelte Produkte, abgeschlossene Konformitätsbewertung. 18 Monate klingen entspannt, für Maschinenhersteller mit mehreren Produktgenerationen in Scope sind sie knapp. Security-by-Design lässt sich nicht nachträglich einbauen.
Warum Maschinenhersteller eine eigene Rechnung haben
Hersteller von Consumer-Produkten kennen viele der prozessualen CRA-Pflichten bereits: Meldewege, Rückrufstrukturen und Marktüberwachung sind durch die Produktsicherheitsverordnung (GPSR) etabliert. Für reine B2B-Hersteller ist das Neuland: definierte Meldeprozesse, Verantwortlichkeiten gegenüber Behörden und dokumentierte Reaktionsketten müssen erstmals aufgebaut werden.
Der zweite Unterschied wiegt schwerer: Der CRA verpflichtet Hersteller, ihre Produkte über die gesamte erwartete Nutzungsdauer mit Sicherheitsupdates zu versorgen (Art. 13 Abs. 8 CRA). Industriemaschinen laufen Jahrzehnte – deutschen AfA-Tabellen zufolge liegt die steuerliche Nutzungsdauer bei Sondermaschinen bei bis zu 13 Jahren, die reale Betriebsdauer oft darüber. Eine heute in Verkehr gebrachte Maschine muss also weit über ein Jahrzehnt mit Sicherheitspatches versorgt werden, für jede ausgelieferte Softwareversion, die im Feld läuft.
Die drei konkreten Handlungstreiber
- Marktzugang – Existenzielle Board-Entscheidung: Ab Dezember 2027 erhalten Maschinen ohne CRA-konforme CE-Kennzeichnung keinen Marktzugang in der EU. Keine Compliance-Frage, sondern eine strategische Entscheidung auf Board-Ebene, denn Verstöße kosten bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
- Retrofit-Umsätze – Blockiert ohne Compliance: Maschinenhersteller leben nicht nur vom Neugeschäft. Service-Updates, Funktionserweiterungen und Retrofits bei bestehenden Kunden sind ein wesentlicher Umsatzbaustein. Wesentliche Änderungen an Bestandsmaschinen erfordern künftig ein CRA-konformes Gesamtprodukt. Wer das nicht sicherstellt, blockiert den eigenen Retrofit-Kanal und damit eine zentrale Einnahmequelle.
- Engineering-Kapazität – Patch Debt vs. Roadmap: Dutzende aktive Softwareversionen laufen parallel im Feld. Kritische Schwachstellen müssen bewertet, priorisiert und ohne Verzögerung behoben werden. Für Engineering-Teams, die gleichzeitig Produktentwicklung betreiben, ist das ein struktureller Ressourcenkonflikt. Schätzungen gehen von 10–20 % des jährlichen Entwicklungsbudgets über den gesamten Lebenszyklus hinweg.
Ein anderer Ansatz ist möglich
Die Frage, die wir immer häufiger von Entwicklungsleitern im Maschinenbau hören: Wie lässt sich CRA-Compliance umsetzen, ohne die gesamte Engineering-Kapazität auf Security umzulenken?
Die Antwort liegt in einer anderen Architektur: einer Sicherheitskomponente, die als untrennbarer Bestandteil mit der Maschine ausgeliefert wird, das vollständige Schwachstellenmanagement übernimmt und dabei die Maschinensoftware unberührt lässt. Mit edge.PSL hat TRIOVEGA genau diesen Ansatz entwickelt: als Protective Security Layer für Maschinenhersteller.
Mehr zum CRA und den Anforderungen für vernetzte Produkte finden Sie in unseren früheren Artikeln: Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter Produkte und CRA-Compliance meistern: Wie die Industrie jetzt Stärke zeigt.
TRIOVEGA begleitet seit über 25 Jahren von den Standorten Lübeck und Braunschweig heraus Industrieunternehmen weltweit dabei, das Potenzial der Digitalisierung sicher und nachhaltig zu erschließen. Das Portfolio umfasst einsatzfertige Produkte und Dienstleistungen zur Steigerung von Produktionssicherheit und Effizienz sowie individuell entwickelte Softwarelösungen, die sich nahtlos in die Wertschöpfungsketten der Kunden integrieren lassen. Mit mehrfach ausgezeichneter Innovationskraft und zertifizierter als auch patentierter Cybersicherheitsexpertise steht TRIOVEGA für partnerschaftliche Zusammenarbeit auf Augenhöhe – von der technischen Beratung über die Umsetzung bis zum After-Sales-Service.
TRIOVEGA GmbH
Kaninchenborn 31
23560 Lübeck
Telefon: +49 (451) 39771-0
https://triovega.com
Senior Marketing Manager
Telefon: +49 451397710
E-Mail: iga@triovega.com
![]()


