CRA-Update für Maschinenhersteller: Was jetzt fällig wird
In unserem Artikel vom Juni 2025 haben wir beschrieben, was der Cyber Resilience Act (CRA) von Herstellern verlangt– und drei Maßnahmen empfohlen, um die Übergangszeit zu nutzen. Ein Jahr später hat sich der Handlungsdruck konkretisiert.

(PresseBox) - Ersten Fristen des CRA sind nicht mehr abstrakt, sie sind jetzt. Für Maschinen-OEMs gilt eine besondere Rechnung; eine, die im allgemeinen CRA-Diskurs häufig untergeht. Zwei Daten, die zählen:
11. September 2026: Meldepflichten beginnen (Art. 14 CRA), Hersteller müssen ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die ENISA und das nationale CSIRT melden und nach spätestens 72 Stunden eine detaillierte Analyse und Risikominderungsmaßnahmen nachliefern. Jetzt erforderlich werden daher klare Kriterien, Bearbeitungswege und Verantwortlichkeiten, auch über die Feiertage hinweg.
11. Dezember 2027: Volle CRA-Compliance, CE-Kennzeichnung, konform entwickelte Produkte, abgeschlossene Konformitätsbewertung. 18 Monate klingen entspannt, für Maschinenhersteller mit mehreren Produktgenerationen in Scope sind sie knapp. Security-by-Design lässt sich nicht nachträglich einbauen.
Warum Maschinenhersteller eine eigene Rechnung haben
Hersteller von Consumer-Produkten kennen viele der prozessualen CRA-Pflichten bereits: Meldewege, Rückrufstrukturen und Marktüberwachung sind durch die Produktsicherheitsverordnung (GPSR) etabliert. Für reine B2B-Hersteller ist das Neuland: definierte Meldeprozesse, Verantwortlichkeiten gegenüber Behörden und dokumentierte Reaktionsketten müssen erstmals aufgebaut werden.
Der zweite Unterschied wiegt schwerer: Der CRA verpflichtet Hersteller, ihre Produkte über die gesamte erwartete Nutzungsdauer mit Sicherheitsupdates zu versorgen (Art. 13 Abs. 8 CRA). Industriemaschinen laufen Jahrzehnte – deutschen AfA-Tabellen zufolge liegt die steuerliche Nutzungsdauer bei Sondermaschinen bei bis zu 13 Jahren, die reale Betriebsdauer oft darüber. Eine heute in Verkehr gebrachte Maschine muss also weit über ein Jahrzehnt mit Sicherheitspatches versorgt werden, für jede ausgelieferte Softwareversion, die im Feld läuft.
Die drei konkreten Handlungstreiber
Marktzugang – Existenzielle Board-Entscheidung: Ab Dezember 2027 erhalten Maschinen ohne CRA-konforme CE-Kennzeichnung keinen Marktzugang in der EU. Keine Compliance-Frage, sondern eine strategische Entscheidung auf Board-Ebene, denn Verstöße kosten bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Retrofit-Umsätze – Blockiert ohne Compliance: Maschinenhersteller leben nicht nur vom Neugeschäft. Service-Updates, Funktionserweiterungen und Retrofits bei bestehenden Kunden sind ein wesentlicher Umsatzbaustein. Wesentliche Änderungen an Bestandsmaschinen erfordern künftig ein CRA-konformes Gesamtprodukt. Wer das nicht sicherstellt, blockiert den eigenen Retrofit-Kanal und damit eine zentrale Einnahmequelle.
Engineering-Kapazität – Patch Debt vs. Roadmap: Dutzende aktive Softwareversionen laufen parallel im Feld. Kritische Schwachstellen müssen bewertet, priorisiert und ohne Verzögerung behoben werden. Für Engineering-Teams, die gleichzeitig Produktentwicklung betreiben, ist das ein struktureller Ressourcenkonflikt. Schätzungen gehen von 10–20 % des jährlichen Entwicklungsbudgets über den gesamten Lebenszyklus hinweg.
Ein anderer Ansatz ist möglich
Die Frage, die wir immer häufiger von Entwicklungsleitern im Maschinenbau hören: Wie lässt sich CRA-Compliance umsetzen, ohne die gesamte Engineering-Kapazität auf Security umzulenken?
Die Antwort liegt in einer anderen Architektur: einer Sicherheitskomponente, die als untrennbarer Bestandteil mit der Maschine ausgeliefert wird, das vollständige Schwachstellenmanagement übernimmt und dabei die Maschinensoftware unberührt lässt. Mit edge.PSL hat TRIOVEGA genau diesen Ansatz entwickelt: als Protective Security Layer für Maschinenhersteller.
Mehr zum CRA und den Anforderungen für vernetzte Produkte finden Sie in unseren früheren Artikeln: Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter Produkte und CRA-Compliance meistern: Wie die Industrie jetzt Stärke zeigt.
TRIOVEGA begleitet seit über 25 Jahren von den Standorten Lübeck und Braunschweig heraus Industrieunternehmen weltweit dabei, das Potenzial der Digitalisierung sicher und nachhaltig zu erschließen. Das Portfolio umfasst einsatzfertige Produkte und Dienstleistungen zur Steigerung von Produktionssicherheit und Effizienz sowie individuell entwickelte Softwarelösungen, die sich nahtlos in die Wertschöpfungsketten der Kunden integrieren lassen. Mit mehrfach ausgezeichneter Innovationskraft und zertifizierter als auch patentierter Cybersicherheitsexpertise steht TRIOVEGA für partnerschaftliche Zusammenarbeit auf Augenhöhe - von der technischen Beratung über die Umsetzung bis zum After-Sales-Service.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
TRIOVEGA begleitet seit über 25 Jahren von den Standorten Lübeck und Braunschweig heraus Industrieunternehmen weltweit dabei, das Potenzial der Digitalisierung sicher und nachhaltig zu erschließen. Das Portfolio umfasst einsatzfertige Produkte und Dienstleistungen zur Steigerung von Produktionssicherheit und Effizienz sowie individuell entwickelte Softwarelösungen, die sich nahtlos in die Wertschöpfungsketten der Kunden integrieren lassen. Mit mehrfach ausgezeichneter Innovationskraft und zertifizierter als auch patentierter Cybersicherheitsexpertise steht TRIOVEGA für partnerschaftliche Zusammenarbeit auf Augenhöhe - von der technischen Beratung über die Umsetzung bis zum After-Sales-Service.
Datum: 14.07.2026 - 08:00 Uhr
Sprache: Deutsch
News-ID 2262023
Anzahl Zeichen: 5861
Kontakt-Informationen:
Ansprechpartner: Isabella Gaafke
Stadt:
Lübeck
Telefon: +49 451397710
Kategorie:
Softwareindustrie
Diese Pressemitteilung wurde bisher 123 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"CRA-Update für Maschinenhersteller: Was jetzt fällig wird"
steht unter der journalistisch-redaktionellen Verantwortung von
TRIOVEGA GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Die IEC 62443 ist keine einzelne Norm, sondern ein modular aufgebautes Normenwerk. Das Ziel: Cyber-Security über den gesamten Lebenszyklus industrieller Systeme hinweg sicherstellen – von der Konzeption über die Integration bis zum Betrieb. Die Normenreihe gliedert sich in sechs Bereiche: Allgem
NIS-2-Update, der Reality-Check: Was ab April 2026 zu tun ist ...
Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, und die Frist zur Erstregistrierung lief am 6. März 2026 ab. Wer bis dahin nichts unternommen hat, befindet sich jetzt bereits formal in einem Verstoß. Das ist kein Ausblick auf eine mögliche Zukunft, sondern die Realität in vielen deutsch
Wie medi Legacy- Systeme cyberresilient und produktionsfähig hält ...
Für das Unternehmen medi leisten am Standort Bayreuth rund 1.800 Mitarbeiter:innen (weltweit rund 3.000) einen maßgeblichen Beitrag, dass Menschen sich besser fühlen. Das Ziel ist es, Anwender:innen und Patient:innen maximale Therapieerfolge im medizinischen Bereich (medi Medical) und darüber hi
Weitere Mitteilungen von TRIOVEGA GmbH
Release 2026.1: ...
Organisationen müssen ihre Managementsysteme kontinuierlich an neue organisatorische, regulatorische und technische Anforderungen anpassen. Mit dem Release 2026.1 unterstützt die Aachener ConSense GmbH Unternehmen dabei, Prozesse einfacher zu pflegen, Dokumentationen schneller zu aktualisieren und
Banken-Websites im Datenschutz-Check 2026: 80 % mit Datenschutzmängeln ...
decareto hat die Websites von 25 großen deutschen Banken automatisiert auf DSGVO- und TDDDG-Konformität untersucht. Das Ergebnis: Alle Institute setzen Consent-Banner ein — dennoch weisen die meisten Datenschutzmängel bei Cookie-Konfiguration, externen Diensten und Datenschutzerklärungen auf.
Microsoft Copilot, ChatGPT&Enterprise AI: pörtner consulting unterstützt Unternehmen bei Auswahl und Einführung moderner KI-Plattformen ...
Künstliche Intelligenz entwickelt sich zunehmend zu einem zentralen Werkzeug für Unternehmen. Besonders Lösungen wie Microsoft 365 Copilot, ChatGPT Enterprise und weitere Enterprise-AI-Plattformen bieten neue Möglichkeiten, um Arbeitsprozesse zu beschleunigen, Wissen besser nutzbar zu machen und
Comarch ERP Enterprise wird eigenständige Geschäftseinheit – mit neuem Führungsteam und klarem KI-Fokus ...
Die Comarch AG stellt ihr ERP-Geschäft strategisch neu auf: Zum 1. Mai 2026 ist Comarch ERP Enterprise (CEE) zu einer eigenständigen Geschäftseinheit geworden – mit klarem Schwerpunkt auf den Kernmärkten DACH und Frankreich. In deren weiteren Ausbau wird Comarch in den kommenden Jahren gezielt




