Maschinenbau-OEMs stehen vor einer der steilsten CRA-Lernkurven: lange Produktlebenszyklen, komplexe Zulieferketten, eingebettete Software von vielen Herstellern und Kunden, die zunehmend Cybersicherheitsnachweise schon im Beschaffungsprozess verlangen. Diese Schritt-für-Schritt-Anleitung führt Maschinenbauer durch die CRA-Compliance — was zuerst kommt, wie lange jede Phase dauert und wo Kunnus den Weg von der Gap-Analyse bis zur EU-Konformitätserklärung beschleunigt.
Warum der Maschinenbau weit oben auf der CRA-Prioritätenliste steht
Moderne Industriemaschinen kombinieren mehrere Produkte mit digitalen Elementen: speicherprogrammierbare Steuerungen (SPS), Bedien-Panels (HMIs), Industrierouter, Sicherheitssteuerungen und vernetzte Sensoren. Jede dieser Komponenten kann selbstständig unter den CRA fallen — und die zusammengebaute Maschine unterliegt zusätzlich eigenen Konformitätspflichten.
Cyberangriffe auf vernetzte Maschinen sind keine theoretische Größe mehr. Tagelange Produktionsausfälle, Sicherheitsvorfälle in Roboter-Zellen und Ransomware-Angriffe, die ganze Werke lahmlegen, haben Cybersecurity zum Vorstandsthema bei OEMs gemacht. Der CRA gießt diese Erkenntnis in bindendes EU-Recht: Jedes Produkt, das nach Dezember 2027 auf den EU-Markt kommt, muss die grundlegenden Cybersicherheitsanforderungen erfüllen.
Die meisten Komponenten der Industrieautomatisierung sind als „wichtige Produkte" Klasse I eingestuft. Eine reine Selbstbewertung ist dann möglich, wenn vollständig harmonisierte Normen angewendet werden — andernfalls muss eine notifizierte Stelle beteiligt sein. Und genau hier liegt der größte Engpass 2026–2027: die Kapazität der notifizierten Stellen.
Schritt 1 — Produktinventur und Klassifizierung (Wochen 1–4)
Der CRA gilt produktbezogen, nicht unternehmensbezogen. Der erste Schritt ist eine strukturierte Inventur jeder Produktlinie, die nach dem Stichtag auf dem EU-Markt bereitgestellt wird.
Pro Produkt zu dokumentieren:
Produkt-Identität. Modellnummer, derzeit gefertigte Hardware-Revisionen, ausgelieferte Firmware-Versionen, bestimmungsgemäße Verwendung.
Digitale Elemente. Welche Software läuft auf dem Produkt? Betriebssystem (Linux, FreeRTOS, VxWorks), Middleware, Anwendungssoftware, Kommunikations-Stacks, Drittanbieter-Bibliotheken. Das ist die Grundlage für die SBOM.
Konnektivität. Ethernet, WLAN, Bluetooth, 5G, OPC UA, MQTT, Modbus TCP. Jede Netzwerkschnittstelle — kabelgebunden oder kabellos — zieht das Produkt in den CRA-Geltungsbereich.
Risikoklassifizierung. CRA Anhang III und IV zur Bestimmung, ob das Produkt „wichtig" (Klasse I oder II) ist oder unter die Standardkategorie fällt. Industrie-Firewalls, Identitäts- und Zugriffsmanagement-Komponenten und Sicherheitssteuerungen sind typischerweise Klasse II — diese erfordern eine notifizierte Stelle und haben die längsten Vorlaufzeiten.
Ein 250-Personen-OEM mit 30 aktiven Produktvarianten benötigt für diese Inventur typischerweise 3–4 Wochen. Die häufigste Fehleinschätzung ist, diese Phase zu unterschätzen: Lücken, die hier nicht entdeckt werden, kosten in Phase 3 das Zehnfache an Aufwand.
Schritt 2 — Gap-Analyse gegen Anhang I (Wochen 4–10)
Anhang I des CRA listet die grundlegenden Cybersicherheitsanforderungen. Die Gap-Analyse bildet jede Anhang-I-Anforderung auf die aktuelle Produktumsetzung ab und identifiziert, wo Nachweise fehlen.
Die Kernfragen pro Anforderung:
Ist die Anforderung technisch erfüllt? Beispiel: Anhang I verlangt Schutz vor unbefugtem Zugriff. Erzwingt das Produkt Authentifizierung an allen administrativen Schnittstellen? Sind Default-Credentials deaktiviert?
Ist die Anforderung dokumentiert? Eine korrekte Umsetzung ohne Dokumentation besteht die Konformitätsbewertung nicht. Die Technische Dokumentation nach Anhang VII ist das, was die notifizierte Stelle oder Marktüberwachungsbehörde anfordern wird.
Funktioniert die Umsetzung über den gesamten Unterstützungszeitraum? Eine Industriemaschine mit 15 Jahren Lebenszyklus muss Sicherheitsupdates über diesen Zeitraum erhalten. Wenn die aktuelle Update-Architektur das nicht zulässt — etwa bei Maschinen ohne Internetanbindung — braucht es einen Plan für Kompensationsmaßnahmen.
Output der Phase 2 ist ein priorisiertes Backlog von Lücken mit Aufwandsschätzungen. Für OEMs, die von einem niedrigen Reifegrad starten, sind 4–6 Wochen cross-funktionale Arbeit realistisch (Entwicklung, Produktmanagement, Compliance, Recht).
Schritt 3 — Lücken schließen und Nachweise aufbauen (Monate 3–9)
Lücken fallen in vier typische Kategorien, jede mit einem eigenen Lösungsansatz.
Software-Komposition (SBOM). Software Bill of Materials im CycloneDX- oder SPDX-Format für jedes Produkt erzeugen. Generierung in der CI/CD-Pipeline automatisieren; keine jährlichen Snapshots. Zulieferer, die keine SBOMs liefern können, werden zum Beschaffungsrisiko — kritische Tier-1-Lieferanten in dieser Phase ansprechen.
Schwachstellenbehandlung. Koordinierten Schwachstellen-Offenlegungs-Prozess etablieren: veröffentlichter Kontaktkanal, Eingangs-Triage, Severity-Bewertung, Fix-Priorisierung, Benachrichtigung betroffener Kunden und die 24-Stunden-Frühwarnung an die ENISA für aktiv ausgenutzte Schwachstellen. Die Schwachstellen-Meldepflicht greift ab 11. September 2026 — also vor der vollständigen Konformitäts-Deadline im Dezember 2027.
Secure-by-Design-Nachrüstungen. Viele Maschinen-Produkte tragen Altlasten wie hartcodierte Zugangsdaten, fehlende Authentifizierung oder unverschlüsselte Kommunikation. Diese Lücken in firmware-fixierten Produkten zu schließen ist die technisch anspruchsvollste Phase. Kompensationskontrollen (Netzwerk-Segmentierungs-Anleitungen für den Kunden, härtbare Default-Konfigurationen) können bei Produkten, die nicht neu entwickelt werden können, überbrücken.
Dokumentation und EU-Konformitätserklärung. Anhang VII definiert die Technische Dokumentation. Das ist kein einseitiges Formular — es ist ein strukturiertes Nachweispaket mit Risikobewertung, Designbegründung, Testberichten, SBOM, Beschreibung des Schwachstellenbehandlungsprozesses und der EU-Konformitätserklärung selbst.
Schritt 4 — Konformitätsbewertung und Notified Body (Monate 9–12)
Für Klasse-II-Produkte und für Klasse-I-Produkte, bei denen harmonisierte Normen nicht vollständig angewendet werden, muss eine notifizierte Stelle die Konformität bestätigen. Wegen des Notified-Body-Kapazitätsengpasses 2026–2027 sollten OEMs die notifizierte Stelle bereits ansprechen, sobald Phase 2 abgeschlossen ist — einen Slot zu buchen, auch mit unvollständigem Dossier, ist wichtiger als auf Perfektion zu warten.
Für Klasse-I-Produkte mit vollständiger harmonisierter Normen-Abdeckung ist Selbstbewertung nach Modul A (interne Kontrolle) möglich. Das Bild der harmonisierten CRA-Normen entwickelt sich 2026 noch; aber IEC 62443 — insbesondere 62443-4-1 (Secure Development Lifecycle) und 62443-4-2 (technische Komponenten-Anforderungen) — wird voraussichtlich vieles davon untermauern. OEMs, die bereits an IEC 62443 ausgerichtet sind, haben einen erheblichen Vorsprung.
Output der Konformitätsbewertung: unterzeichnete EU-Konformitätserklärung, CE-Kennzeichnung am Produkt angebracht, vollständige Technische Dokumentation über zehn Jahre aufbewahrt.
Schritt 5 — Laufende Compliance (kontinuierlich)
CRA-Compliance ist kein einmaliges Projekt. Vier laufende Prozesse müssen über die gesamte Produktlebensdauer aktiv sein:
Kontinuierliche SBOM-Pflege. Jedes Firmware-Release erzeugt eine aktualisierte SBOM. Komponenten-Änderungen, Dependency-Upgrades und Security-Patches fließen alle durch die SBOM-Pipeline.
Kontinuierliches Schwachstellen-Monitoring. Täglicher Abgleich neuer CVEs gegen die SBOM. Die 24-Stunden-ENISA-Meldefrist beginnt mit der Kenntnis aktiver Ausnutzung — nicht mit der CVE-Veröffentlichung.
Sicherheitsupdate-Auslieferung. Kostenlose Sicherheitsupdates für den deklarierten Unterstützungszeitraum. Im Maschinenbau sind 10–15 Jahre üblich; die Update-Infrastruktur muss für diese Lebensdauer ausgelegt sein.
Dokumentations-Pflege. Jede wesentliche Produktänderung löst eine Neu-Bewertung aus. Die Technische Dokumentation muss aktuell gehalten werden; sie darf nicht auf dem Stand der ersten Konformitätserklärung eingefroren werden.
Wie Kunnus jede Phase beschleunigt
Die fünf Phasen oben beschreiben, was die CRA-Compliance fordert. Kunnus ist darauf gebaut, jede Phase schneller zu machen — ohne Abstriche an der Strenge.
Die Phase-1-Inventur wird im Produktkatalog mit eingebauten Klassifizierungs-Hilfen erfasst. Die Phase-2-Gap-Analyse läuft direkt gegen die Anhang-I-Anforderungen, mit Evidenz-Templates und wiederverwendbaren Mustern über Produktvarianten hinweg. Die Phase-3-SBOM-Generierung integriert sich in CI/CD-Pipelines (CycloneDX/SPDX), und die Vulnerability-Monitoring-Engine gleicht CVEs kontinuierlich gegen die SBOM ab. Die Phase-4-Dokumentations-Erstellung passiert auf Knopfdruck — Technische Dokumentation, EU-Konformitätserklärung und audit-fertiges Nachweispaket werden aus den strukturierten Daten der Plattform generiert. Die Phase-5-Laufende-Compliance läuft im Hintergrund: Neue CVEs lösen Alerts aus, SBOMs werden bei jedem Release neu erstellt und Unterstützungszeitraum-Uhren werden pro Produkt verfolgt.
Starten Sie mit unserer kostenlosen CRA-Reifegradanalyse und finden Sie heraus, in welcher Phase Ihre Organisation steht — und wo der nächste Schritt den größten Hebel bringt.