„Unser Roboter ist nach der Maschinenverordnung zertifiziert, der CRA betrifft uns damit nicht." Dieser Satz fällt mir in letzter Zeit auffallend oft in Gesprächen mit Maschinenherstellern. Er klingt plausibel, ist aber ein gefährlicher Irrtum, und einer, der teuer werden kann.
Was bedeutet „Produkt mit digitalen Elementen" im CRA?
Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) gilt für alle „Produkte mit digitalen Elementen", also Produkte, die Software oder Firmware enthalten und direkt oder indirekt mit einem Netzwerk oder einem anderen Gerät verbunden werden können. Roboter, Cobots und automatisierte Fertigungsanlagen fallen in aller Regel unter diese Definition, sobald sie eine eigene Steuerungssoftware mitbringen oder über Schnittstellen kommunizieren.
Die Einstufung als „Produkt mit digitalen Elementen" erfolgt unabhängig davon, welche anderen EU-Verordnungen für das Gerät gelten. Der CRA schafft keinen Ausschluss für Produkte, die bereits anderen Regelwerken unterliegen. Das ist kein Versehen des Gesetzgebers, es ist Absicht. Mehr zur grundsätzlichen Reichweite des CRA finden Sie in unserer CRA-Übersicht.
Warum die Maschinenverordnung allein nicht ausreicht
Die Maschinenverordnung (EU) 2023/1230, die die bisherige Maschinenrichtlinie 2006/42/EG ablöst, regelt die funktionale und physische Sicherheit von Maschinen. Sie stellt Anforderungen an Schutzeinrichtungen, Notabschaltungen, ergonomische Gestaltung und die Zuverlässigkeit sicherheitsrelevanter Steuerungssysteme. Das ist wichtig, aber es ist nicht dasselbe wie Cybersicherheit.
Der CRA adressiert eine andere Bedrohungsdimension. Was passiert, wenn jemand die Software des Roboters von außen manipuliert? Was, wenn eine Schwachstelle in einer eingesetzten Open-Source-Bibliothek ausgenutzt wird, um die Bewegungssteuerung zu kompromittieren? Was, wenn der Hersteller nach Inverkehrbringen, also nach der erstmaligen tatsächlichen Bereitstellung auf dem EU-Markt, keine Sicherheitsupdates mehr bereitstellt?
Diese Fragen beantwortet die Maschinenverordnung nicht. Sie sind aber zentral für die Sicherheit von Anlagen, die vernetzt in Produktionsumgebungen betrieben werden. Wer glaubt, mit der CE-Kennzeichnung nach Maschinenverordnung sei die Compliance-Aufgabe abgeschlossen, unterschätzt den Umfang seiner Pflichten. Mehr zu den Risiken bei Nichtkonformität lesen Sie hier: CRA-Bußgelder und Strafen.
Für einen Cobot-Hersteller bedeutet das: Die Maschinenverordnung prüft, ob die Kraftbegrenzung korrekt funktioniert und die Kollisionserkennung zuverlässig ist. Der CRA prüft zusätzlich, ob die Software, die diese Funktionen steuert, gegen Cyberangriffe abgesichert ist, und ob der Hersteller Prozesse hat, um Schwachstellen zu melden und zu beheben.
Mythos vs. Fakt
Mythos: Wer seinen Roboter nach der Maschinenverordnung (EU) 2023/1230 zertifiziert hat, erfüllt damit auch die Anforderungen des Cyber Resilience Act.
Fakt: Maschinenverordnung und CRA sind zwei voneinander unabhängige Regelwerke mit unterschiedlichen Schutzzielen. Beide müssen kumulativ erfüllt werden. Eine CE-Kennzeichnung nach Maschinenverordnung schützt nicht vor Bußgeldern wegen CRA-Verletzungen. Umgekehrt gilt dasselbe.
Konkrete Konsequenzen für Hersteller
1. Doppelte Konformitätsbewertung mit gemeinsamer Dokumentationsbasis. Hersteller von Maschinen mit digitalen Elementen müssen für beide Verordnungen eine Konformitätsbewertung durchführen und eine Konformitätserklärung ausstellen. Das klingt nach doppeltem Aufwand, und das ist es zunächst auch. Allerdings lassen sich Dokumentationen intelligent verschränken. Sicherheitsanforderungen aus Anhang I der Maschinenverordnung, die den Schutz von Steuerungssystemen vor Korrumpierung betreffen, decken sich inhaltlich mit CRA-Anforderungen zum Schutz vor unbefugtem Zugriff. Wer seine Maßnahmen von Anfang an so dokumentiert, kann denselben Nachweis für beide Verordnungen nutzen.
2. SBOM-Pflicht auch für Maschinenkomponenten. Der CRA verpflichtet Hersteller, eine SBOM, eine Software Bill of Materials, also ein vollständiges Verzeichnis aller verwendeten Softwarekomponenten, zu erstellen und aktuell zu halten. Das gilt auch für die Steuerungssoftware eines Roboters, selbst wenn diese als Teil der Maschine bereits im Technischen Dossier nach Maschinenverordnung dokumentiert ist. Die SBOM nach CRA geht weiter: Sie muss alle Drittkomponenten, Open-Source-Bibliotheken und deren Versionen erfassen, als Grundlage für das laufende Schwachstellenmonitoring. Mehr dazu im Leitfaden zum Schwachstellenmanagement.
3. Lebenszyklus-Pflichten beginnen nicht bei Inverkehrbringen und enden nicht dort. Die Maschinenverordnung stellt primär Anforderungen an das Produkt zum Zeitpunkt des Inverkehrbringens. Der CRA denkt weiter. Hersteller sind verpflichtet, Sicherheitsupdates für die gesamte erwartete Nutzungsdauer bereitzustellen, mindestens aber für fünf Jahre. Das bedeutet, Roboterhersteller müssen Prozesse für Schwachstellenmeldung, Patch-Management und Kundenkommunikation etablieren, die über den Verkaufszeitpunkt hinausgehen. Wer das nicht tut, verstößt gegen den CRA, unabhängig davon, wie makellos die Maschinenverordnungs-Dokumentation ist.
Was bedeutet das für Ihre CRA-Roadmap?
Die beiden zentralen Fristen sollten Sie kennen und in Ihre Planung einbauen.
Ab dem 11. September 2026 gelten die Meldepflichten des CRA. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA, die EU-Agentur für Cybersicherheit, melden. Diese Frist ist näher als viele denken, und die Prozesse dafür lassen sich nicht kurzfristig aufsetzen.
Ab dem 20. Januar 2027 wird die neue Maschinenverordnung (EU) 2023/1230 verbindlich. Ab diesem Datum löst sie die alte Maschinenrichtlinie 2006/42/EG vollständig ab. Wer Maschinen auf dem EU-Markt in Verkehr bringt, muss ab dann zwingend nach der neuen Verordnung konform sein. Dieser Stichtag liegt nur knapp elf Monate vor dem nächsten wichtigen Datum.
Ab dem 11. Dezember 2027 gilt der CRA vollumfänglich. Produkte, die nach diesem Datum in Verkehr gebracht werden, müssen alle Anforderungen erfüllen, einschließlich Konformitätsbewertung, technischer Dokumentation, CE-Kennzeichnung nach CRA und SBOM.
Die Stichtage von Maschinenverordnung und CRA liegen damit nur knapp ein Jahr auseinander. Hersteller, die beide Regelwerke parallel planen, vermeiden Doppelarbeit und stellen sicher, dass keine Compliance-Lücke zwischen den beiden Fristen entsteht. Wer heute noch keine integrierte Roadmap hat, sollte damit beginnen. Eine strukturierte Compliance-Roadmap hilft dabei, die Anforderungen beider Verordnungen systematisch abzuarbeiten.
Häufig gestellte Fragen
Muss ich für Maschinenverordnung und CRA zwei separate CE-Kennzeichnungen vornehmen? Nein, es gibt nur eine CE-Kennzeichnung pro Produkt. Sie ist ein Zeichen, dass alle anwendbaren EU-Verordnungen erfüllt sind. Die Konformitätserklärung muss jedoch alle anwendbaren Rechtsakte auflisten, also sowohl die Maschinenverordnung als auch den CRA. Mehr dazu in unserem Artikel zur CE-Kennzeichnung und CRA-Konformitätsbewertung.
Gilt der CRA auch für Roboter, die ausschließlich intern im Unternehmen eingesetzt werden und nicht verkauft werden? Der CRA gilt für das Inverkehrbringen auf dem EU-Markt. Produkte, die ausschließlich für den internen Gebrauch hergestellt und nie an Dritte weitergegeben werden, fallen nicht unter den CRA. Sobald eine Maschine jedoch verkauft, vermietet oder anderweitig Dritten überlassen wird, auch konzernintern, greift die Verordnung.
Was passiert, wenn mein Roboter bereits verkauft wurde, bevor der CRA vollständig gilt? Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, sind von den Konformitätspflichten des CRA ausgenommen. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten jedoch ab dem 11. September 2026, auch für bereits verkaufte Produkte, sofern der Hersteller davon erfährt.
Kann ich Cybersicherheitsmaßnahmen, die ich für den CRA umsetze, auch für die Maschinenverordnung nutzen? Ja, und das ist die eigentliche Chance. Anforderungen aus Anhang I der Maschinenverordnung zum Schutz vor Korrumpierung von Steuerungssystemen und zur Zuverlässigkeit sicherheitsrelevanter Software überschneiden sich inhaltlich mit CRA-Anforderungen. Wer die Dokumentation klug aufbaut, kann dieselben Nachweise für beide Verordnungen verwenden.
Welche Kategorie im CRA trifft Roboter, Standardprodukte oder kritische Produkte? Das hängt von der konkreten Funktionalität ab. Roboter mit Sicherheitsfunktionen, die in sicherheitskritischen Umgebungen eingesetzt werden, können als wichtige Produkte der Klasse I oder der Klasse II eingestuft werden, mit entsprechend strengeren Anforderungen an die Konformitätsbewertung. Die genaue Einstufung ergibt sich aus Anhang III und IV des CRA.
Fazit
Die Maschinenverordnung und der Cyber Resilience Act sind keine Alternativen, sondern Ergänzungen. Wer Maschinen mit Steuerungssoftware und Netzwerkschnittstellen herstellt, muss beide Regelwerke erfüllen. Punkt. Die gute Nachricht ist, dass es echte Synergien gibt. Wer seine CRA-Compliance-Arbeit von Anfang an strukturiert angeht, kann dieselbe Dokumentation für Anforderungen beider Verordnungen nutzen und spart erheblichen Aufwand.
Der erste Schritt ist eine ehrliche Bestandsaufnahme. Welche meiner Produkte fallen unter den CRA? Was habe ich bereits getan, was fehlt noch? Ein strukturiertes CRA-Compliance-Assessment hilft dabei, diese Fragen systematisch zu beantworten, bevor der Stichtag aus der Theorie in die Praxis kippt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.