„Wir sind nicht vom Cyber Resilience Act betroffen. Unsere Maschine läuft komplett offline." Das hat mir ein Kunde im Gespräch gesagt. Meine Nachfrage: „Gibt es einen Wartungszugang?" Kurze Pause. „Ja, einen USB-Anschluss für Updates."
Damit hat das Produkt eine digitale physische Schnittstelle. Und fällt in den Scope des CRA.
Was ist ein „Produkt mit digitalen Elementen" im CRA?
Der EU Cyber Resilience Act erfasst nicht nur vernetzte Geräte. Er erfasst Produkte mit digitalen Elementen, und das ist eine deutlich breitere Kategorie.
Die Definition in Artikel 3 ist bewusst weit gefasst: Soft- oder Hardwareprodukte, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine logische oder physische Datenverbindung zu einem Gerät oder Netzwerk einschließt. Die Schnittstelle muss nicht permanent aktiv sein. Sie muss nicht einmal regelmäßig genutzt werden. Die bloße Möglichkeit reicht.
Jede logische oder physische Datenverbindung kann ein Produkt in den Anwendungsbereich des CRA bringen. Auch ein einzelner USB-Port. Auch ein RS-232-Service-Anschluss. Auch ein SD-Karten-Slot. Auch ein JTAG-Zugang.
Welche Schnittstellen lösen die CRA-Anwendbarkeit aus?
Schon einzeln genügt jede dieser Schnittstellen, um ein Produkt in den CRA-Scope zu ziehen: Ethernet, WLAN, Bluetooth, NFC, Zigbee, USB in allen Varianten, RS-232, RS-485, CAN, Modbus, SD- und microSD-Karten-Slots, JTAG, SWD, UART-Service-Ports, proprietäre Service-Stecker und optische Datenschnittstellen.
Rausfällt nur, was ohne digitale Datenübertragung auskommt. Ein rein analoger 4-20-mA-Sensor-Ausgang ohne HART-Protokoll ist außerhalb des CRA. Sobald aber auf der gleichen Leitung digitale Daten laufen, etwa via HART oder IO-Link, ist das Produkt wieder drin.
Warum auch reine Industrieprodukte betroffen sind
Besonders unterschätzt wird der CRA in klassischen Industrieumgebungen wie Maschinenbau, Industrieautomation und Mess- und Prüftechnik. Das Argument lautet meistens: „Unsere Geräte laufen im Werksnetz, das ist hinter einer Firewall, da kommt nichts dran."
Das mag betrieblich stimmen, ändert aber nichts am Anwendungsbereich. Der CRA fragt nicht, wie sicher Ihr Werksnetz ist. Er fragt, ob Ihr Produkt eine digitale Schnittstelle hat.
Im Scope landen regelmäßig SPS und Industriecontroller mit Modbus, Profinet oder EtherCAT, Embedded-HMIs mit USB-Stick-Updateprozess, Mess- und Prüfsysteme mit RS-232- oder USB-Datenexport, Edge-Gateways für die Maschinenanbindung, Servoantriebe und Frequenzumrichter mit Feldbus-Anschluss sowie Sensoren und Aktoren mit IO-Link.
Ob das Gerät tatsächlich am Netz hängt, ist für die CRA-Anwendbarkeit zweitrangig. Die Schnittstelle macht den Scope.
Was Sie jetzt prüfen sollten
Der erste Schritt ist eine vollständige Schnittstellen-Inventur pro Produkt. Listen Sie alle Schnittstellen auf, nicht nur Ethernet und WLAN. Auch USB, SD, RS-232, JTAG und sämtliche Service-Ports. Ein einziger Eintrag reicht, um das Produkt in den Scope zu bringen. Gerade interne Wartungszugänge werden in Produktbeschreibungen oft nicht erwähnt und tauchen erst auf, wenn jemand am Gerät schraubt.
Sobald die Inventur steht, muss die Risikobewertung neu gedacht werden. Ein USB-Port, der die Update-Lieferung ermöglicht, ist gleichzeitig der Angriffsvektor. Risikoanalyse und Sicherheitsanforderungen müssen das adressieren. Und sobald Firmware auf dem Gerät läuft (was bei allem mit USB-Update-Port der Fall ist), brauchen Sie eine SBOM und einen funktionierenden Update-Pfad für Schwachstellen.
Häufig gestellte Fragen
Gilt der CRA auch für Offline-Geräte? Ja, sobald das Gerät eine logische oder physische Datenverbindung hat. Der CRA erfasst Produkte mit digitalen Elementen, nicht nur vernetzte.
Was ist ein 'Produkt mit digitalen Elementen' im CRA? Soft- oder Hardwareprodukte, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine logische oder physische Datenverbindung zu einem Gerät oder Netzwerk einschließt. Die Schnittstelle muss nicht permanent aktiv sein.
Welche Schnittstellen lösen die CRA-Anwendbarkeit aus? Alle digitalen Schnittstellen: Ethernet, WLAN, Bluetooth, NFC, USB, RS-232/RS-485, SD-Karten-Slots, JTAG-Wartungszugänge, proprietäre Service-Ports.
Ist ein USB-Wartungszugang relevant für den CRA? Ja. Ein einzelner USB-Port für Firmware-Updates qualifiziert das Produkt als 'Produkt mit digitalen Elementen' im Sinne des CRA.
Fazit
Offline schützt nicht vor dem CRA. Der CRA fragt nicht, ob Ihr Gerät am Netz hängt, er fragt, ob es eine digitale Schnittstelle hat. Und ein USB-Port ist genauso eine Schnittstelle wie eine Ethernet-Buchse.
Gehen Sie Ihre Produktliste durch und prüfen Sie alle Schnittstellen. Nicht nur Ethernet und WLAN. Wer den Service-Port übersieht, übersieht den ganzen CRA.
Eine strukturierte CRA-Roadmap hilft, Schnittstellen-Inventur, Risikobewertung und Update-Pfade systematisch aufzubauen, bevor die erste Marktaufsichtsprüfung den vergessenen USB-Port findet.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.