Alle Vergleiche

Cyber Resilience Act (CRA)

VS

Maschinenverordnung (EU) 2023/1230

CRA vs. Maschinenverordnung

Cybersicherheit und Maschinensicherheit — zwei Verordnungen, ein Produkt

Cybersicherheit (Security)

Schützt Produkte vor böswilligen digitalen Angriffen — Schwachstellen, Malware, unbefugter Zugriff

Maschinensicherheit (Safety)

Schützt Menschen vor physischen Gefahren durch Maschinen — mechanische, elektrische und funktionale Sicherheit

Beide Verordnungen gelten parallel. Vernetzte Maschinen müssen sowohl Safety (MVO) als auch Security (CRA) erfüllen. Das eine ersetzt nicht das andere.

0 Abgedeckt3 Teilweise6 Nicht abgedeckt

Sie erfüllen die Maschinenverordnung — was fehlt noch für den CRA?

Als Maschinenhersteller kennen Sie sich mit CE-Konformität und Risikobeurteilung aus. Der CRA bringt jedoch eine völlig neue Dimension hinzu: Cybersicherheit für die digitalen Komponenten Ihrer Maschinen. Ihre bestehende Sicherheitsexpertise hilft — aber die inhaltlichen Anforderungen sind grundlegend anders.

036
CRA-AnforderungAbdeckung durch Maschinenverordnung
Sicherheits-Risikobeurteilung
Teilweise

Ihre Maschinenverordnungs-Risikobeurteilung deckt physische Gefahren ab. Der CRA fordert eine separate Cyberrisikobewertung gemäß Art. 13 Abs. 2 — andere Bedrohungsszenarien, andere Methodik.

CE-Konformitätsprozess
Teilweise

Sie kennen Module und benannte Stellen. Der CRA nutzt ähnliche Verfahren (Anhang VIII), aber die Bewertungskriterien sind cybersicherheitsspezifisch.

Technische Dokumentation
Teilweise

Sie erstellen bereits umfassende technische Dokumentation. Die CRA-Dokumentation (Anhang VII) erfordert zusätzliche cybersicherheitsspezifische Inhalte.

Cybersicherheitsspezifische Risikobeurteilung
Nicht abgedeckt

Die Maschinenverordnung fokussiert auf physische Gefahren. Der CRA fordert eine dedizierte Cyberrisikobewertung: Bedrohungsmodellierung, Angriffsvektoren, Softwareschwachstellen.

SBOM
Nicht abgedeckt

Die Maschinenverordnung kennt keine SBOM-Pflicht. Der CRA verlangt eine maschinenlesbare Software Bill of Materials für alle eingebetteten Softwarekomponenten.

Schwachstellenmanagement
Nicht abgedeckt

Die Maschinenverordnung fordert kein laufendes Schwachstellenmanagement. Der CRA verlangt systematische Erkennung, Bewertung und Behebung über den gesamten Supportzeitraum.

ENISA-Meldepflichten
Nicht abgedeckt

Die Maschinenverordnung hat keine Meldepflichten für Cybersicherheitsvorfälle. Der CRA fordert Meldung an ENISA innerhalb von 24/72 Stunden.

Cybersicherheits-Updatepflichten
Nicht abgedeckt

Maschinen hatten bisher keine Pflicht zu Softwareupdates. Der CRA fordert kostenlose Sicherheitsupdates über den gesamten Supportzeitraum.

Digitaler Produktlebenszyklus-Management
Nicht abgedeckt

Die Maschinenverordnung endet weitgehend beim Inverkehrbringen. Der CRA verlangt laufendes Management der digitalen Komponenten über den gesamten Lebenszyklus.

01

Zwei Verordnungen, unterschiedliche Schutzziele

CRA und Maschinenverordnung verfolgen unterschiedliche Schutzziele, die sich bei vernetzten Maschinen überschneiden. Neu in der MVO 2023/1230: Cybersicherheit wird erstmals als Sicherheitsfaktor anerkannt.

  • CRA: Cyberrisiken — Zugriffskontrolle, Datenintegrität, Verfügbarkeit, Manipulationsschutz
  • MVO: Physische Risiken — mechanische, elektrische, thermische Gefahren, Ergonomie
  • MVO Anhang III, 1.1.9 und 1.2.1: Neue Cybersicherheitsanforderungen für Steuerungssysteme
02

Überlappung und Vorrangregelung

Bei überlappenden Cybersicherheitsanforderungen gilt eine klare Vorrangregelung gemäß Erwägungsgrund 53 CRA. Umgekehrt reicht die MVO allein nicht für CRA-Konformität.

  • CRA-Konformität erfüllt MVO-Cyber: Anhang III, 1.1.9 und 1.2.1 automatisch abgedeckt
  • MVO-Cyber reicht nicht für CRA: SBOM, Schwachstellenmanagement und ENISA-Meldung fehlen
  • Empfehlung: CRA-Konformität als Ausgangspunkt — deckt Cybersicherheit beider Verordnungen ab
03

Zusätzliche CRA-Pflichten über die Maschinenverordnung hinaus

Der CRA bringt mehrere Pflichten, die in der Maschinenverordnung nicht vorgesehen sind.

  • SBOM: Software Bill of Materials für alle Softwarekomponenten der Maschinensteuerung
  • Schwachstellenmanagement: Systematischer Prozess über die gesamte Supportdauer (mind. 5 Jahre)
  • ENISA-Meldepflichten: 24h für aktiv ausgenutzte Schwachstellen, 72h für schwere Vorfälle
  • Sicherheitsupdates: Kostenlos über den gesamten Supportzeitraum
  • Eigenständige CRA-Konformitätserklärung neben der MVO-Konformitätserklärung
04

Zusätzliche Maschinenverordnungs-Pflichten über den CRA hinaus

Die Maschinenverordnung stellt umfangreiche Anforderungen, die der CRA nicht abdeckt. Beide Konformitätsbereiche müssen unabhängig erfüllt werden.

  • Physische Sicherheit: Not-Halt, Schutzeinrichtungen, Schutz vor mechanischen/elektrischen/thermischen Gefahren
  • Ergonomie: Anforderungen an Bedienplätze und Mensch-Maschine-Schnittstellen
  • Risikobeurteilung: MVO-spezifisch mit Fokus auf Personenschäden
  • Hochrisikomaschinen (Anhang I MVO): Obligatorische Drittprüfung erforderlich
05

Betroffene Produktkategorien

Alle vernetzten Maschinen mit eingebetteter Software unterliegen beiden Verordnungen. Die MVO gilt ab 20. Januar 2027, der CRA ab 11. Dezember 2027.

  • Beispiele: CNC-Maschinen, Industrieroboter, Cobots, automatisierte Fertigungslinien, Fördersysteme mit SPS, Verpackungsmaschinen, Druckmaschinen, Bagger mit Telematik
  • MVO ab 20.01.2027: Einschließlich neuer Cybersicherheitsanforderungen
  • CRA ab 11.12.2027: Umfassendere Cybersicherheit — deckt MVO-Cyber mit ab (Erwägungsgrund 53)

Synergien zwischen CRA und Maschinenverordnung

Beide Verordnungen können durch eine integrierte Compliance-Strategie effizient gemeinsam umgesetzt werden.

Vorrangregelung bei Cybersicherheit

CRA-Konformität erfüllt automatisch die Cybersicherheitsanforderungen der Maschinenverordnung (Erwägungsgrund 53).

Gemeinsame CE-Kennzeichnung

Eine CE-Kennzeichnung deckt beide Verordnungen ab — zwei separate Konformitätserklärungen, aber ein Kennzeichen.

Integrierte technische Dokumentation

Technische Dokumentation für physische Sicherheit und Cybersicherheit kann in einem koordinierten Paket zusammengeführt werden.

Ihre nächsten Schritte

1Hohe Priorität

Cybersicherheits-Risikobeurteilung ergänzen

Fügen Sie Ihrer bestehenden Maschinenrisikobeurteilung eine dedizierte Cyberrisikoanalyse hinzu. Identifizieren Sie Angriffsvektoren über Netzwerk, Fernwartung und eingebettete Software.

2Hohe Priorität

SBOM für Maschinensteuerung implementieren

Erfassen Sie alle Softwarekomponenten in Ihren Maschinensteuerungen, SPS-Programmen und HMI-Systemen in einer maschinenlesbaren SBOM.

3Hohe Priorität

Schwachstellenprozesse aufbauen

Etablieren Sie Prozesse für die laufende Überwachung, Bewertung und Behebung von Schwachstellen in der eingebetteten Software Ihrer Maschinen.

4Mittlere Priorität

Update-Infrastruktur planen

Schaffen Sie die technische Infrastruktur für sichere OTA-Updates oder geführte Update-Prozesse für die Software Ihrer vernetzten Maschinen.

Häufig gestellte Fragen

Müssen vernetzte Industriemaschinen sowohl CRA als auch Maschinenverordnung erfüllen?
Ja. Vernetzte Industriemaschinen mit eingebetteter Software fallen unter beide Verordnungen gleichzeitig. Die Maschinenverordnung deckt die physische Sicherheit ab (mechanische, elektrische, thermische Gefahren, Not-Halt-Einrichtungen etc.), während der CRA die Cybersicherheit regelt (SBOM, Schwachstellenmanagement, Meldepflichten, Security by Design). Beide Konformitätsbewertungen müssen unabhängig voneinander durchgeführt und dokumentiert werden, wobei die CRA-Konformität gemäß Erwägungsgrund 53 gleichzeitig die Cybersicherheitsanforderungen der Maschinenverordnung erfüllt.
Erfüllt CRA-Konformität automatisch die Cybersicherheitsanforderungen der Maschinenverordnung?
Ja. Erwägungsgrund 53 des CRA stellt klar, dass die Einhaltung der wesentlichen Cybersicherheitsanforderungen des CRA gleichzeitig die einschlägigen Cybersicherheitsanforderungen der Maschinenverordnung (Anhang III, Abschnitte 1.1.9 und 1.2.1) erfüllt. Umgekehrt gilt dies jedoch nicht: Die Cybersicherheitsanforderungen der Maschinenverordnung allein genügen nicht für CRA-Konformität, da der CRA wesentlich umfangreichere Anforderungen stellt, darunter SBOM, Meldepflichten und systematisches Schwachstellenmanagement.
Was ist an der neuen Maschinenverordnung 2023/1230 anders als an der alten Maschinenrichtlinie?
Die wesentlichste Neuerung: Die Maschinenverordnung 2023/1230 ist eine direkt anwendbare EU-Verordnung (nicht mehr eine Richtlinie, die in nationales Recht umgesetzt werden muss). Inhaltlich kommen erstmals explizite Cybersicherheitsanforderungen hinzu (Anhang III, 1.1.9 und 1.2.1), die Sicherheitsrisiken durch digitale Manipulation adressieren. Außerdem wurden die Anforderungen an Hochrisikomaschinen aktualisiert, die digitale Dokumentation ermöglicht und die Marktüberwachungsbestimmungen verschärft. Die Verordnung gilt ab dem 20. Januar 2027.
Welche zusätzlichen Pflichten bringt der CRA für Maschinenhersteller?
Der CRA bringt vier zentrale Pflichten, die über die Maschinenverordnung hinausgehen: (1) SBOM-Erstellung und -Pflege für alle Softwarekomponenten der Maschinensteuerung, (2) systematisches Schwachstellenmanagement über den gesamten Supportzeitraum (mindestens 5 Jahre), (3) Meldepflichten an die ENISA bei aktiv ausgenutzten Schwachstellen (24h) und schweren Vorfällen (72h), sowie (4) eine eigenständige CRA-Konformitätserklärung neben der Maschinenverordnungs-Konformitätserklärung. Hinzu kommen kostenlose Sicherheitsupdates und die Pflicht zur Security-by-Design-Entwicklung gemäß CRA Anhang I.
Wie wirken sich die unterschiedlichen Anwendungsdaten aus?
Die Maschinenverordnung gilt ab dem 20. Januar 2027, der CRA (Konformitätspflichten) ab dem 11. Dezember 2027. Das bedeutet: Ab Januar 2027 müssen Maschinenhersteller zunächst die neue Maschinenverordnung einschließlich ihrer Cybersicherheitsanforderungen erfüllen. Knapp elf Monate später kommen die umfassenderen CRA-Anforderungen hinzu. Hersteller sollten beide Zeitachsen in ihrer Compliance-Planung integrieren und idealerweise von Anfang an die CRA-Anforderungen mitberücksichtigen, da diese die Cybersicherheitsanforderungen der Maschinenverordnung mit einschließen.
Benötigen Maschinenhersteller zwei separate CE-Kennzeichnungen?
Nein. Die CE-Kennzeichnung wird weiterhin einmal angebracht und besagt, dass das Produkt allen anwendbaren EU-Harmonisierungsrechtsvorschriften entspricht. Allerdings müssen Maschinenhersteller zwei separate Konformitätserklärungen erstellen und bereithalten: eine EU-Konformitätserklärung nach Maschinenverordnung und eine EU-Konformitätserklärung nach CRA. Beide Erklärungen verweisen auf unterschiedliche grundlegende Anforderungen und ggf. unterschiedliche harmonisierte Normen. Die technische Dokumentation muss ebenfalls beide Bereiche abdecken.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der EU

Maschinenverordnung Volltext (EUR-Lex)

Verordnung (EU) 2023/1230 — Maschinenverordnung im Amtsblatt der EU

EU-Kommission — Maschinen

Informationsseite der EU-Kommission zur Maschinenregulierung mit Leitfäden und Updates

Mehr auf Kunnus

CRA-Wissensportal

Alle CRA-Artikel, Erwägungsgründe und Anhänge im Volltext mit Suchfunktion

Industriemaschinen & Automatisierung

CRA-Anforderungen für SPSen, CNC-Maschinen und Robotik mit Embedded Software

Industrielle Komponenten

CRA-Compliance für eingebettete Steuerungen, Sensoren und Antriebssysteme

CRA-Readiness Assessment

Selbstbewertung der CRA-Compliance-Bereitschaft für Maschinenhersteller

CRA & CE-Kennzeichnung

Wie der CRA die CE-Kennzeichnung um Cybersicherheitsanforderungen erweitert

CRA vs. IEC 62443

Vergleich zwischen CRA und dem Industriestandard IEC 62443 für industrielle Cybersicherheit

Doppelkonformität effizient erreichen

Kunnus unterstützt Maschinenhersteller bei der parallelen CRA- und Maschinenverordnungs-Konformität. SBOM-Management, Schwachstellenmonitoring und Dokumentation für beide Regulierungen.

Mehr erfahren