Der Cyber Resilience Act und die neue Maschinenverordnung führen die Industrie in ein Regime, in dem Sicherheit, Funktionsintegrität und digitale Belastbarkeit nicht mehr freiwillige Eigenschaften sind, sondern nachweisbare Pflichten. Beide Regelwerke verlangen, dass Produkte und Systeme über ihren gesamten Lebenszyklus hinweg so gestaltet, dokumentiert und betrieben werden, dass Risiken verstanden und angemessen behandelt wurden – und dass dieser Umgang jederzeit belegt werden kann.
Die Anforderung betrifft nicht nur Hersteller. Sie umfasst Integratoren, Betreiber, Dienstleister, Softwarelieferanten und die gesamte Lieferkette. Damit verschiebt sich das Systemdenken: Die Verantwortung ist nicht mehr isoliert, sondern geteilt. Wenn ein System unsicher ist, kann die Ursache an jedem Punkt des Wertschöpfungsprozesses entstehen – und jede Stelle muss einen Beitrag zu Nachvollziehbarkeit und Sicherheit leisten.
Der CRA verankert Cybersecurity erstmals als gesetzliche Produkteigenschaft. Unternehmen müssen in nachvollziehbarer Form zeigen, welche Risiken in ihrem Produkt bestehen, wie diese bewertet wurden und welche Maßnahmen während Entwicklung, Integration und Betrieb wirken. Diese Verpflichtung endet nicht mit dem Verkauf. Schwachstellen müssen untersucht, Updates bereitgestellt und sicherheitsrelevante Ereignisse behandelt werden – und auch dafür ist ein strukturierter Nachweis erforderlich.
Parallel dazu erweitert die neue Maschinenverordnung den CE-Begriff. Software, Kommunikation, Datenfluss und Steuerungslogik gelten heute als sicherheitsrelevant. Damit kann eine Änderung im Code, eine Anpassung der Architektur oder eine neue Schnittstelle dieselbe Wirkung auf die Risikobeurteilung haben wie früher ein mechanischer Umbau.
Der Begriff der „wesentlichen Änderung“ erhält dadurch eine neue Bedeutung: Wesentlich ist jede Veränderung, die das ursprüngliche Risikoprofil eines Systems beeinflusst – funktional, sicherheitstechnisch, softwareseitig, cyberbezogen oder hinsichtlich der bestimmungsgemäßen Nutzung. Jede solche Veränderung erfordert eine erneute Bewertung der Konformität.
Ein wesentlicher Teil dieser Konformität entsteht heute in der Lieferkette. Hersteller müssen nachweisen können, dass Komponenten von Zulieferern den relevanten Sicherheits- und Qualitätsanforderungen entsprechen. Zulieferer wiederum müssen eigene Erklärungen abgeben: etwa Self-Statements, Konformitätsbeschreibungen, Lifecycle-Informationen oder Nachweise über Schwachstellenbehandlung und Updatefähigkeit. Diese Informationen fließen in die Risikobewertung des Gesamtprodukts ein. Ohne sie kann ein Hersteller seine eigenen Pflichten nicht erfüllen.
Auch Kundenseite spielt eine Rolle. Betreiber müssen nachvollziehbar dokumentieren, wie sie Systeme einsetzen, betreiben, aktualisieren und überwachen. Der CRA verpflichtet sie, bekannte Schwachstellen zeitnah zu adressieren, Updates einzuspielen und Ereignisse zu managen. Damit entsteht erstmals eine klare Abgrenzung gemeinsamer Verantwortung: Das, was der Hersteller liefert, muss überprüfbar sicher sein – und der Betreiber muss dafür sorgen, dass es sicher bleibt.
Zur Nachweisführung gehören künftig strukturierte Dokumente wie technische Beschreibungen, Risikobewertungen, Sicherheitskonzepte, Update- und Incident-Prozesse sowie Erklärungen der beteiligten Lieferanten. Auch Self-Assessment-Erklärungen, Konformitätsberichte und Herstellererklärungen werden eine größere Rolle spielen, weil sie zeigen, auf welcher Grundlage ein Produkt als konform betrachtet wird.
Auch wenn diese Anforderungen auf den ersten Blick komplex wirken, verfolgen sie ein klar erkennbares Ziel: Die industrielle Lieferkette soll transparent, nachvollziehbar und dauerhaft kontrollierbar werden. Systeme, die nachvollziehbar entwickelt, dokumentiert und betrieben werden, lassen sich besser modernisieren, zuverlässiger betreiben und sicher in größere Systemlandschaften integrieren.
CRA und CE sind damit weniger ein bürokratischer Eingriff als eine Strukturreform. Sie schaffen ein gemeinsames Fundament, auf dem moderne industrielle Digitalisierung überhaupt erst nachhaltig funktionieren kann.
