top of page
Overlay_Machin_BG_iViBridge.png

EU Cyber Resilience Act 2024/2847, was Schweizer Maschinen- und Anlagenbauer wissen sollten!

Was ist das?

Der Cyber Resilience Act ist die neue EU-Verordnung für die Cybersicherheit von Produkten mit digitalen Bestandteilen. Sie gilt unmittelbar in allen EU-Staaten und erfasst jedes Produkt mit einer direkten oder indirekten Datenverbindung. Damit fallen praktisch alle modernen Industrieanlagen in den Geltungsbereich, auch air-gapped Maschinen mit USB-Port oder Sensoranbindung. Aussen vor bleibt nur eine rein mechanische Maschine ohne Elektronik. Sobald eine logische oder physische Datenverbindung existiert, ist das Produkt drin.

Trifft Sie das?

Prüfen Sie für Ihr Portfolio, ob mindestens eine der folgenden Aussagen zutrifft:

  • Ihre Maschine hat eine SPS oder eine HMI-Steuerung.

  • Ihre Steuerung hat einen USB-Port oder eine Wartungsschnittstelle.

  • Ihre Anlage kommuniziert mit anderen Geräten, einer Leitebene oder einem Netz.

  • Sie verbauen Komponenten Dritter wie Siemens, B&R oder Beckhoff.

  • Ihre Maschinen gehen direkt oder über Kunden in den EU-Binnenmarkt.

  • Sie spielen Software-Updates aus der Schweiz auf Anlagen in der EU.

Bei einem oder mehreren Treffern sind Sie sehr wahrscheinlich Hersteller im Sinne des CRA. Damit gilt die volle Verordnung, einschliesslich Pflichten zur Schwachstellenmeldung, zur Lieferung von Sicherheitsupdates und zur technischen Dokumentation.

Was steht auf dem Spiel?

Der CRA staffelt Bussgelder in drei Stufen:

Wobei jeweils der höhere Betrag gilt. Bis 15 Mio Euro oder 2.5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, bei Verstössen gegen die zentralen Cybersicherheitsanforderungen, Hersteller- oder Meldepflichten. Bis 10 Mio Euro oder 2 % bei Verstössen gegen Dokumentations-, CE- und Distributionspflichten. Bis 5 Mio Euro oder 1 % bei falschen oder irreführenden Informationen gegenüber Behörden. Pro Verstoss.

 

Schwerer wiegt im Anlagenbau der Marktausschluss:

 

Marktüberwachungsbehörden können Verkaufsverbote verhängen und Rückrufe anordnen. Wer in der EU keine konforme Ware mehr platzieren darf, verliert den grössten Absatzkanal des Schweizer Maschinen- und Anlagenbaus.

 

Hinweis zur Cyber-Versicherung, kein Teil des CRA:

 

Versicherer könnten bei grober Compliance-Fahrlässigkeit die Deckung verweigern. Compliance und Versicherbarkeit hängen enger zusammen, als sie auf dem Papier wirken.

 

Auf VR-Ebene heisst das:

 

Cybersicherheit von Produkten ist Steuerungssache, nicht IT-Detail.

Stichtage

10. Dezember 2024

 

  • Inkrafttreten. EU-Kommission startet die delegierten Rechtsakte.

 

11. Juni 2026

  • Notifizierungspflichten für Konformitätsbewertungsstellen greifen.

⚠️ Wake-up-Datum 11. September 2026

 

  • Ab diesem Tag gilt die 24-Stunden-Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle, auch für Altanlagen, die schon seit Jahren im Feld stehen.

 

11. Dezember 2027

  • Volle Anwendung der Design-, Zertifizierungs- und Dokumentationspflichten für neu in Verkehr gebrachte Produkte.

Der Stichtag, der vermutlich nicht auf Ihrer Liste steht, ist der 11. September 2026. Ab diesem Datum müssen Sie aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innert 24 Stunden melden, auch für Maschinen, die seit Jahren beim Kunden laufen.

"Wir bauen Maschinen, keine Software"

Der häufigste Reflex im Maschinenbau, und er trägt nicht. Sobald Ihre Maschine eine SPS, ein HMI oder eine Datenverbindung hat, sind Sie Hersteller eines Produkts mit digitalen Elementen. Das gilt auch für Anlagen mit USB-Service-Port, mit Sensorbus oder mit gelegentlichem Wartungs-Laptop-Zugang. Praktisch jede moderne Industrieanlage fällt in den Geltungsbereich. Die Frage ist nicht ob, sondern wo Ihre Belegstelle steht.

Bestandsanlagen, Retrofit und Meldepflicht

Maschinen, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, sind von den Design- und Zertifizierungspflichten ausgenommen. Soweit der Bestandsschutz. Er hat zwei Bruchstellen.

 

Erstens: Eine "wesentliche Veränderung" hebt den Bestandsschutz auf. Darunter fallen Software-Updates, die die Zweckbestimmung ändern oder das Cybersicherheits-Risiko erhöhen. Reine Sicherheits-Patches gelten nicht als wesentliche Veränderung.

 

Zweitens, die teurere Bruchstelle: Die 24-Stunden-Meldepflicht aus Artikel 14 gilt für alle Produkte, auch für Altanlagen, und erfasst aktiv ausgenutzte Schwachstellen wie auch schwerwiegende Sicherheitsvorfälle. Drei Stufen. Innert 24 Stunden eine Frühwarnung an ENISA und das nationale CSIRT mit Angabe der betroffenen Länder. Innert 72 Stunden eine detaillierte Schwachstellenmeldung mit Erstanalyse und Vorschlägen zur Risikominderung. Innert 14 Tagen nach einem Patch oder Workaround ein Abschlussbericht mit Beschreibung des Vorfalls und Hinweisen zum Angreifer. "Aktiv ausgenutzt" heisst: verlässliche Beweise, dass eine Schwachstelle ohne Erlaubnis genutzt wird. Interne Tests sind nicht meldepflichtig.

 

Der Unterstützungszeitraum beträgt mindestens 5 Jahre, im Anlagenbau bei längerer Nutzungsdauer entsprechend länger.

Lieferkette und Haftung

Wer eine Maschine unter eigenem Namen in der EU in Verkehr bringt, ist rechtlich Hersteller, auch wenn er Steuerung, Antrieb und Sensorik zukauft. Die Verantwortung für die Cybersicherheit der gesamten Maschine liegt bei Ihnen, einschliesslich der eingebauten Komponenten von Siemens, B&R, Beckhoff. Daraus folgen Sorgfalt bei der Auswahl, Schwachstellenmeldung an die Komponenten-Hersteller, Behebung gegenüber Endkunden und vertragliche Anforderungen an Ihre Lieferanten zu SBOM, Updates und Schwachstelleninformation. Wie diese Anforderungen im Einkaufsvertrag aussehen müssen, ist Vertragsarbeit pro Lieferant, kein Webseiten-Inhalt.

Wo es kompliziert wird

Drei Stellen sind in der Praxis erfahrungsgemäss heikel. Was zählt als "wesentliche Veränderung", die den Bestandsschutz aufhebt? Wann startet der 24-Stunden-Zähler genau, ab Verdacht oder ab Bestätigung? Wie tief muss eine SBOM gehen, bis auf Bibliotheks-Ebene oder bis zur untersten Open-Source-Komponente? Diese Fragen hängen an Ihrem Portfolio, Ihrem Servicemodell und Ihrer Lieferkette.

 

Die richtige Heuristik: Klären Sie früh, ob Sie betroffen sind. Wie Sie es lösen, ist die zweite Frage.

Warum die drei Verordnungen zusammen?

Der CRA kommt nicht allein. Parallel greifen die neue Maschinenverordnung 2023/1230 und der Digital Product Passport. Alle drei verlangen letztlich dasselbe: belastbare Daten über das Produkt, seinen Lebensweg und seine digitalen Bestandteile. Wer die Themen einzeln nacheinander angeht, baut dreimal die gleichen Strukturen. Wer sie zusammen denkt, baut einmal eine Datenbasis, die alle drei trägt.

 

In der Schweiz adressiert bisher kaum eine Beratung diese Klammer für den Maschinen- und Anlagenbau. Genau hier setzt iViBridge an. Die Vertiefung zur Maschinenverordnung finden Sie auf der entsprechenden Subpage, die zum Digital Product Passport folgt.

Nächster Schritt

Wenn Sie wissen wollen, ob und wie der CRA Sie trifft, sprechen wir 30 Minuten miteinander. Vertraulich, kostenfrei, ohne Verpflichtung. Sie schildern Ihre Situation, wir prüfen gemeinsam, ob ein strukturierter Quick Check Sinn macht. Erst dann entscheiden Sie, ob ein nächster Schritt folgt.

Sie möchten mehr erfahren?

Ich helfe gerne! Rufen Sie an oder schreiben Sie mir

bottom of page