Der europäische Markt für industrielle Automatisierung befindet sich in einem strukturellen Wandel. Mit der Einführung des Cyber Resilience Act (CRA) — Verordnung (EU) 2024/2847 — wird Cybersicherheit zu einem verpflichtenden Bestandteil der Architektur industrieller Geräte: nicht als Funktion, die später hinzugefügt wird, sondern als grundlegende Anforderung, die vom Design bis zum Ende des Produktlebenszyklus integriert sein muss.
Während industrielle Geräte früher hauptsächlich nach Zuverlässigkeit, Leistung, Temperaturbereich und Fehlertoleranz bewertet wurden, umfassen die entscheidenden Bewertungskriterien heute zusätzlich:
- Secure Development Lifecycle — Integration sicherer Entwicklungsprinzipien in jede Phase, vom Design bis zum End-of-Life-Support
- Vulnerability Management — ein formalisierter Prozess zur Identifizierung, Bewertung und Behebung von Sicherheitsrisiken
- Update-Politik — regelmäßige und planbare Bereitstellung von Firmware- und Sicherheitsupdates
- Transparenz von Softwarekomponenten — Bereitstellung einer SBOM (Software Bill of Materials) und vollständige Dokumentation der Softwarezusammensetzung
- Einhaltung internationaler Cybersicherheitsstandards — Konformität mit IEC 62443 und relevanten EU-Regularien
Im Zentrum dieses Wandels steht IEC 62443 — der internationale Standard für industrielle Cybersicherheit — der sich rasch zum Referenzrahmen für Hersteller, Integratoren, Auditoren und Betreiber kritischer Infrastrukturen innerhalb der Europäischen Union entwickelt.
1. Warum das jetzt wichtig ist
Industrielle Netzwerke sind längst nicht mehr isoliert. Die seit 2020 beschleunigte IT/OT-Konvergenz in der europäischen Industrie hat die Angriffsfläche von Operational-Technology-Umgebungen grundlegend verändert. Was früher aus lokalen SPS-Systemen, isolierten OT-Segmenten und minimaler externer Integration bestand, hat sich heute zu Remote-Management, IIoT-Infrastruktur, Cloud-Konnektivität, IT/OT-Konvergenz und zentralisiertem Monitoring entwickelt.
Dadurch verändert sich das Risikomodell grundlegend. Ein moderner Cyberangriff auf industrielle Infrastrukturen kann nicht nur zu Datenverlust führen, sondern auch zu Produktionsstillständen, Unterbrechungen der Lieferketten, Infrastrukturausfällen, Verlust der operativen Kontrolle sowie Störungen in Energie- und Transportsystemen.
Wichtige OT/ICS-Bedrohungsstatistiken — 2024–2025
- Ransomware-Angriffe auf den Industriesektor stiegen 2024 im Jahresvergleich um 87 %. Die Fertigungsindustrie war vier Jahre in Folge das Hauptziel von Ransomware. (Quelle: Zero Networks OT Security Trends 2025)
- 60 % Anstieg bei Ransomware-Gruppen, die gezielt OT/ICS-Umgebungen angriffen. 75 % aller OT-Angriffe beginnen als IT-Sicherheitsverletzungen. (Quelle: Zero Networks 2025)
- 1.015 Industriestandorte waren 2024 von physischen Betriebsstörungen durch Cyberangriffe betroffen — ein Anstieg um 146 % gegenüber 412 Vorfällen im Jahr 2023. Staatlich unterstützte Angriffe mit physischen Auswirkungen verdreifachten sich. (Quelle: Waterfall Security / ICS STRIVE 2025)
- Die Fertigungsindustrie machte 2025 mehr als zwei Drittel aller Ransomware-Opfer aus. Durchschnittliche Verweildauer von Ransomware in OT-Umgebungen: 42 Tage. (Quelle: Dragos 2026 OT/ICS Cybersecurity Report)
- 22 % der Industrieunternehmen meldeten im vergangenen Jahr einen Cybersicherheitsvorfall; 40 % der Vorfälle führten zu operativen Störungen. (Quelle: SANS Institute ICS/OT Cybersecurity Report 2025)
- 89 % der von NIS2 betroffenen Organisationen müssen zusätzliches Cybersicherheitspersonal einstellen, um die Anforderungen zu erfüllen. (Quelle: ENISA NIS2 Investment Impact Assessment, November 2024)
2. CRA und NIS2 — Den Unterschied verstehen
NIS2 und der Cyber Resilience Act werden häufig gemeinsam genannt, regeln jedoch grundsätzlich unterschiedliche Bereiche. Der CRA regelt die Sicherheit digitaler Produkte; NIS2 regelt die Sicherheit von Organisationen und der von ihnen bereitgestellten Dienste. Gemeinsam bilden sie eine Art „Compliance-Handschlag“: Die Anforderungen an Lieferketten-Audits unter NIS2 werden vereinfacht, wenn eingesetzte Produkte bereits über eine CRA-Konformität verfügen.
NIS2 — Verordnung (EU) 2022/2555
Schutz von Infrastruktur und Betriebsprozessen. Verpflichtende Cybersicherheitsanforderungen für Betreiber in 18 kritischen Sektoren. Bei Nichteinhaltung drohen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
CRA — Verordnung (EU) 2024/2847
Produktsicherheit — von Anfang an integriert und über den gesamten Lebenszyklus hinweg durchgesetzt. Gilt für alle Hard- und Softwareprodukte mit digitalen Elementen, die auf dem EU-Markt verkauft werden.
Quelle: EU Cyber Resilience Act (Verordnung EU 2024/2847); NIS2-Richtlinie (EU 2022/2555). complycra.eu, 2026.
NIS2-Richtlinie
NIS2 trat am 17. Oktober 2024 in Kraft und ersetzt die ursprüngliche NIS-Richtlinie von 2016. Sie erweitert die verpflichtenden Cybersicherheitsanforderungen für Betreiber wesentlicher und wichtiger Einrichtungen in 18 kritischen Sektoren erheblich, darunter Energie, Transport, Fertigung, Gesundheitswesen, Telekommunikation, Rechenzentren und Versorgungsunternehmen.
Wichtige Anforderungen unter NIS2:
- Risikomanagement — ein systematischer Ansatz zur Identifizierung und Minimierung von Sicherheitsbedrohungen
- Incident Monitoring — kontinuierliche Überwachung von Sicherheitsereignissen und Anomalien
- Zugriffskontrolle — Einschränkung von Benutzer- und Systemrechten gemäß Sicherheitsrichtlinien
- Sicherheitsaudits — regelmäßige Compliance-Prüfungen anhand relevanter Standards
- Incident Response — dokumentierte Prozesse zur schnellen Reaktion auf Cybervorfälle
- 24-Stunden-Meldepflicht — verpflichtende Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden innerhalb von 24 Stunden
Cyber Resilience Act (CRA)
Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft. Er gilt für Hersteller aller Hard- und Softwareprodukte mit digitalen Elementen, die auf dem EU-Markt verkauft werden. Das Grundprinzip: Sicherheit muss bereits in der Entwicklungsphase integriert werden — nicht erst nach der Inbetriebnahme.
Herstellerpflichten im Rahmen des CRA:
- Sichere Architektur — Produktdesign nach Security-by-Design-Prinzipien
- Vulnerability-Management-Prozess — systematische Kontrolle und Behebung von Sicherheitsproblemen
- Update-Mechanismus — Möglichkeit zur sicheren und regelmäßigen Bereitstellung von Softwareupdates
- Transparenz von Softwarekomponenten — Bereitstellung einer SBOM und Dokumentation der Softwarezusammensetzung
- Sicherheitsunterstützung über den gesamten Lebenszyklus — Aufrechterhaltung der Produktsicherheit während der gesamten Nutzungsdauer
Quelle: EU Cyber Resilience Act, Verordnung (EU) 2024/2847, Artikel 14 und Anhang I. Veröffentlicht im Amtsblatt der EU am 20. November 2024. digital-strategy.ec.europa.eu
3. Wichtige Begriffe der industriellen Cybersicherheit
Secure Development Lifecycle (SDL)
Die Integration von Sicherheitsmaßnahmen in jede Phase der Produktentwicklung: Design (Sicherheitsanforderungen auf Architekturebene), Entwicklung (Secure Coding), Tests (Schwachstellenanalysen und Resilienzprüfungen), Release (Sicherheitsvalidierung) sowie laufender Produktsupport (Patches und Incident Response während des gesamten unterstützten Lebenszyklus).
Vulnerability Management
Ein formalisierter Prozess bestehend aus: Identifikation potenzieller Schwachstellen, Analyse von Kritikalität und Auswirkungen, Klassifizierung nach Risiko mittels CVSS-Bewertung, Entwicklung und Bereitstellung von Sicherheitsupdates sowie Kundenbenachrichtigung über erkannte Risiken und empfohlene Gegenmaßnahmen.
PSIRT (Product Security Incident Response Team)
Ein spezialisiertes Herstellerteam zur Bearbeitung von Schwachstellenmeldungen, Veröffentlichung von Security Advisories, Koordination von Sicherheitsmaßnahmen sowie Zusammenarbeit mit externen Sicherheitsforschern im Rahmen koordinierter Offenlegungsprogramme.
SBOM (Software Bill of Materials)
Ein umfassendes, maschinenlesbares Verzeichnis aller Softwarekomponenten innerhalb eines Geräts — einschließlich Bibliotheken, Abhängigkeiten, Firmware-Modulen, Open-Source-Komponenten und Versionsinformationen. Im Rahmen des CRA ist die Bereitstellung einer SBOM verpflichtend. Ohne SBOM können Hersteller ab September 2026 aktiv ausgenutzte Schwachstellen nicht systematisch identifizieren und melden.
RBAC (Role-Based Access Control)
Zugriffskontrolle auf Basis von Benutzerrollen, bei der kritische Funktionen nur autorisierten Rollen zugänglich sind, verschiedene Zugriffsebenen getrennt werden und interne Risiken durch Fehlbedienung oder Missbrauch von Berechtigungen reduziert werden.
Secure Boot
Ein hardwarebasierter Sicherheitsmechanismus, der sicherstellt, dass beim Systemstart ausschließlich vertrauenswürdige und digital signierte Software geladen wird und die Ausführung manipulierter oder schädlicher Software verhindert.
TPM (Trusted Platform Module)
Ein hardwarebasiertes kryptografisches Sicherheitsmodul zur sicheren Speicherung kryptografischer Schlüssel, hardwarebasierter Datenverschlüsselung, sicherer Geräteauthentifizierung und Überprüfung der Plattformintegrität.
4. Die Rolle von IEC 62443
IEC 62443 ist der grundlegende internationale Standard für industrielle Cybersicherheit und wurde gemeinsam von der International Society of Automation (ISA) und der International Electrotechnical Commission (IEC) entwickelt. Er bietet einen umfassenden Rahmen für alle Industriesektoren und kritischen Infrastrukturen und wird von EU-Regulierungsbehörden aktiv als Grundlage harmonisierter CRA-Standards herangezogen.
Der Standard ist ein lebendiges Framework. Die aktualisierte ANSI/ISA-62443-2-1-2024, veröffentlicht im Januar 2025, führte überarbeitete Security Program Elements (SPEs) mit Reifegradmodell ein. Im Dezember 2025 folgte ISA-TR62443-2-2-2025 mit Leitlinien für den operativen Alltagsschutz. Die Aktualisierungen harmonisieren IEC 62443 mit ISO/IEC 27001, NIST SP 800-82 und der EU-NIS2-Richtlinie.
Quelle: International Society of Automation (ISA), Januar 2025. Veröffentlichung ANSI/ISA-62443-2-1-2024. isa.org. Echelon Risk + Cyber, 2025.
IEC 62443-4-1: Anforderungen an die sichere Produktentwicklung
Definiert Anforderungen an den sicheren Entwicklungsprozess für IACS-Produktanbieter. Umfasst SDL-Prozesse, Secure Coding, Vulnerability Management, Update- und Patch-Management sowie Methoden für Sicherheitstests. Der Standard beinhaltet vier Reifegrade und 47 Prozessanforderungen, die über das CB-Schema bewertet werden und in mehr als 50 Ländern Anwendung finden.
IEC 62443-4-2: Technische Sicherheitsanforderungen für Komponenten
Definiert Cybersicherheitsanforderungen für einzelne IACS-Komponenten — eingebettete Geräte, Netzwerkkomponenten, Hostsysteme und Softwareanwendungen. Mehr als 140 spezifische Anforderungen sind in sieben grundlegende Sicherheitsbereiche gegliedert: Identitäts- und Authentifizierungskontrolle, Zugriffskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit.
Quelle: Security Compass, 2025. securitycompass.com. Applus+ Laboratories. appluslaboratories.com
7. Praktische Checkliste zur Geräteauswahl
Bei der Bewertung industrieller Hardware für den Einsatz in der EU reicht eine Zertifizierung allein nicht aus. Die folgenden Kriterien sollten für jeden Hersteller und jedes Produkt geprüft werden:
| Kriterium | Was überprüft werden sollte |
|---|---|
| Secure Development Lifecycle | Dokumentiert und zertifiziert der Hersteller seinen SDL-Prozess? |
| PSIRT | Gibt es ein dediziertes Product Security Incident Response Team mit veröffentlichtem Ansprechpartner? |
| SBOM-Unterstützung | Kann der Hersteller für jede Produktversion eine aktuelle SBOM bereitstellen? |
| Vulnerability-Disclosure-Prozess | Gibt es eine veröffentlichte, strukturierte Richtlinie zur Offenlegung von Schwachstellen mit klar definierten Zeitrahmen? |
| Patch-Management | Werden Sicherheitsupdates regelmäßig und planbar veröffentlicht? |
| CRA-Roadmap | Verfügt der Hersteller über einen dokumentierten Plan zur vollständigen CRA-Compliance bis Dezember 2027? |
| IEC-62443-Strategie | Welchen IEC-62443-Zertifizierungsstatus bzw. welche Roadmap verfolgt der Hersteller? |
| Firmware-Update-Richtlinie | Wie werden Firmware-Updates signiert, verteilt und verifiziert? |
8. Zeitplan der EU-Regulatorik
- 17. Okt. 2024 Die NIS2-Richtlinie wurde in allen EU-Mitgliedstaaten vollständig anwendbar.
- 10. Dez. 2024 Der CRA trat in Kraft (Verordnung EU 2024/2847). Veröffentlichung im Amtsblatt der EU am 20. November 2024.
- 11. Juni 2026 Die Mitgliedstaaten müssen die Einrichtung von Benannten Stellen (Notified Bodies) abgeschlossen haben — Konformitätsbewertungsstellen, die zur Zertifizierung hochkritischer Produkte autorisiert sind.
- 11. Sept. 2026 Die Meldepflichten für Hersteller beginnen. Verpflichtende Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an ENISA und die zuständigen nationalen CSIRTs über die CRA Single Reporting Platform. Fristen: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 14 Tagen. Gilt für ALLE vom CRA erfassten Produkte auf dem EU-Markt, einschließlich Altprodukte, die vor Dezember 2027 in Verkehr gebracht wurden.
- 11. Dez. 2026 Die Mitgliedstaaten müssen ausreichend Benannte Stellen bereitgestellt haben, um Zertifizierungsengpässe zu vermeiden.
- 11. Dez. 2027 Vollständige Umsetzung des CRA. Alle digitalen Produkte auf dem EU-Markt müssen die vollständigen essenziellen Cybersecurity-Anforderungen erfüllen und die CE-Kennzeichnung tragen. Selbstbewertung für ca. 90 % der Produkte; verpflichtende Drittzertifizierung für kritische bzw. wichtige Produkte.
Quellen: Europäische Kommission digital-strategy.ec.europa.eu; BSI bsi.bund.de; Hogan Lovells CRA 2026 Analyse; Cycode CRA Complete Guide.
Industriehardware hat typischerweise eine Lebensdauer von 10–15 Jahren. Geräte, die 2025–2026 ausgewählt werden, müssen daher ihre Sicherheitskonformität über den gesamten Betriebslebenszyklus hinweg aufrechterhalten — bis weit in die 2030er-Jahre.
9. Wie Industrial Personal Computer 2U GmbH Ihre Compliance unterstützt
Die Industrial Personal Computer 2U GmbH (IPC2U) unterstützt Kunden in ganz Europa bei der Anpassung an die Anforderungen industrieller Cybersecurity-Regulatorik, einschließlich des Cyber Resilience Act und der NIS2-Richtlinie. IPC2U begleitet Projekte in den Bereichen Industrieautomatisierung, Industrial IoT (IIoT), Energieinfrastruktur, Transportsysteme, Industrial Ethernet und kritische Infrastrukturen.
IPC2U unterstützt Kunden dabei:
- Die Infrastruktur-Readiness im Hinblick auf CRA- und NIS2-Anforderungen zu bewerten
- CRA-fähige Lösungen mit verifizierter Hersteller-Compliance auszuwählen
- Auditrisiken durch Dokumentation und Herstellerqualifizierung zu reduzieren
- Langfristige Modernisierungsstrategien entlang des EU-Regulierungszeitplans zu entwickeln
10. Fazit
Die Auswahl industrieller Hardware ist heute nicht mehr ausschließlich eine Frage der Performance. Das regulatorische Umfeld durch den EU Cyber Resilience Act und die NIS2-Richtlinie hat Cybersecurity zu einem unverzichtbaren Beschaffungskriterium für jede Organisation gemacht, die im EU-Markt tätig ist oder diesen beliefert.
Die entscheidenden Faktoren sind heute:
- CRA-Readiness — nachgewiesen durch dokumentierte Prozesse, nicht nur durch Absichtserklärungen
- Transparenz der Sicherheitsprozesse — PSIRT, SBOM, Vulnerability Disclosure
- IEC-62443-Compliance — als Framework, Roadmap oder zertifizierte Umsetzung
- Die Fähigkeit des Herstellers, das Produkt über den gesamten Lebenszyklus hinweg zu unterstützen
Diese Faktoren bestimmen die Widerstandsfähigkeit industrieller Infrastrukturen in den Jahren 2026–2027 und darüber hinaus. Organisationen, die jetzt mit ihrer Compliance-Vorbereitung beginnen — durch Prüfung der Hersteller-Readiness, Einführung SBOM-basierter Schwachstellenüberwachung und Aufbau von Incident-Response-Prozessen — schaffen die Grundlage für einen kontrollierten Compliance-Pfad. Wer hingegen bis Dezember 2027 wartet, riskiert bereits ab September 2026 nicht konform zu sein.
11. Häufig gestellte Fragen
Was ist der EU Cyber Resilience Act (CRA)?
Der EU Cyber Resilience Act (Verordnung EU 2024/2847) ist eine verpflichtende Cybersecurity-Verordnung, die alle Hersteller von Hard- und Softwareprodukten mit digitalen Elementen auf dem EU-Markt dazu verpflichtet, Security-by-Design umzusetzen, Schwachstellenmanagement-Prozesse zu etablieren, Softwaretransparenz (SBOM) bereitzustellen und Sicherheitsupdates über den gesamten Produktlebenszyklus hinweg zu unterstützen. Der CRA trat am 10. Dezember 2024 in Kraft und gilt vollständig ab dem 11. Dezember 2027.
Ab wann gilt der Cyber Resilience Act?
Der CRA trat am 10. Dezember 2024 in Kraft. Zwei Verpflichtungen gelten bereits vor der vollständigen Umsetzung: Die Meldepflicht für Schwachstellen und Sicherheitsvorfälle durch Hersteller (Artikel 14) beginnt am 11. September 2026, und der Rahmen für Benannte Stellen gilt ab dem 11. Juni 2026. Die vollständige Compliance einschließlich CE-Kennzeichnung für alle digitalen Produkte ist ab dem 11. Dezember 2027 verpflichtend.
Was ist der Unterschied zwischen NIS2 und dem CRA?
NIS2 reguliert Organisationen — essenzielle und wichtige Einrichtungen (Energie, Transport, Fertigung, Gesundheitswesen usw.) müssen Cybersecurity-Risikomanagement umsetzen und Sicherheitsvorfälle melden. Der CRA reguliert Produkte — Hersteller digitaler Produkte müssen Sicherheit von der Entwicklung bis zum End-of-Life integrieren. NIS2 richtet sich an Betreiber; der CRA an Hersteller. Beide Regelwerke wurden 2024 anwendbar.
Was ist IEC 62443 und wie hängt die Norm mit dem CRA zusammen?
IEC 62443 ist der internationale Standard für die Cybersecurity industrieller Automatisierungs- und Steuerungssysteme (IACS), entwickelt von ISA und IEC. Die Norm definiert technische Anforderungen für sichere Produktentwicklung (IEC 62443-4-1) und Komponentensicherheit (IEC 62443-4-2). Die Europäische Kommission entwickelt harmonisierte Standards auf Basis von IEC 62443 als Teil der CRA-Umsetzung. Hersteller mit IEC-62443-4-1-Zertifizierung sind gut positioniert, um CRA-Compliance nachzuweisen.
Was ist eine SBOM und warum ist sie unter dem CRA erforderlich?
Eine SBOM (Software Bill of Materials) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts — einschließlich Bibliotheken, Firmware-Modulen, Open-Source-Komponenten und Versionsinformationen. Der CRA verpflichtet Hersteller zur Bereitstellung von SBOMs im Rahmen der Produkttransparenz. Entscheidend ist: SBOM-Readiness wird bereits ab September 2026 operativ erforderlich (nicht erst ab Dezember 2027), da Hersteller ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen nachverfolgen und melden müssen.
Welche Industriehardware fällt unter den CRA?
Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden — darunter industrielle Switches, SPS/PLCs, IoT-Gateways, Edge-Computer, industrielle Router, SCADA-Komponenten sowie jede Hard- oder Software mit direkter oder indirekter Netzwerkverbindung. Rund 90 % der Produkte fallen in die Standardkategorie mit Selbstbewertung; kritische und wichtige Produkte benötigen eine Drittzertifizierung durch eine Benannte Stelle.
Was passiert, wenn Industriehardware bis Dezember 2027 nicht CRA-konform ist?
Produkte, die die CRA-Anforderungen nicht erfüllen, dürfen ab dem 11. Dezember 2027 nicht mehr rechtmäßig auf dem EU-Markt bereitgestellt werden. Herstellern drohen Marktzugangsbeschränkungen, verpflichtende Produktrückrufe und regulatorische Sanktionen. Für Industriekunden führt die Beschaffung nicht konformer Hardware zu Auditrisiken, ungeplanten Modernisierungskosten und potenziellen Lieferengpässen. Produkte, die bereits vor Dezember 2027 auf dem Markt waren, werden nicht rückwirkend entfernt — unterliegen jedoch ab September 2026 den Meldepflichten für Schwachstellen.
Wie sollten sich Käufer industrieller Hardware heute auf die CRA-Compliance vorbereiten?
Industriekunden sollten: (1) ihre bestehende Hardwarelandschaft anhand der CRA-Kriterien überprüfen; (2) von Herstellern SBOM- und Vulnerability-Disclosure-Dokumentationen anfordern; (3) sicherstellen, dass bevorzugte Hersteller über ein PSIRT und eine veröffentlichte CRA-Roadmap verfügen; (4) Produkte mit IEC-62443-4-1- oder 4-2-Zertifizierung bzw. einer glaubwürdigen Roadmap priorisieren; (5) interne Incident-Response-Prozesse etablieren, die die 24-Stunden-Meldepflicht an ENISA ab September 2026 erfüllen können.
