Wer eine Maschine baut, denkt an Stahl, Hydraulik und Steuerungslogik. Dass er künftig auch an Firewalls, Schwachstellenscans und automatische Sicherheitsupdates denken muss, markiert einen Epochenwechsel im europäischen Produktsicherheitsrecht. Der Cyber Resilience Act der Europäischen Union verlangt von Herstellern vernetzter Produkte, was ihnen bislang weitgehend fremd war: lebenslange digitale Verantwortung für das, was sie auf den Markt bringen. Für den Maschinen- und Anlagenbau, das industrielle Rückgrat Europas, ist das mehr als ein regulatorisches Update. Es ist ein Paradigmenwechsel, der Geschäftsmodelle, Lieferketten und das Selbstverständnis einer ganzen Branche auf den Prüfstand stellt.
Ausgangslage: Drei Verordnungen, ein Stichtag
Am 20. Januar 2027 tritt die neue EU-Maschinenverordnung in Kraft und ersetzt die seit Jahrzehnten geltende Maschinenrichtlinie. Nur wenige Wochen vorher, am 11. Dezember 2027, wird der Cyber Resilience Act vollständig anwendbar. Und dazwischen liegt die KI-Verordnung, deren Hochrisiko-Pflichten ab August 2027 greifen. Diese zeitliche Verdichtung ist kein Zufall, sondern Ausdruck einer politischen Einsicht: Maschinen sind längst keine isolierten mechanischen Gebilde mehr. Sie sind vernetzte, datengetriebene, zunehmend autonome Systeme. Und die regulatorische Antwort darauf fällt umfassend aus.
Der Maschinenhersteller sieht sich damit einer Dreifachregulierung gegenüber, die zwar in Teilen aufeinander abgestimmt ist, im Detail aber erhebliche Widersprüche und Überlappungen produziert. Die Maschinenverordnung verlangt erstmals Schutz gegen die Korrumpierung von Software und Hardware sowie Resilienz von Steuerungen gegen böswillige Dritteingriffe. Der Cyber Resilience Act geht darüber hinaus und fordert ein umfassendes Schwachstellenmanagement über den gesamten Produktlebenszyklus. Und die KI-Verordnung fügt für Maschinen mit selbstlernenden Sicherheitsbauteilen die Pflichten des Hochrisiko-Regimes hinzu, vom Risikomanagementsystem bis zur menschlichen Aufsicht.
Cybersecurity-by-Design: Die neue Konstruktionsphilosophie
Für Maschinenbauer, deren Produkte mitunter zwanzig oder dreißig Jahre im Einsatz sind, stellt der CRA eine grundlegende Umkehrung bisheriger Denkweisen dar. Die Verordnung verlangt, dass Produkte mit digitalen Elementen von Anfang an sicher konzipiert werden, in einem Security-by-Design-Ansatz, der sich durch Entwicklung, Produktion, Auslieferung und Wartung zieht. Das Prinzip ist nicht neu, die Maschinenverordnung kannte bereits den Grundsatz „Konstruktion vor Instruktion“. Neu ist jedoch die digitale Dimension: Cybersicherheitsrisiken müssen künftig in der Risikobeurteilung ebenso berücksichtigt werden wie mechanische Gefahren.
In der Praxis bedeutet das einen tiefgreifenden Kulturwandel. Maschinenbauer, die sich bislang vorrangig um funktionale Sicherheit kümmerten, um Schutzzäune, Lichtvorhänge und Not-Aus-Schalter, müssen nun auch die Angriffsflächen ihrer Steuerungen, Bussysteme und Fernwartungsschnittstellen systematisch analysieren. Laut einer Erhebung des Cybersicherheitsunternehmens ONEKEY sehen 35 Prozent der befragten Industrieunternehmen die Umsetzung des Secure-by-Design-Prinzips als eine ihrer größten Herausforderungen. Das überrascht kaum: Viele Maschinen arbeiten mit offenen Architekturen und operieren in rauen industriellen Umgebungen, was die Angriffsfläche vergrößert.
Die Software-Stückliste: Transparenz bis zur letzten Bibliothek
Zu den folgenreichsten Neuerungen des CRA gehört die Pflicht zur Erstellung einer Software Bill of Materials, einer maschinenlesbaren Auflistung sämtlicher Softwarekomponenten, Bibliotheken und Abhängigkeiten eines Produkts. Das BSI beschreibt die SBOM treffend als Zutatenliste für Software, vergleichbar mit der Inhaltsangabe auf einer Lebensmittelverpackung. Klingt harmlos, ist aber für viele Maschinenbauer eine Herausforderung ersten Ranges.
Denn eine moderne Industriesteuerung enthält häufig Dutzende Softwarekomponenten unterschiedlicher Herkunft: Echtzeitbetriebssysteme, Kommunikationsstacks, Visualisierungsbibliotheken, Open-Source-Module. Viele dieser Komponenten wurden über Jahre hinweg ohne systematische Dokumentation integriert. Aktuelle Branchenanalysen zeigen, dass Entwicklungsteams im Durchschnitt über acht Stunden pro Woche mit der Verwaltung von Komponentendaten in unverbundenen Systemen verbringen. Ohne eine SBOM wird es künftig keine CE-Kennzeichnung mehr geben, denn die SBOM ist Teil der technischen Dokumentation, die zehn Jahre lang aufbewahrt werden muss.
Die ewige Pflicht: Sicherheitsupdates über den Lebenszyklus
Der vielleicht gravierendste Einschnitt für den Maschinenbau liegt in der Verpflichtung zur fortlaufenden Schwachstellenbehebung. Der CRA verlangt, dass Hersteller Sicherheitsupdates über die voraussichtliche Nutzungsdauer eines Produkts bereitstellen, mindestens aber für fünf Jahre. Updates müssen sicher verteilt, integriert und möglichst nutzerfreundlich eingespielt werden können, ohne dabei neue Angriffsflächen zu schaffen.
Für den Maschinenbau wirft das Fragen auf, die weit über das Technische hinausgehen. Eine Werkzeugmaschine, ein Kran oder eine Verpackungslinie hat eine erwartete Lebensdauer, die den Fünfjahreszeitraum oft um ein Vielfaches übersteigt. Wie soll ein Hersteller die Schwachstellenüberwachung für Softwarekomponenten sicherstellen, die möglicherweise von Zulieferern stammen, deren Unternehmen es in zehn Jahren nicht mehr gibt? Michael Niehaus, Experte für Maschinensicherheit, formuliert das Dilemma nüchtern: Dies kann konzeptionelle Herausforderungen bedeuten, wenn Updates nie vorgesehen waren oder Komponenten nicht in einer CRA-konformen Form vorliegen. Die Beobachtung von Schwachstellen, deren Bewertung und das Management von Updates dürfte, so Niehaus, ebenfalls herausfordernd werden.
Meldepflichten unter Zeitdruck
Ab September 2026, also deutlich vor der vollständigen Anwendbarkeit des CRA, greifen bereits die Meldepflichten für aktiv ausgenutzte Schwachstellen. Hersteller müssen bei Kenntnis einer solchen Schwachstelle innerhalb von 24 Stunden eine Erstmeldung an die europäische Cybersicherheitsbehörde ENISA und das zuständige nationale CSIRT abgeben. Nach 72 Stunden folgt eine detailliertere Meldung, und innerhalb von 14 Tagen ist ein Abschlussbericht vorzulegen.
Diese Meldepflichten setzen ein funktionierendes Schwachstellenmanagement voraus, also interne Prozesse, die viele Maschinenhersteller in dieser Form erst aufbauen müssen. Laut der ONEKEY-Umfrage sehen 37 Prozent der Industrieunternehmen die 24-Stunden-Meldepflicht als die größte Hürde bei der CRA-Umsetzung. Die Frage, welche Abteilung im Unternehmen eigentlich für die CRA-Compliance zuständig ist, ist in der Industrie noch weitgehend ungeklärt: Bei 46 Prozent liegt die Verantwortung bei der IT-Sicherheit, bei 21 Prozent bei der Compliance-Abteilung, bei 18 Prozent bei der Geschäftsleitung und bei 15 Prozent bei der Produktentwicklung.
MVO, CRA und KI-VO im Zusammenspiel
Das eigentliche Problem liegt nicht in jedem einzelnen Rechtsakt für sich, sondern in deren Zusammenspiel. Vernetzte Maschinen, die KI-basierte Sicherheitsbauteile enthalten, fallen potenziell gleichzeitig unter die Maschinenverordnung, den Cyber Resilience Act und die KI-Verordnung. Alle drei Verordnungen verlangen eine CE-Kennzeichnung, und durch das Anbringen dieser Kennzeichnung übernimmt der Hersteller die Verantwortung für die Konformität mit sämtlichen einschlägigen Harmonisierungsvorschriften.
Der Gesetzgeber hat zwar versucht, Synergien zu schaffen. So genügt im Grundsatz eine einzige Konformitätserklärung für alle anwendbaren Rechtsakte und eine einzige technische Dokumentation. Auch kann die Einhaltung des CRA als Konformitätsvermutung für die Cybersicherheitsanforderungen der KI-Verordnung dienen. Doch in den Details divergieren die Pflichten erheblich: Die Maschinenverordnung verlangt die Aufbewahrung sicherheitsrelevanter Protokolle für ein Jahr, die KI-Verordnung begnügt sich mit sechs Monaten, und der CRA wiederum kennt eigene Fristen für die Aufbewahrung technischer Dokumentation. Solche Abweichungen im Detail, so konstatiert die Fachpresse, werden ein effektives Compliance-Management in der Praxis erheblich erschweren.
Haftung als Druckverstärker
Was die regulatorische Lage zusätzlich verschärft, ist die Verknüpfung mit dem neuen europäischen Produkthaftungsrecht. Die novellierte Produkthaftungsrichtlinie sieht vor, dass ein Produkt als fehlerhaft gilt, wenn es nicht die nach Unionsrecht vorgeschriebene Sicherheit bietet, und das schließt ausdrücklich die Cybersicherheitsanforderungen ein. Ein Verstoß gegen den CRA kann damit unmittelbar einen Produktfehler begründen, und die Hersteller haften verschuldensunabhängig. Auch Versäumnisse bei Updates sind künftig haftungsbegründend, da die neue Richtlinie die Möglichkeit ausschließt, sich auf den sogenannten Entwicklungsrisiko-Einwand zu berufen.
Für den Maschinenbau bedeutet das: Wer nach dem Inverkehrbringen keine Sicherheitsupdates bereitstellt, obwohl Schwachstellen bekannt sind, riskiert nicht nur behördliche Maßnahmen und Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, sondern auch zivilrechtliche Schadensersatzansprüche. Die Nichtbeachtung des CRA wird damit zu einem kalkulierbaren Geschäftsrisiko, das in der Bilanz auftaucht.
Lieferkette unter Druck
Ein Aspekt, der in der öffentlichen Diskussion oft zu kurz kommt, betrifft die Lieferkette. Der CRA verpflichtet Hersteller ausdrücklich dazu, auch bei von Dritten bezogenen Komponenten die Einhaltung der Cybersicherheitsanforderungen sicherzustellen. Für Maschinenbauer, die typischerweise Steuerungen, Sensoren und Softwaremodule von einer Vielzahl von Zulieferern beziehen, entsteht dadurch ein neuer Due-Diligence-Aufwand. Sublieferanten müssen vertraglich zur Einhaltung der gesetzlichen Grundlagen verpflichtet werden, die notwendigen Kennzeichnungen und Erklärungen sind als Lieferbestandteil anzufordern, und im Idealfall lässt sich der Maschinenhersteller das Recht einräumen, Teile der technischen Dokumentation einzusehen.
Besonders heikel wird die Situation bei KI-Sicherheitsbauteilen. Die KI-Verordnung sieht vor, dass ein Maschinenhersteller, der ein von Dritten entwickeltes KI-System als Sicherheitsbauteil in seine Maschine integriert und unter eigenem Namen auf den Markt bringt, kraft Gesetzes als Anbieter dieses KI-Systems gilt. Die Haftungsexposition des Maschinenherstellers wächst damit über das hinaus, was er unmittelbar selbst kontrolliert. Haftungs- und Regressklauseln in den Zulieferverträgen sind daher keine bloße Vorsichtsmaßnahme mehr, sondern existenzielle Notwendigkeit.
Vom Maschinenbauer zum Software-Unternehmen
Was sich hinter den rechtlichen Anforderungen verbirgt, ist letztlich eine organisatorische Transformation. Der CRA verlangt von Maschinenbauern Fähigkeiten, die traditionell in der IT-Industrie angesiedelt sind: ein strukturiertes Vulnerability-Handling, automatisierte Schwachstellenscans, ein System zur sicheren Verteilung von Patches, eine kontinuierliche Produktbeobachtung nach dem Inverkehrbringen. Die Ergebnisse einer wissenschaftlichen Untersuchung industrieller Ausrüstungshersteller zeigen, dass selbst Unternehmen mit etablierten Entwicklungsprozessen und Erfahrung in der IEC-62443-Norm vor erheblichen Schwierigkeiten stehen: Die CRA-Anforderungen an Schwachstellenmeldungen, automatische Sicherheitsupdates und Nutzerdokumentation gehen über das hinaus, was bisherige Industriestandards abdecken.
Hinzu kommt die Frage der Konformitätsbewertung. Für Hochrisikomaschinen mit KI-basierten Sicherheitsbauteilen wird künftig zwingend eine notifizierte Stelle einzubeziehen sein. Da bislang weder harmonisierte Normen unter der Maschinenverordnung im Amtsblatt der EU veröffentlicht wurden noch ausreichend notifizierte Stellen mit der nötigen Expertise bereitstehen, droht hier ein praktischer Engpass, der die ohnehin angespannte Zeitplanung weiter unter Druck setzt.
Blick nach vorn
Man kann die regulatorische Entwicklung als bürokratische Überlast beklagen, und viele in der Branche tun genau das. Man kann sie aber auch als Ausdruck einer schlichten Realität lesen: Die Maschine des 21. Jahrhunderts ist ein cyber-physisches System, und wer sie herstellt, übernimmt Verantwortung für beide Dimensionen, die physische und die digitale. Der CRA zwingt eine Industrie, die sich lange primär über mechanische Exzellenz definiert hat, zur digitalen Professionalisierung. Das ist unbequem, teuer und organisatorisch anspruchsvoll.
Doch der Blick auf die Alternative ernüchtert. Die Zahl der Cyberangriffe auf industrielle Steuerungssysteme steigt seit Jahren, und ein erfolgreicher Angriff auf eine vernetzte Produktionsanlage hat Konsequenzen, die weit über den Verlust von Daten hinausgehen: Produktionsausfälle, beschädigte Anlagen, im schlimmsten Fall Gefahr für Leib und Leben. In dieser Perspektive ist der CRA weniger eine Zumutung als eine überfällige Anpassung des Rechtsrahmens an die technische Wirklichkeit. Der deutsche Maschinen- und Anlagenbau, der seinen Ruf auf Qualität und Zuverlässigkeit gebaut hat, könnte in der Cybersicherheit ein neues Differenzierungsmerkmal finden, vorausgesetzt, er begreift die regulatorischen Anforderungen nicht als lästige Pflicht, sondern als Investition in die eigene Zukunftsfähigkeit.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
