EU-Maschinenverordnung und Cyber Resilience Act (CRA) – Was Hersteller jetzt beachten müssen

Mit der neuen EU-Maschinenverordnung und dem Cyber Resilience Act (CRA) kommen ab 2027 verbindliche gesetzliche Anforderungen auf Hersteller von Maschinen und digitalen Produkten zu. Beide Regelwerke verfolgen das Ziel, die Sicherheit im europäischen Binnenmarkt zu erhöhen, setzen jedoch unterschiedliche Schwerpunkte.

EU-Maschinenverordnung berücksichtigt digitale Risiken

Die EU-Maschinenverordnung konzentriert sich auf die mechanische, elektrische und funktionale Sicherheit von Maschinen und sicherheitsrelevanten Komponenten. Erstmals werden auch digitale Risiken berücksichtigt, etwa durch künstliche Intelligenz oder die Zusammenarbeit von Mensch und Roboter. Hersteller sind verpflichtet, eine umfassende Risikobewertung durchzuführen, technische Dokumentationen zu erstellen und eine CE-Kennzeichnung sowie Konformitätserklärung vorzulegen. Die Verordnung tritt am 20. Januar 2027 verbindlich in Kraft.

Cyber Resilience Act verpflichtet Hersteller zu digitalen Sicherheitsmaßnahmen

Der Cyber Resilience Act hingegen adressiert ausschließlich Produkte mit digitalen Elementen wie Software, IoT-Geräte oder vernetzte Steuerungen. Ziel ist es, diese Produkte gegen Cyberangriffe zu schützen. Hersteller müssen Sicherheitsmaßnahmen wie „Security by Design“, ein aktives Schwachstellenmanagement, regelmäßige Sicherheitsupdates und Meldepflichten umsetzen. Auch hier endet die Übergangsfrist Anfang 2027.

Doppelverpflichtung bei Maschinen mit digitalen Komponenten

Besonders relevant ist die Doppelverpflichtung für Hersteller von Maschinen mit digitalen Komponenten. Diese müssen sowohl die Anforderungen der Maschinenverordnung als auch des Cyber Resilience Acts erfüllen, um ihre Produkte auch nach 2027 rechtskonform in den EU-Markt bringen zu können.

Aufbau von Cyber Security Management nach EU-Vorgaben

Zur Unterstützung bietet TÜV AUSTRIA mit seinem Cybersecurityspezialisten clockworkX GmbH eine praxisnahe CSMS Masterclass an, in der Unternehmen lernen, ein Cybersecurity Management System aufzubauen, das den neuen EU-Vorgaben entspricht. Weitere Informationen und Anmeldung unter: https://go.clockworkx.de/masterclass-csms

clockworkX GmbH bei der CADFEM in Salzburg

Dr.-Ing. Christian Geiss, Gründer und Geschäftsführer der clockworkX GmbH – einer Tochter der TÜV AUSTRIA Group – präsentiert bei der CADFEM am 4. November 2025 in Salzburg „Cyber Resilience Act LIVE“: https://www.cadfem.net/at/de/cadfem-informiert/veranstaltungen/cadfem-conference-series/cadfem-conference-2025-salzburg.html