CRA & B2B: Diese digitalen Industrieprodukte fallen jetzt unter EU-Vorgaben

Industrielle B2B-Produkte im Fokus des CRA

Der Cyber Resilience Act betrifft nicht nur Verbraucherprodukte, sondern richtet sich klar an Hersteller, Importeure und Integratoren digitaler Produkte mit eigenständiger Datenverarbeitung – auch im B2B-Umfeld.

Rein professionell oder industriell genutzte Produkte sind ausdrücklich erfasst, sofern sie nicht anderweitig durch sektorspezifische EU-Rechtsakte reguliert werden.

Vom CRA betroffene Unternehmen und Branchen im B2B-Bereich

Vom Cyber Resilience Act betroffen sind zahlreiche Akteure entlang der industriellen Wertschöpfungskette. Dazu zählen insbesondere:

• Maschinen- und Anlagenbauer, die ihre Systeme zunehmend digitalisieren und vernetzen,
• Hersteller von Automatisierungs- und Steuerungstechnik,
• Anbieter von industriellen Kommunikations- und Netzwerklösungen,
• Hersteller von Embedded Systems, Sensorik und Aktorik für industrielle Anwendungen,
• Softwareanbieter für industrielle Steuerungs-, Visualisierungs- oder Überwachungssysteme,
• Systemintegratoren, die komplexe industrielle Gesamtsysteme projektieren und realisieren,
• sowie Importeure und Großhändler für digitale Industriegüter.

Gerade in diesen Bereichen ist eine frühzeitige Auseinandersetzung mit den neuen Anforderungen entscheidend, um regulatorische Risiken, Projektverzögerungen und Lieferkettenprobleme zu vermeiden.

Typische B2B-Produkte im Anwendungsbereich des Cyber Resilience Act

Die Bandbreite betroffener B2B-Produkte ist vielfältig:

• Industrielle Steuerungssysteme (SPS, SCADA, HMI)
• Sensoren und Aktoren mit integrierter digitaler Verarbeitung
• Industrie-Router und Embedded-Komponenten
• B2B-Softwareprodukte mit eigenständiger Funktionalität
• Maschinenkomponenten mit Netzwerkanbindung
• Kommunikations- und Steuerungseinheiten für Energienetze, Bahninfrastruktur oder industrielle Anlagen

Was ist nicht erfasst? Die wichtigsten Ausnahmen

Gemäß Artikel 2 Absatz 2 CRA gelten unter anderem folgende Ausnahmen:

• Medizinprodukte gemäß MDR (EU) 2017/745 und IVDR (EU) 2017/746
• Kraftfahrzeuge nach Typgenehmigungsverordnung (EU) 2018/858
• Luftfahrzeuge, Seeschiffe und Verteidigungsgüter unter spezifischen EU-Regimen
• Open-Source-Software, sofern unentgeltlich und nicht kommerziell vertrieben

Besonderheit: Software als Medizinprodukt (SaMD) bleibt vom CRA ausgenommen, unterliegt jedoch gleichzeitig den umfassenden Sicherheitsanforderungen der MDR und ggf. IEC 81001-5-1.

CRA-Pflichten für Hersteller und Marktakteure

Der CRA etabliert ein umfassendes Pflichtenprogramm entlang der gesamten Lieferkette:

• Security by Design & Default : Sicherheitsanforderungen müssen bereits im Entwicklungsprozess umfassend berücksichtigt werden.
• Risikobasierte Konformitätsbewertung : Je nach Risikoprofil des Produkts sind unterschiedliche Bewertungsverfahren anzuwenden, stets mit abschließender CE-Kennzeichnung.
• Technische Dokumentation : Umfangreiche Dokumentationspflichten zur Sicherheitsarchitektur, Risikobewertung und eingesetzten Software-Komponenten (SBOM).
• Schwachstellenmanagement : Pflicht zur kontinuierlichen Schwachstellenüberwachung und schnellen Meldung entdeckter Sicherheitslücken.
• Update-Pflichten : Bereitstellung von Sicherheitsupdates für die gesamte Lebensdauer des Produkts.
• Lieferkettenverantwortung : Importeure, OEMs und Händler werden in die Verantwortung genommen.

Unsere Leistungen für den B2B-Sektor

Als ISiCO unterstützen wir Unternehmen praxisnah und spezialisiert bei der CRA-Umsetzung im B2B-Bereich:

1. Produktanalyse & Relevanzprüfung : Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – inklusive Prüfung etwaiger Ausschlusstatbestände wie MDR.
2. Konformitätsbewertung & Technische Dokumentation : Begleitung durch alle Umsetzungsschritte inklusive Erstellung aller erforderlichen Nachweise.
3. Sicherheitsarchitektur & Prozessorientierung : Integration der CRA-Vorgaben in Entwicklungs- und Qualitätssicherungsprozesse sowie Update-Strategien.
4. Vertragsgestaltung & Haftungsvermeidung : Gestaltung compliance-sicherer Lieferkettenvereinbarungen und Absicherung von Verantwortlichkeiten gegenüber Partnern und Kunden.

Warum jetzt handeln?

Die Einhaltung des CRA wird ab voraussichtlich 2027 verpflichtend. Die zweijährige Übergangsfrist läuft bereits. Da zukünftig für nahezu alle digitalen B2B-Produkte eine CE-Kennzeichnung vorgeschrieben wird und empfindliche Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des globalen Umsatzes drohen, ist frühzeitiges Handeln entscheidend.

Unternehmen, die sich jetzt vorbereiten, schaffen nicht nur Rechtssicherheit, sondern können Compliance als Qualitätsmerkmal im B2B-Geschäft und gegenüber OEM-Kunden aktiv nutzen.