Definition und Funktionsweise:
Der Cyber Resilience Act ist eine weitreichende EU-Verordnung, die sicherstellen soll, dass Hardware- und Softwareprodukte „Secure by Design“ auf den Markt kommen. Hersteller müssen eine umfassende Risikobewertung für Cybersicherheit durchführen, Sicherheitsupdates über einen definierten Zeitraum bereitstellen und Schwachstellen aktiv an Behörden melden.
Relevanz für SPS und Automatisierungstechnik:
- CE-Kennzeichnung: Für Maschinen- und Anlagenbauer sowie Komponentenhersteller bedeutet der CRA, dass die Cybersicherheit von Steuerungen (SPS), HMI-Panels, Sensoren und Edge-Geräten künftig eine zwingende Voraussetzung für die CE-Kennzeichnung ist.
- Pflichten für Hersteller: Hersteller von Automatisierungskomponenten müssen transparente SBOMs (Stücklisten der Software) bereitstellen und einen Support-Zeitraum für Security-Patches garantieren.
- Verzahnung mit der MVO: Während die Maschinenverordnung primär die Gesamtanlage und deren Safety (Maschinensicherheit) betrachtet, regelt der CRA die IT-Sicherheit der einzelnen verbauten Komponenten auf Produktebene.
→ Siehe auch: Secure by Design / Secure by Default, SBOM (Software Bill of Materials), Maschinenverordnung (EU) 2023/1230 (MVO)

