Cyber Resilience Act: Deutsche Industrie startet in heiße Umsetzungsphase

Ab heute gilt der Countdown: Nur noch sieben Monate bleiben europäischen Unternehmen, um ihre Produkte auf die neuen Cybersicherheits-Regeln vorzubereitet. Der Cyber Resilience Act (CRA) tritt in seine erste operative Phase ein – mit spürbaren Konsequenzen für den Technologiestandort Deutschland.

PROFINET-Entscheidung entlastet deutsche Industrie

Eine wichtige Klarstellung erreichte die deutsche Industrie diese Woche. PROFINET International (PI), der Verband für den verbreiteten Industriestandard, bestätigte am 13. Februar, dass seine Technologie die CRA-Anforderungen erfüllt. Das ist eine entscheidende Nachricht für den Maschinenbau und die Automatisierungstechnik.

Viele Hersteller fürchteten, ihre bestehenden Anlagen komplett ersetzen zu müssen. Jetzt zeigt sich: Die etablierte PROFINET-Architektur mit Sicherheitsfunktionen wie „Secure Cell“ für Netzwerksegmentierung bildet eine solide Basis für die „Security-by-Design“-Vorgaben des Gesetzes. Unternehmen können sich damit auf Dokumentation und Risikobewertung konzentrieren, statt auf kostspielige Hardware-Umrüstungen.

Grauzone Cloud-Software: Wer ist wirklich betroffen?

Während die Hardware-Hersteller aufatmen können, herrscht bei Softwareanbietern weiter Verunsicherung. Eine am selben Tag veröffentlichte Analyse der Anwaltskanzlei DLA Piper beleuchtet eine der größten Streitfragen: Wo endet die regulierte „Software mit digitalen Elementen“ und wo beginnt der nicht erfasste Software-as-a-Service (SaaS)?

Die Grenze ist fließender als viele denken. Reine Cloud-Dienste sind zwar oft ausgenommen. Doch Anwendungen, die clientseitige Komponenten, herunterladbare Module oder essentielle API-Integrationen mit Geräten enthalten, können schnell als regulierte Produkte eingestuft werden. Eine Fehleinschätzung ist riskant: Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes.

Countdown zum 11. September: Die 24-Stunden-Frist

Die Dringlichkeit aller Vorbereitungen speist sich aus einem konkreten Datum: 11. September 2026. Ab dann greifen die ersten Meldepflichten. Hersteller müssen aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden an die EU-Agentur für Cybersicherheit (ENISA) und nationale CSIRT-Teams melden. Ein detaillierter Bericht folgt binnen 72 Stunden.

Diese Frist stellt viele Unternehmen vor Probleme. Die wenigsten haben interne Prozesse für eine so schnelle Reaktion. Die aktuelle „Phase 1“ dient deshalb dem Aufbau dieser Meldeketten, der Integration in bestehende Systeme und der vertraglichen Absicherung mit Zulieferern.

Die neuen Meldepflichten erfordern nicht nur Prozesse, sondern auch ein klares Verständnis aktueller Cyberrisiken und praktikabler Schutzmaßnahmen. Ein kostenloses E‑Book fasst die wichtigsten Bedrohungen, neue Gesetzesanforderungen und leicht umsetzbare Empfehlungen zusammen – damit Ihr Unternehmen auch bei kurzen Reaktionsfristen handlungsfähig bleibt. Jetzt gratis E‑Book „Cyber Security Awareness Trends“ herunterladen

Der Fahrplan bis zum Herbst

Bis August erwarten Experten die Veröffentlichung der finalen europäischen Sicherheitsstandards („Type A“). Bis dahin bleibt den Firmen ein klarer Drei-Punkte-Plan:
1. Produktklassifizierung überprüfen: Insbesondere bei Software- und Cloud-Hybriden.
2. Software-Lieferkette analysieren: Abhängigkeiten von Drittanbietern identifizieren.
3. Probeläufe starten: Das Meldeverfahren für Sicherheitsvorfälle testen.

Die PROFINET-Entscheidung zeigt, dass die technischen Lösungen reifen. Jetzt geht es um die organisatorische Umsetzung. Die Frage ist nicht mehr ob, sondern wie gut die deutsche Wirtschaft im September bereit sein wird.