Maschinen sind heute digitale Systeme. Sie sind softwaregetrieben, vernetzt, remote zugänglich und erzeugen laufend Betriebs- und Nutzungsdaten. Mit dem Cyber Resilience Act und dem EU Data Act reagiert die Europäische Union auf genau diese Entwicklung. Beide Regelwerke greifen in denselben technischen Kontext ein.
Der regulatorische Zeitplan ist dabei bereits sehr konkret: Der EU Data Act gilt ab dem 12. September 2025. Erste Verpflichtungen des Cyber Resilience Act – insbesondere Meldepflichten für aktiv ausgenutzte Schwachstellen – greifen ab September 2026, während die vollständige CRA-Compliance ab Dezember 2027 verpflichtend wird. Für Maschinenbauer bedeutet das: Die Vorbereitungsphase läuft bereits jetzt.
Für Maschinenbauer bedeutet das, Sicherheit, Datenzugang und Service-Architektur nicht mehr getrennt, sondern als gemeinsame Verantwortung zu denken.
Der Cyber Resilience Act ist eine Produktregulierung für Produkte mit digitalen Elementen. Er betrifft damit auch industrielle Maschinen, Steuerungen und die eingesetzte Software. Im Zentrum steht eine zentrale Frage: Ist eine vernetzte Maschine über ihre gesamte Nutzungsdauer hinweg sicher betreibbar?
Der CRA verlangt unter anderem:
Diese Meldepflicht betrifft insbesondere Schwachstellen in digitalen Komponenten der Maschine. Wird jedoch eine zertifizierte Drittanbieter-Komponente eingesetzt – etwa für industrielle Konnektivität oder Remote Access – liegt ein Großteil der Vulnerability-Überwachung und des Reportings beim jeweiligen Komponentenhersteller. Für Maschinenbauer kann das den administrativen Compliance-Aufwand erheblich reduzieren.
Für Maschinenbauer ist das ein klarer Perspektivwechsel. Cybersecurity endet nicht mit der Inbetriebnahme. Hersteller tragen Verantwortung über die erwartete Lebensdauer der eingesetzten Software und digitalen Komponenten. In vielen Fällen bedeutet das einen Zeitraum von fünf Jahren oder mehr. Cybersecurity wird damit zu einem festen Bestandteil der Produkt-Compliance und endet nicht mit der Auslieferung der Maschine.
Spätestens mit der Inbetriebnahme der Maschine wird Remote Access sicherheitsrelevant. Aus regulatorischer Sicht gilt jede Remote-Verbindung als digitale Eingangstür zur Maschine. Ist dieser Zugang unzureichend abgesichert, gefährdet er den sicheren Betrieb der Maschine. Deshalb gelten Remote-Access-Lösungen unter dem Cyber Resilience Act als sicherheitskritische Komponenten. Ist die Verbindung schwach oder nicht zertifiziert, liegt die Verantwortung beim Hersteller. In der Praxis bedeutet das, dass Maschinen mit geschlossenen Ports ausgeliefert werden müssen, eindeutige Zugangsdaten benötigen und Sicherheitsmechanismen von Anfang an integriert sein müssen. Werden diese Anforderungen nicht erfüllt, gilt das Produkt als unsicher und ist nicht verkehrsfähig.
Mit Blick auf die kommenden CRA-Fristen ab 2026 wird damit insbesondere die Auswahl sicherer und zertifizierter Remote-Access-Technologie zu einer strategischen Architekturentscheidung.
Der EU Data Act verfolgt einen anderen Ansatz. Er ist keine Sicherheitsverordnung, sondern eine Daten- und Marktregulierung. Im Fokus stehen Daten, die durch die Nutzung vernetzter Produkte entstehen, auch im industriellen Umfeld.
Der Data Act regelt:
In der Praxis treffen Cyber Resilience Act und EU Data Act am selben Punkt aufeinander: an der Internetverbindung der Maschine. Remote Access ist im Sinne des CRA ein sicherheitskritischer Zugangspunkt. Gleichzeitig ist er im Sinne des EU Data Act der technische Kanal für Datenzugang und Datenweitergabe. Wird der Zugang zu restriktiv abgesichert, kann der gesetzlich geforderte Datenzugang verhindert werden. Wird er zu offen gestaltet, entstehen Sicherheitslücken. Maschinenbauer müssen deshalb lernen, Sicherheit und Datenzugang gemeinsam zu gestalten, statt sie gegeneinander auszuspielen.
Beide Regelwerke verändern zentrale Annahmen im Maschinenbau. Cybersecurity wird Teil der Produktstrategie und nicht nur der IT. Datenzugang wird Teil der Kundenbeziehung und Remote Services werden regulatorisch sichtbar. Cloud- und Plattformentscheidungen gewinnen dadurch strategische Bedeutung.
Ein häufiger Fehler ist, die langfristigen Verpflichtungen zu unterschätzen. Sicherheitsupdates müssen auch Jahre nach dem Verkauf noch bereitgestellt werden. Gleichzeitig geraten bestehende Vertragsmodelle unter Druck. Pauschale Eigentumsansprüche an Maschinendaten sind unter dem EU Data Act nicht mehr haltbar. Entscheidend ist künftig nicht der Besitz von Daten, sondern die Fähigkeit, aus Daten nachhaltigen Mehrwert zu schaffen.
Cyber Resilience Act und EU Data Act definieren neue Leitplanken für den digitalen Maschinenbau.
Sicherheit, Datenzugang und Remote Services werden zu strategischen Faktoren, die über Marktzugang, Kundenbeziehungen und Wettbewerbsfähigkeit entscheiden. Maschinenbauer, die diese Themen frühzeitig zusammendenken, reduzieren regulatorische Risiken und schaffen die Grundlage für skalierbare und zukunftsfähige Geschäftsmodelle.
In der Praxis bedeutet das auch, dass nicht jede Sicherheits- und Datenarchitektur selbst entwickelt werden muss. Der Einsatz spezialisierter und zertifizierter Industriekomponenten kann den Compliance-Aufwand erheblich reduzieren.
Ein Beispiel sind industrielle Gateways, die bereits für sichere Remote-Verbindungen und kontrollierten Datenzugang ausgelegt sind. Lösungen wie dar SecureEdge Pro sind nach IEC 62443-4-2 zertifiziert und unterstützen damit die strengen Sicherheitsanforderungen des Cyber Resilience Act, während sie gleichzeitig offene APIs für den Datenzugang gemäß EU Data Act bereitstellen.
Für viele Maschinenbauer ist der Einsatz zertifizierter Komponenten daher der effizienteste Weg, regulatorische Anforderungen zu erfüllen, ohne die gesamte Infrastruktur selbst entwickeln zu müssen.
Der Cyber Resilience Act (CRA) ist eine Produktregulierung. Er stellt sicher, dass vernetzte Maschinen und Software über ihren gesamten Lebenszyklus hinweg sicher sind, von der Entwicklung bis zum Betrieb. Sicherheit wird damit zur Voraussetzung für die Marktfähigkeit eines Produkts. Der EU Data Act ist eine Daten- und Marktregulierung. Er regelt den Zugang zu Maschinendaten und stärkt die Rechte der Nutzer, diese Daten zu nutzen oder an Dritte weiterzugeben.
Kurz gesagt: Der CRA hält Angreifer draußen und der Data Act regelt, wer hinein darf.
Beide Regelwerke greifen an derselben Stelle an: der Internetverbindung der Maschine.
Remote Access ist gleichzeitig sicherheitskritisch (CRA) und datenrelevant (EU Data Act).
Wer beide Gesetze isoliert betrachtet, riskiert Zielkonflikte, etwa zu restriktive Sicherheit, die den Datenzugang verhindert, oder zu offene Schnittstellen, die Sicherheitslücken schaffen. Nur ein integrierter Ansatz stellt sicher, dass Sicherheit und Datenzugang zusammen funktionieren.
Remote Access wird zur zentralen Compliance-Schnittstelle. Im Sinne des CRA muss der Fernzugriff sicher, eindeutig authentifiziert und nachvollziehbar sein. Im Sinne des EU Data Act ermöglicht derselbe Zugriff den kontrollierten Zugang zu Maschinendaten. Damit wird Remote Access von einem reinen Servicetool zu einem regulatorisch relevanten Bestandteil der Maschinenarchitektur.
Betroffen sind vor allem Daten, die durch den Betrieb der Maschine entstehen, darunter: Betriebs- und Nutzungsdaten, Zustands- und Performancedaten, Wartungs- und Diagnosedaten. Nicht betroffen sind in der Regel Quellcode, Konstruktionsunterlagen oder proprietäre Algorithmen. Die Herausforderung besteht darin, diese Abgrenzung technisch und vertraglich sauber umzusetzen.
Der erste Schritt ist eine digitale Bestandsaufnahme:
Welche Software-Komponenten laufen auf der Maschine?
Welche Daten entstehen wo?
Welche Zugriffe und Schnittstellen existieren?
Darauf aufbauend sollten Zugriffsrechte, Datenflüsse und Verantwortlichkeiten klar definiert werden. Nur mit dieser Transparenz lassen sich die Anforderungen von Cyber Resilience Act und EU Data Act langfristig sicher erfüllen.