Cyber Resilience Act & EU Data Act: Was Maschinenbauer jetzt wissen müssen

5 min. Lesezeit

Share

Maschinen sind heute digitale Systeme. Sie sind softwaregetrieben, vernetzt, remote zugänglich und erzeugen laufend Betriebs- und Nutzungsdaten. Mit dem Cyber Resilience Act und dem EU Data Act reagiert die Europäische Union auf genau diese Entwicklung. Beide Regelwerke greifen in denselben technischen Kontext ein. 

Der regulatorische Zeitplan ist dabei bereits sehr konkret: Der EU Data Act gilt ab dem 12. September 2025. Erste Verpflichtungen des Cyber Resilience Act – insbesondere Meldepflichten für aktiv ausgenutzte Schwachstellen – greifen ab September 2026, während die vollständige CRA-Compliance ab Dezember 2027 verpflichtend wird. Für Maschinenbauer bedeutet das: Die Vorbereitungsphase läuft bereits jetzt.

Für Maschinenbauer bedeutet das, Sicherheit, Datenzugang und Service-Architektur nicht mehr getrennt, sondern als gemeinsame Verantwortung zu denken.

Cyber Resilience Act: Cybersecurity wird Teil der Produktverantwortung

Der Cyber Resilience Act ist eine Produktregulierung für Produkte mit digitalen Elementen. Er betrifft damit auch industrielle Maschinen, Steuerungen und die eingesetzte Software. Im Zentrum steht eine zentrale Frage: Ist eine vernetzte Maschine über ihre gesamte Nutzungsdauer hinweg sicher betreibbar?

Der CRA verlangt unter anderem:

  • Secure-by-Design und Secure-by-Default
  • strukturierte Prozesse für Vulnerability Management
  • die Fähigkeit zu sicheren Software-Updates
  • Transparenz zu Support- und Updatezeiträumen
  • Meldepflichten bei aktiv ausgenutzten Schwachstellen

Diese Meldepflicht betrifft insbesondere Schwachstellen in digitalen Komponenten der Maschine. Wird jedoch eine zertifizierte Drittanbieter-Komponente eingesetzt – etwa für industrielle Konnektivität oder Remote Access – liegt ein Großteil der Vulnerability-Überwachung und des Reportings beim jeweiligen Komponentenhersteller. Für Maschinenbauer kann das den administrativen Compliance-Aufwand erheblich reduzieren.

Für Maschinenbauer ist das ein klarer Perspektivwechsel. Cybersecurity endet nicht mit der Inbetriebnahme. Hersteller tragen Verantwortung über die erwartete Lebensdauer der eingesetzten Software und digitalen Komponenten. In vielen Fällen bedeutet das einen Zeitraum von fünf Jahren oder mehr. Cybersecurity wird damit zu einem festen Bestandteil der Produkt-Compliance und endet nicht mit der Auslieferung der Maschine.

Warum Remote Access unter dem CRA besonders kritisch ist

Spätestens mit der Inbetriebnahme der Maschine wird Remote Access sicherheitsrelevant. Aus regulatorischer Sicht gilt jede Remote-Verbindung als digitale Eingangstür zur Maschine. Ist dieser Zugang unzureichend abgesichert, gefährdet er den sicheren Betrieb der Maschine. Deshalb gelten Remote-Access-Lösungen unter dem Cyber Resilience Act als sicherheitskritische Komponenten. Ist die Verbindung schwach oder nicht zertifiziert, liegt die Verantwortung beim Hersteller. In der Praxis bedeutet das, dass Maschinen mit geschlossenen Ports ausgeliefert werden müssen, eindeutige Zugangsdaten benötigen und Sicherheitsmechanismen von Anfang an integriert sein müssen. Werden diese Anforderungen nicht erfüllt, gilt das Produkt als unsicher und ist nicht verkehrsfähig.

Mit Blick auf die kommenden CRA-Fristen ab 2026 wird damit insbesondere die Auswahl sicherer und zertifizierter Remote-Access-Technologie zu einer strategischen Architekturentscheidung.

EU Data Act: Wer darf Maschinendaten nutzen – und wie?

Der EU Data Act verfolgt einen anderen Ansatz. Er ist keine Sicherheitsverordnung, sondern eine Daten- und Marktregulierung. Im Fokus stehen Daten, die durch die Nutzung vernetzter Produkte entstehen, auch im industriellen Umfeld.

Der Data Act regelt:

  • den Zugang zu Nutzungs- und Betriebsdaten
  • die Weitergabe dieser Daten an Dritte
  • die Rolle von Herstellern und Serviceanbietern als Data Holder
  • den Schutz von Geschäftsgeheimnissen
  • die Reduktion von Cloud Lock-in durch Portabilitäts- und Switching-Regeln
Der EU Data Act erfasst nahezu alle Daten, die eine Maschine im laufenden Betrieb erzeugt, etwa Sensor-, Zustands- und Diagnosedaten. Während Maschinenbauer diese Daten bislang häufig als eigene Ressource genutzt haben, kehrt der Data Act diese Logik um. Der Betreiber der Maschine erhält ein gesetzlich verankertes Zugriffsrecht. Die zentrale Herausforderung besteht darin, zwischen rohen Nutzungsdaten und proprietären Algorithmen oder Geschäftsgeheimnissen zu unterscheiden. Diese Abgrenzung muss technisch und vertraglich klar umgesetzt werden.

Zwei Gesetze, eine technische Realität

In der Praxis treffen Cyber Resilience Act und EU Data Act am selben Punkt aufeinander: an der Internetverbindung der Maschine. Remote Access ist im Sinne des CRA ein sicherheitskritischer Zugangspunkt. Gleichzeitig ist er im Sinne des EU Data Act der technische Kanal für Datenzugang und Datenweitergabe. Wird der Zugang zu restriktiv abgesichert, kann der gesetzlich geforderte Datenzugang verhindert werden. Wird er zu offen gestaltet, entstehen Sicherheitslücken. Maschinenbauer müssen deshalb lernen, Sicherheit und Datenzugang gemeinsam zu gestalten, statt sie gegeneinander auszuspielen.

Was das für Maschinenbauer konkret bedeutet

Beide Regelwerke verändern zentrale Annahmen im Maschinenbau. Cybersecurity wird Teil der Produktstrategie und nicht nur der IT. Datenzugang wird Teil der Kundenbeziehung und Remote Services werden regulatorisch sichtbar. Cloud- und Plattformentscheidungen gewinnen dadurch strategische Bedeutung.

Ein häufiger Fehler ist, die langfristigen Verpflichtungen zu unterschätzen. Sicherheitsupdates müssen auch Jahre nach dem Verkauf noch bereitgestellt werden. Gleichzeitig geraten bestehende Vertragsmodelle unter Druck. Pauschale Eigentumsansprüche an Maschinendaten sind unter dem EU Data Act nicht mehr haltbar. Entscheidend ist künftig nicht der Besitz von Daten, sondern die Fähigkeit, aus Daten nachhaltigen Mehrwert zu schaffen.

CRA und EU Data Act als neue Rahmenbedingungen

Cyber Resilience Act und EU Data Act definieren neue Leitplanken für den digitalen Maschinenbau.

Sicherheit, Datenzugang und Remote Services werden zu strategischen Faktoren, die über Marktzugang, Kundenbeziehungen und Wettbewerbsfähigkeit entscheiden. Maschinenbauer, die diese Themen frühzeitig zusammendenken, reduzieren regulatorische Risiken und schaffen die Grundlage für skalierbare und zukunftsfähige Geschäftsmodelle.

In der Praxis bedeutet das auch, dass nicht jede Sicherheits- und Datenarchitektur selbst entwickelt werden muss. Der Einsatz spezialisierter und zertifizierter Industriekomponenten kann den Compliance-Aufwand erheblich reduzieren.

Ein Beispiel sind industrielle Gateways, die bereits für sichere Remote-Verbindungen und kontrollierten Datenzugang ausgelegt sind. Lösungen wie dar  SecureEdge Pro sind nach IEC 62443-4-2 zertifiziert und unterstützen damit die strengen Sicherheitsanforderungen des Cyber Resilience Act, während sie gleichzeitig offene APIs für den Datenzugang gemäß EU Data Act bereitstellen. 

Für viele Maschinenbauer ist der Einsatz zertifizierter Komponenten daher der effizienteste Weg, regulatorische Anforderungen zu erfüllen, ohne die gesamte Infrastruktur selbst entwickeln zu müssen.

FAQs

1. Was ist der wichtigste Unterschied zwischen dem Cyber Resilience Act und dem EU Data Act für Maschinenbauer?

Der Cyber Resilience Act (CRA) ist eine Produktregulierung. Er stellt sicher, dass vernetzte Maschinen und Software über ihren gesamten Lebenszyklus hinweg sicher sind, von der Entwicklung bis zum Betrieb. Sicherheit wird damit zur Voraussetzung für die Marktfähigkeit eines Produkts. Der EU Data Act ist eine Daten- und Marktregulierung. Er regelt den Zugang zu Maschinendaten und stärkt die Rechte der Nutzer, diese Daten zu nutzen oder an Dritte weiterzugeben.

Kurz gesagt: Der CRA hält Angreifer draußen und der Data Act regelt, wer hinein darf.

2. Warum sollten Maschinenbauer Cyber Resilience Act und EU Data Act gemeinsam betrachten?

Beide Regelwerke greifen an derselben Stelle an: der Internetverbindung der Maschine.
Remote Access ist gleichzeitig sicherheitskritisch (CRA) und datenrelevant (EU Data Act).
Wer beide Gesetze isoliert betrachtet, riskiert Zielkonflikte, etwa zu restriktive Sicherheit, die den Datenzugang verhindert, oder zu offene Schnittstellen, die Sicherheitslücken schaffen. Nur ein integrierter Ansatz stellt sicher, dass Sicherheit und Datenzugang zusammen funktionieren.

3. Welche Auswirkungen haben Cyber Resilience Act und EU Data Act auf Remote Access zu Maschinen?

Remote Access wird zur zentralen Compliance-Schnittstelle. Im Sinne des CRA muss der Fernzugriff sicher, eindeutig authentifiziert und nachvollziehbar sein. Im Sinne des EU Data Act ermöglicht derselbe Zugriff den kontrollierten Zugang zu Maschinendaten. Damit wird Remote Access von einem reinen Servicetool zu einem regulatorisch relevanten Bestandteil der Maschinenarchitektur.

4. Welche Maschinendaten sind vom EU Data Act besonders betroffen?

Betroffen sind vor allem Daten, die durch den Betrieb der Maschine entstehen, darunter: Betriebs- und Nutzungsdaten, Zustands- und Performancedaten, Wartungs- und Diagnosedaten. Nicht betroffen sind in der Regel Quellcode, Konstruktionsunterlagen oder proprietäre Algorithmen. Die Herausforderung besteht darin, diese Abgrenzung technisch und vertraglich sauber umzusetzen.

5. Womit sollten Maschinenbauer jetzt beginnen, um sich auf den EU Data Act und den Cyber Resilience Act vorzubereiten?

Der erste Schritt ist eine digitale Bestandsaufnahme:

  • Welche Software-Komponenten laufen auf der Maschine?

  • Welche Daten entstehen wo?

  • Welche Zugriffe und Schnittstellen existieren?

    Darauf aufbauend sollten Zugriffsrechte, Datenflüsse und Verantwortlichkeiten klar definiert werden. Nur mit dieser Transparenz lassen sich die Anforderungen von Cyber Resilience Act und EU Data Act langfristig sicher erfüllen.

 

 

Abonnieren Sie den Newsletter

Erhalten Sie Einblicke in IoT, Geschäftsmodelle und Produkt-Updates.

Abonnieren

Persönliche Demo anfordern

Entdecken Sie in einem 1:1-Gespräch, was IXON für Sie tun kann.

Jetzt Demo anfragen