23.06.2025

CRA & B2B: Diese digitalen Industrieprodukte fallen jetzt unter EU-Vorgaben

Der Cyber Resilience Act (CRA) der EU betrifft nicht nur klassische Verbrauchsprodukte oder Smart-Home-Geräte, sondern hat erhebliche Auswirkungen auf den professionellen und industriellen B2B-Sektor. Hersteller, Importeure, Systemintegratoren und Händler von digitalen Produkten im professionellen Einsatzbereich müssen sich intensiv mit den neuen Cybersicherheitsanforderungen auseinandersetzen.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner

Industrielle B2B-Produkte im Fokus des CRA

Der Cyber Resilience Act betrifft nicht nur Verbraucherprodukte, sondern richtet sich klar an Hersteller, Importeure und Integratoren digitaler Produkte mit eigenständiger Datenverarbeitung – auch im B2B-Umfeld.

Rein professionell oder industriell genutzte Produkte sind ausdrücklich erfasst, sofern sie nicht anderweitig durch sektorspezifische EU-Rechtsakte reguliert werden.

Vom CRA betroffene Unternehmen und Branchen im B2B-Bereich

Vom Cyber Resilience Act betroffen sind zahlreiche Akteure entlang der industriellen Wertschöpfungskette. Dazu zählen insbesondere:

  • Maschinen- und Anlagenbauer, die ihre Systeme zunehmend digitalisieren und vernetzen,
  • Hersteller von Automatisierungs- und Steuerungstechnik,
  • Anbieter von industriellen Kommunikations- und Netzwerklösungen,
  • Hersteller von Embedded Systems, Sensorik und Aktorik für industrielle Anwendungen,
  • Softwareanbieter für industrielle Steuerungs-, Visualisierungs- oder Überwachungssysteme,
  • Systemintegratoren, die komplexe industrielle Gesamtsysteme projektieren und realisieren,
  • sowie Importeure und Großhändler für digitale Industriegüter.

Gerade in diesen Bereichen ist eine frühzeitige Auseinandersetzung mit den neuen Anforderungen entscheidend, um regulatorische Risiken, Projektverzögerungen und Lieferkettenprobleme zu vermeiden.

Kostenloser Leitfaden: Cyber Resiliance Act in 10 Schritten umsetzen (inkl. Compliance-Schnelltest)

Unser Praxis-Leitfaden zeigt Ihnen in 10 klaren Schritten, wie Sie die Anforderungen des CRA sicher und strategisch umsetzen. Inklusive Compliance-Schnelltest für den Sofort-Check. Jetzt kostenlos anfordern!

Bitte rechnen Sie 1 plus 2.

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Typische B2B-Produkte im Anwendungsbereich des Cyber Resilience Act

Die Bandbreite betroffener B2B-Produkte ist vielfältig:

  • Industrielle Steuerungssysteme (SPS, SCADA, HMI)
  • Sensoren und Aktoren mit integrierter digitaler Verarbeitung
  • Industrie-Router und Embedded-Komponenten
  • B2B-Softwareprodukte mit eigenständiger Funktionalität
  • Maschinenkomponenten mit Netzwerkanbindung
  • Kommunikations- und Steuerungseinheiten für Energienetze, Bahninfrastruktur oder industrielle Anlagen

Was ist nicht erfasst? Die wichtigsten Ausnahmen

Gemäß Artikel 2 Absatz 2 CRA gelten unter anderem folgende Ausnahmen:

  • Medizinprodukte gemäß MDR (EU) 2017/745 und IVDR (EU) 2017/746
  • Kraftfahrzeuge nach Typgenehmigungsverordnung (EU) 2018/858
  • Luftfahrzeuge, Seeschiffe und Verteidigungsgüter unter spezifischen EU-Regimen
  • Open-Source-Software, sofern unentgeltlich und nicht kommerziell vertrieben

Besonderheit: Software als Medizinprodukt (SaMD) bleibt vom CRA ausgenommen, unterliegt jedoch gleichzeitig den umfassenden Sicherheitsanforderungen der MDR und ggf. IEC 81001-5-1.

CRA-Pflichten für Hersteller und Marktakteure

Der CRA etabliert ein umfassendes Pflichtenprogramm entlang der gesamten Lieferkette:

  • Security by Design & Default : Sicherheitsanforderungen müssen bereits im Entwicklungsprozess umfassend berücksichtigt werden.
  • Risikobasierte Konformitätsbewertung : Je nach Risikoprofil des Produkts sind unterschiedliche Bewertungsverfahren anzuwenden, stets mit abschließender CE-Kennzeichnung.
  • Technische Dokumentation : Umfangreiche Dokumentationspflichten zur Sicherheitsarchitektur, Risikobewertung und eingesetzten Software-Komponenten (SBOM).
  • Schwachstellenmanagement : Pflicht zur kontinuierlichen Schwachstellenüberwachung und schnellen Meldung entdeckter Sicherheitslücken.
  • Update-Pflichten : Bereitstellung von Sicherheitsupdates für die gesamte Lebensdauer des Produkts.
  • Lieferkettenverantwortung : Importeure, OEMs und Händler werden in die Verantwortung genommen.

Unsere Leistungen für den B2B-Sektor

Als ISiCO unterstützen wir Unternehmen praxisnah und spezialisiert bei der CRA-Umsetzung im B2B-Bereich:

  1. Produktanalyse & Relevanzprüfung : Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – inklusive Prüfung etwaiger Ausschlusstatbestände wie MDR.
  2. Konformitätsbewertung & Technische Dokumentation : Begleitung durch alle Umsetzungsschritte inklusive Erstellung aller erforderlichen Nachweise.
  3. Sicherheitsarchitektur & Prozessorientierung : Integration der CRA-Vorgaben in Entwicklungs- und Qualitätssicherungsprozesse sowie Update-Strategien.
  4. Vertragsgestaltung & Haftungsvermeidung : Gestaltung compliance-sicherer Lieferkettenvereinbarungen und Absicherung von Verantwortlichkeiten gegenüber Partnern und Kunden.

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

Warum jetzt handeln?

Die Einhaltung des CRA wird ab voraussichtlich 2027 verpflichtend. Die zweijährige Übergangsfrist läuft bereits. Da zukünftig für nahezu alle digitalen B2B-Produkte eine CE-Kennzeichnung vorgeschrieben wird und empfindliche Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des globalen Umsatzes drohen, ist frühzeitiges Handeln entscheidend.

Unternehmen, die sich jetzt vorbereiten, schaffen nicht nur Rechtssicherheit, sondern können Compliance als Qualitätsmerkmal im B2B-Geschäft und gegenüber OEM-Kunden aktiv nutzen.

Zurück zur Newsübersicht

Weitere Neuigkeiten

22.09.2025

Privacy by Design: Die 10 wichtigsten Maßnahmen

Privacy by Design heißt: Datenschutz muss von Beginn an Teil von Produkt‑, Prozess‑ und IT‑Design sein. Entscheidend sind klare Zwecke und Datenflüsse, echte Datenminimierung mit Löschregeln, datenschutzfreundliche Defaults sowie praktikable Prozesse für Sicherheit, Betroffenenrechte und Dienstleister. Dieser Beitrag zeigt die zehn wichtigsten Maßnahmen für eine schlanke, prüfbare Umsetzung.

Weiterlesen …

18.09.2025

KI und Ransomware: Wie Cyberkriminelle Künstliche Intelligenz zur Waffe machen

Ransomware bleibt eine der disruptivsten Cyberbedrohungen für Unternehmen weltweit. Was einst als einfache Schadsoftware begann, die Dateien für schnelles Lösegeld verschlüsselte, hat sich zu einer milliardenschweren kriminellen Industrie entwickelt. Der neueste Trend, der Ransomware noch gefährlicher macht, ist der Einsatz von Künstlicher Intelligenz (KI) durch Cyberkriminelle. KI ist längst nicht mehr nur ein Werkzeug der Verteidiger – Angreifer lernen, ihre Fähigkeiten auszunutzen, um schneller, ausgefeilter und wirkungsvoller anzugreifen.

Weiterlesen …

09.09.2025

Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Risikomanagement ist das Herzstück eines wirksamen Informationssicherheits-Managementsystems (ISMS). Die ISO/IEC 27005 liefert dafür einen praxistauglichen Leitfaden – flexibel, skalierbar und direkt anschlussfähig an ISO/IEC 27001. In diesem Beitrag zeigen wir, wie Sie strukturiert vorgehen und welche Vorteile sich daraus für Ihr Unternehmen ergeben.

Weiterlesen …