23.06.2025

CRA & B2B: Diese digitalen Industrieprodukte fallen jetzt unter EU-Vorgaben

Der Cyber Resilience Act (CRA) der EU betrifft nicht nur klassische Verbrauchsprodukte oder Smart-Home-Geräte, sondern hat erhebliche Auswirkungen auf den professionellen und industriellen B2B-Sektor. Hersteller, Importeure, Systemintegratoren und Händler von digitalen Produkten im professionellen Einsatzbereich müssen sich intensiv mit den neuen Cybersicherheitsanforderungen auseinandersetzen.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner

Industrielle B2B-Produkte im Fokus des CRA

Der Cyber Resilience Act betrifft nicht nur Verbraucherprodukte, sondern richtet sich klar an Hersteller, Importeure und Integratoren digitaler Produkte mit eigenständiger Datenverarbeitung – auch im B2B-Umfeld.

Rein professionell oder industriell genutzte Produkte sind ausdrücklich erfasst, sofern sie nicht anderweitig durch sektorspezifische EU-Rechtsakte reguliert werden.

Vom CRA betroffene Unternehmen und Branchen im B2B-Bereich

Vom Cyber Resilience Act betroffen sind zahlreiche Akteure entlang der industriellen Wertschöpfungskette. Dazu zählen insbesondere:

  • Maschinen- und Anlagenbauer, die ihre Systeme zunehmend digitalisieren und vernetzen,
  • Hersteller von Automatisierungs- und Steuerungstechnik,
  • Anbieter von industriellen Kommunikations- und Netzwerklösungen,
  • Hersteller von Embedded Systems, Sensorik und Aktorik für industrielle Anwendungen,
  • Softwareanbieter für industrielle Steuerungs-, Visualisierungs- oder Überwachungssysteme,
  • Systemintegratoren, die komplexe industrielle Gesamtsysteme projektieren und realisieren,
  • sowie Importeure und Großhändler für digitale Industriegüter.

Gerade in diesen Bereichen ist eine frühzeitige Auseinandersetzung mit den neuen Anforderungen entscheidend, um regulatorische Risiken, Projektverzögerungen und Lieferkettenprobleme zu vermeiden.

Kostenloser Leitfaden: Cyber Resiliance Act in 10 Schritten umsetzen (inkl. Compliance-Schnelltest)

Unser Praxis-Leitfaden zeigt Ihnen in 10 klaren Schritten, wie Sie die Anforderungen des CRA sicher und strategisch umsetzen. Inklusive Compliance-Schnelltest für den Sofort-Check. Jetzt kostenlos anfordern!

Bitte addieren Sie 5 und 2.

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Typische B2B-Produkte im Anwendungsbereich des Cyber Resilience Act

Die Bandbreite betroffener B2B-Produkte ist vielfältig:

  • Industrielle Steuerungssysteme (SPS, SCADA, HMI)
  • Sensoren und Aktoren mit integrierter digitaler Verarbeitung
  • Industrie-Router und Embedded-Komponenten
  • B2B-Softwareprodukte mit eigenständiger Funktionalität
  • Maschinenkomponenten mit Netzwerkanbindung
  • Kommunikations- und Steuerungseinheiten für Energienetze, Bahninfrastruktur oder industrielle Anlagen

Was ist nicht erfasst? Die wichtigsten Ausnahmen

Gemäß Artikel 2 Absatz 2 CRA gelten unter anderem folgende Ausnahmen:

  • Medizinprodukte gemäß MDR (EU) 2017/745 und IVDR (EU) 2017/746
  • Kraftfahrzeuge nach Typgenehmigungsverordnung (EU) 2018/858
  • Luftfahrzeuge, Seeschiffe und Verteidigungsgüter unter spezifischen EU-Regimen
  • Open-Source-Software, sofern unentgeltlich und nicht kommerziell vertrieben

Besonderheit: Software als Medizinprodukt (SaMD) bleibt vom CRA ausgenommen, unterliegt jedoch gleichzeitig den umfassenden Sicherheitsanforderungen der MDR und ggf. IEC 81001-5-1.

CRA-Pflichten für Hersteller und Marktakteure

Der CRA etabliert ein umfassendes Pflichtenprogramm entlang der gesamten Lieferkette:

  • Security by Design & Default : Sicherheitsanforderungen müssen bereits im Entwicklungsprozess umfassend berücksichtigt werden.
  • Risikobasierte Konformitätsbewertung : Je nach Risikoprofil des Produkts sind unterschiedliche Bewertungsverfahren anzuwenden, stets mit abschließender CE-Kennzeichnung.
  • Technische Dokumentation : Umfangreiche Dokumentationspflichten zur Sicherheitsarchitektur, Risikobewertung und eingesetzten Software-Komponenten (SBOM).
  • Schwachstellenmanagement : Pflicht zur kontinuierlichen Schwachstellenüberwachung und schnellen Meldung entdeckter Sicherheitslücken.
  • Update-Pflichten : Bereitstellung von Sicherheitsupdates für die gesamte Lebensdauer des Produkts.
  • Lieferkettenverantwortung : Importeure, OEMs und Händler werden in die Verantwortung genommen.

Unsere Leistungen für den B2B-Sektor

Als ISiCO unterstützen wir Unternehmen praxisnah und spezialisiert bei der CRA-Umsetzung im B2B-Bereich:

  1. Produktanalyse & Relevanzprüfung : Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – inklusive Prüfung etwaiger Ausschlusstatbestände wie MDR.
  2. Konformitätsbewertung & Technische Dokumentation : Begleitung durch alle Umsetzungsschritte inklusive Erstellung aller erforderlichen Nachweise.
  3. Sicherheitsarchitektur & Prozessorientierung : Integration der CRA-Vorgaben in Entwicklungs- und Qualitätssicherungsprozesse sowie Update-Strategien.
  4. Vertragsgestaltung & Haftungsvermeidung : Gestaltung compliance-sicherer Lieferkettenvereinbarungen und Absicherung von Verantwortlichkeiten gegenüber Partnern und Kunden.

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

Warum jetzt handeln?

Die Einhaltung des CRA wird ab voraussichtlich 2027 verpflichtend. Die zweijährige Übergangsfrist läuft bereits. Da zukünftig für nahezu alle digitalen B2B-Produkte eine CE-Kennzeichnung vorgeschrieben wird und empfindliche Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des globalen Umsatzes drohen, ist frühzeitiges Handeln entscheidend.

Unternehmen, die sich jetzt vorbereiten, schaffen nicht nur Rechtssicherheit, sondern können Compliance als Qualitätsmerkmal im B2B-Geschäft und gegenüber OEM-Kunden aktiv nutzen.

Zurück zur Newsübersicht

Weitere Neuigkeiten

17.11.2025

NIS2-Umsetzungsgesetz beschlossen: Das ist jetzt wichtig

Der Bundestag hat am 13. November 2025 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet – ein Meilenstein für die Informationssicherheit in Deutschland. Das neue Gesetz erweitert den bisherigen Rahmen der IT-Sicherheitsgesetze deutlich und setzt die zentralen Vorgaben der europäischen Network and Information Security Directive (NIS2) um. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der EU, klar definierte Meldewege bei Sicherheitsvorfällen und gestärkte Aufsichtsbefugnisse des BSI – unter anderem durch ein dreistufiges Melderegime und einen zentralen „CISO Bund“.

Weiterlesen …

10.11.2025

Cyber Incident Readiness Audit: Ablauf & Nutzen

Immer mehr Unternehmen fragen sich: Wie gut sind wir wirklich auf einen Cybervorfall vorbereitet? Ein Cyber Incident Readiness Audit liefert eine klare Antwort – mit strukturierten Erkenntnissen, konkreten Maßnahmen und messbaren Verbesserungen.

Weiterlesen …

30.10.2025

Datenschutz auf der Website: Die 7 Pflicht‑Bausteine für 2025

Viele Unternehmenswebsites sammeln heute Daten – oft unbeabsichtigt. Dieser Beitrag erklärt verständlich, worauf es ankommt, welche Rechtsgrundlagen gelten und wie Sie Ihre Website mit sieben klaren Bausteinen datenschutzsicher aufstellen.

Weiterlesen …