23.06.2025
CRA & B2B: Diese digitalen Industrieprodukte fallen jetzt unter EU-Vorgaben
Der Cyber Resilience Act (CRA) der EU betrifft nicht nur klassische Verbrauchsprodukte oder Smart-Home-Geräte, sondern hat erhebliche Auswirkungen auf den professionellen und industriellen B2B-Sektor. Hersteller, Importeure, Systemintegratoren und Händler von digitalen Produkten im professionellen Einsatzbereich müssen sich intensiv mit den neuen Cybersicherheitsanforderungen auseinandersetzen.
Inhalt
- Industrielle B2B-Produkte im Fokus des CRA
- Vom CRA betroffene Unternehmen und Branchen im B2B-Bereich
- Typische B2B-Produkte im Anwendungsbereich des Cyber Resilience Act
- Was ist nicht erfasst? Die wichtigsten Ausnahmen
- CRA-Pflichten für Hersteller und Marktakteure
- Unsere Leistungen für den B2B-Sektor
- Warum jetzt handeln?
Dr. Jan Scharfenberg
Partner Informationssicherheit & Geschäftsführer
Industrielle B2B-Produkte im Fokus des CRA
Der Cyber Resilience Act betrifft nicht nur Verbraucherprodukte, sondern richtet sich klar an Hersteller, Importeure und Integratoren digitaler Produkte mit eigenständiger Datenverarbeitung – auch im B2B-Umfeld.
Rein professionell oder industriell genutzte Produkte sind ausdrücklich erfasst, sofern sie nicht anderweitig durch sektorspezifische EU-Rechtsakte reguliert werden.
Vom CRA betroffene Unternehmen und Branchen im B2B-Bereich
Vom Cyber Resilience Act betroffen sind zahlreiche Akteure entlang der industriellen Wertschöpfungskette. Dazu zählen insbesondere:
- Maschinen- und Anlagenbauer, die ihre Systeme zunehmend digitalisieren und vernetzen,
- Hersteller von Automatisierungs- und Steuerungstechnik,
- Anbieter von industriellen Kommunikations- und Netzwerklösungen,
- Hersteller von Embedded Systems, Sensorik und Aktorik für industrielle Anwendungen,
- Softwareanbieter für industrielle Steuerungs-, Visualisierungs- oder Überwachungssysteme,
- Systemintegratoren, die komplexe industrielle Gesamtsysteme projektieren und realisieren,
- sowie Importeure und Großhändler für digitale Industriegüter.
Gerade in diesen Bereichen ist eine frühzeitige Auseinandersetzung mit den neuen Anforderungen entscheidend, um regulatorische Risiken, Projektverzögerungen und Lieferkettenprobleme zu vermeiden.
Kostenloser Leitfaden: Cyber Resiliance Act in 10 Schritten umsetzen (inkl. Compliance-Schnelltest)
Unser Praxis-Leitfaden zeigt Ihnen in 10 klaren Schritten, wie Sie die Anforderungen des CRA sicher und strategisch umsetzen. Inklusive Compliance-Schnelltest für den Sofort-Check. Jetzt kostenlos anfordern!
Typische B2B-Produkte im Anwendungsbereich des Cyber Resilience Act
Die Bandbreite betroffener B2B-Produkte ist vielfältig:
- Industrielle Steuerungssysteme (SPS, SCADA, HMI)
- Sensoren und Aktoren mit integrierter digitaler Verarbeitung
- Industrie-Router und Embedded-Komponenten
- B2B-Softwareprodukte mit eigenständiger Funktionalität
- Maschinenkomponenten mit Netzwerkanbindung
- Kommunikations- und Steuerungseinheiten für Energienetze, Bahninfrastruktur oder industrielle Anlagen
Was ist nicht erfasst? Die wichtigsten Ausnahmen
Gemäß Artikel 2 Absatz 2 CRA gelten unter anderem folgende Ausnahmen:
- Medizinprodukte gemäß MDR (EU) 2017/745 und IVDR (EU) 2017/746
- Kraftfahrzeuge nach Typgenehmigungsverordnung (EU) 2018/858
- Luftfahrzeuge, Seeschiffe und Verteidigungsgüter unter spezifischen EU-Regimen
- Open-Source-Software, sofern unentgeltlich und nicht kommerziell vertrieben
Besonderheit: Software als Medizinprodukt (SaMD) bleibt vom CRA ausgenommen, unterliegt jedoch gleichzeitig den umfassenden Sicherheitsanforderungen der MDR und ggf. IEC 81001-5-1.
CRA-Pflichten für Hersteller und Marktakteure
Der CRA etabliert ein umfassendes Pflichtenprogramm entlang der gesamten Lieferkette:
- Security by Design & Default : Sicherheitsanforderungen müssen bereits im Entwicklungsprozess umfassend berücksichtigt werden.
- Risikobasierte Konformitätsbewertung : Je nach Risikoprofil des Produkts sind unterschiedliche Bewertungsverfahren anzuwenden, stets mit abschließender CE-Kennzeichnung.
- Technische Dokumentation : Umfangreiche Dokumentationspflichten zur Sicherheitsarchitektur, Risikobewertung und eingesetzten Software-Komponenten (SBOM).
- Schwachstellenmanagement : Pflicht zur kontinuierlichen Schwachstellenüberwachung und schnellen Meldung entdeckter Sicherheitslücken.
- Update-Pflichten : Bereitstellung von Sicherheitsupdates für die gesamte Lebensdauer des Produkts.
- Lieferkettenverantwortung : Importeure, OEMs und Händler werden in die Verantwortung genommen.
Unsere Leistungen für den B2B-Sektor
Als ISiCO unterstützen wir Unternehmen praxisnah und spezialisiert bei der CRA-Umsetzung im B2B-Bereich:
- Produktanalyse & Relevanzprüfung : Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – inklusive Prüfung etwaiger Ausschlusstatbestände wie MDR.
- Konformitätsbewertung & Technische Dokumentation : Begleitung durch alle Umsetzungsschritte inklusive Erstellung aller erforderlichen Nachweise.
- Sicherheitsarchitektur & Prozessorientierung : Integration der CRA-Vorgaben in Entwicklungs- und Qualitätssicherungsprozesse sowie Update-Strategien.
- Vertragsgestaltung & Haftungsvermeidung : Gestaltung compliance-sicherer Lieferkettenvereinbarungen und Absicherung von Verantwortlichkeiten gegenüber Partnern und Kunden.
Informationssicherheit, die schützt – und weiterdenkt
Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.
Warum jetzt handeln?
Die Einhaltung des CRA wird ab voraussichtlich 2027 verpflichtend. Die zweijährige Übergangsfrist läuft bereits. Da zukünftig für nahezu alle digitalen B2B-Produkte eine CE-Kennzeichnung vorgeschrieben wird und empfindliche Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des globalen Umsatzes drohen, ist frühzeitiges Handeln entscheidend.
Unternehmen, die sich jetzt vorbereiten, schaffen nicht nur Rechtssicherheit, sondern können Compliance als Qualitätsmerkmal im B2B-Geschäft und gegenüber OEM-Kunden aktiv nutzen.
Weitere Neuigkeiten
29.05.2026
Microsoft 365 & Datenschutz: Risiken erkennen, Maßnahmen umsetzen, DSGVO-konform arbeiten
Ob sich Microsoft 365 datenschutzkonform einsetzen lässt, ist weder pauschal mit Ja noch mit Nein zu beantworten — entscheidend ist der konkrete Einsatz im jeweiligen Unternehmen. Die Lage hat sich seit 2022 verbessert, doch Teile der damaligen Behördenkritik bestehen fort. Wir zeigen die tatsächlichen Risiken, die aktuelle Behördenhaltung und die Maßnahmen, die jetzt zählen.
26.05.2026
NIS2 Tools für KMUs — warum Tools helfen, aber keine Compliance erkaufen
Kein Tool macht ein Unternehmen automatisch NIS2-konform. Tools beschleunigen die Umsetzung nur, wenn Risiken, Verantwortlichkeiten und Prozesse vorher geklärt sind. Wir zeigen, welche Tool-Kategorien Sie wirklich brauchen, wie ein pragmatischer Basis-Stack aussieht und welche Fragen Sie vor jedem Kauf klären sollten.
Weiterlesen … NIS2 Tools für KMUs — warum Tools helfen, aber keine Compliance erkaufen
21.05.2026
Datenschutz & IT-Sicherheit im M&A-Verfahren — Prüfrahmen für Datenwert, Risiken und Deal-Folgen
Daten erhöhen den Unternehmenswert nur, wenn sie wirtschaftlich nutzbar, rechtlich verwertbar und technisch geschützt sind. Fehlende Rechtsgrundlagen, schwache IT-Sicherheit oder unklare Datenqualität können aus einem vermeintlichen Werttreiber ein konkretes Deal-Risiko machen. Wir zeigen, wie Private-Equity-Investoren und Deal Teams Datenwert, Datenschutz und IT-Sicherheit in der Due Diligence strukturiert prüfen und in konkrete Deal-Mechanik übersetzen.