Skip to main content
AllgemeinStartseite

Cyber Resilience Act (CRA) – Software Bill of Materials (SBOM)

Ein gezeichneter Mann der über einen Abhang läuft

Cybersicherheitsgesetze betreffen jetzt nahezu alle Hersteller – von Anlagenbauern bis zum kleinsten Komponentenlieferanten

Die neuen EU‑Vorgaben zur Cyber- und Produktsicherheit gelten für alle Produkte mit digitalen Elementen – also für Baugruppen, Platinen, Steuerungen, Firmware und Software, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dazu zählen Anlagenbauer, Maschinenbauer, Komponenten‑ und Platinenhersteller sowie Einzelteillieferanten mit eigener Software/Firmware, sobald ihre Produkte in der EU in Verkehr gebracht werden.

Gleichzeitig verschärft die EU die Produktsicherheitsanforderungen über den Lebenszyklus, sodass digitale Risiken (Cyberrisiken) als Produktsicherheitsrisiken gelten. Das betrifft auch Unterlieferanten – denn Inverkehrbringer müssen die Nachweise entlang der Lieferkette einfordern. In vielen Branchen treiben zusätzlich NIS‑2‑pflichtige Kunden (kritische Sektoren) strengere Nachweise bei ihren Lieferanten ein.

Was sich ändert: Die wichtigsten Rechtsakte in Kürze

Cyber Resilience Act (CRA) – Cybersicherheit als Marktzulassungsbedingung

Der CRA ist die erste EU‑Verordnung, die verbindliche Cybersicherheitsanforderungen für alle „Produkte mit digitalen Elementen“ festlegt – von eingebetteter Software/ Firmware bis hin zu vernetzten Hardware‑Komponenten. Ohne Erfüllung dieser Anforderungen kein CE‑Kennzeichen und kein Marktzugang.

Kernpflichten für Hersteller:

  • Risikobewertung der digitalen Komponenten bereits in der Entwicklung (Security by Design), sowie sichere Standardeinstellungen (Security by Default).
  • Technische Dokumentation inkl. Dokumentation des Softwarestands (Versionen, Änderungen) und SBOM (Software Bill of Materials) für alle Softwarekomponenten.
  • Meldepflichten für Schwachstellen/Vorfälle (Stufen treten ab September 2026 in Kraft).
  • Update‑/Patch‑Pflichten über den gesamten Produktlebenszyklus (Supportzeitraum ist herstellerseitig festzulegen; „Lifecycle‑Security“).

Fristen:

  • September 2026: Start der Meldepflichten für Sicherheitsvorfälle/Schwachstellen.
  • Dezember 2027: Nur noch CRA‑konforme Produkte dürfen neu in Verkehr gebracht und betrieben werden (nach Ablauf der Übergangsfristen).

 

General Product Safety Regulation (GPSR) – Produktsicherheit 2.0

Seit Dezember 2024 gilt die GPSR und verlangt, physische und digitale Risiken entlang des gesamten Produktlebenszyklus zu beherrschen. Für digitale Produkte wirkt sie ergänzend zum CRA: Fehlt eine CRA‑Spezifizierung, greifen die GPSR‑Grundpflichten; Cybermängel gelten als Produktsicherheitsmängel.

 

EU‑Cybersicherheitsstrategie & NIS‑2 – Druck aus der Lieferkette

Die EU setzt auf Mindeststandards, Meldewege und Risikomanagement quer über Sektoren. NIS‑2 verpflichtet kritische Einrichtungen und Betreiber zu strengen Cybermaßnahmen – und diese fordern SBOM, Patch‑Prozesse und Nachweise konsequent von ihren Zulieferern ein.

 

Warum eine dauerhafte Überwachung nötig ist (und wie sie einfach gelingt)

CRA und GPSR verlangen kein einmaliges Projekt, sondern kontinuierliche Compliance:

  • Aktualisierte technische Dokumentation (Softwarestände, Änderungen, SBOM)
  • Regelmäßige Risikoanalysen & Schwachstellenmanagement über den Lebenszyklus
  • Nachweis der Updatepflichten (Planung, Verteilung, Historie)
  • Einbindung in interne Audits (jährlich/halbjährlich) zur dauerhaften Erfüllung der Pflichten

 

Das Problem vieler Unternehmen: Zeit, Struktur, Priorisierung

Häufig fehlen: SBOM‑Prozess, klare Vorlagen für Software‑/Firmware‑Dokumentation, Patch‑Historien, Zuständigkeiten – und pragmatische Wege, all das in den Alltag zu integrieren. (Branchenbeobachtungen und Kundenanforderungen gemäß EU‑Strategie & CRA‑Zielsetzung)

 

Unsere Antwort als Keil GmbH: Nicht kompliziert – sondern einfach

Wir übersetzen komplexe EU‑Pflichten in schlanke, auditfähige und sofort nutzbare Lösungen:

1) Dokumentation – fertig zum Auditeinsatz

  • SBOM‑Vorlagen und Tool‑Guides
  • Softwarestands‑Dokumentation (Versionen, Builds, Changes)
  • Update‑ & Patch‑Historien
  • Risikoanalyse‑Templates inkl. Security‑by‑Design/Default‑Checklisten
    (Anforderungen gemäß CRA/GPSR)

2) Dauerhafte Überwachung – integriert in interne Audits

  • Minimaler Compliance‑Kontrollplan (vierteljährlich/halbjährlich)
  • Meldepflicht & Updatepflicht im Blick (Reminder, Rollen, Eskalation)
  • Management‑KPIs für Produkt‑Cyberreife
    (Ausgerichtet an EU‑Strategie, CRA‑Lifecycle‑Security und GPSR)

3) Enablement & Begleitung

  • Rollen, Verantwortlichkeiten, Schulung
  • On‑the‑job‑Begleitung statt Großprojekt

Unser Prinzip: So viel wie nötig, so wenig wie möglich.
Ergebnis: Einfache Abläufe, geringer Aufwand, auditfest.

 

Fazit: Handeln, bevor Ausschreibungen es verlangen

Mit jeder neuen Ausschreibung steigen die Nachweiserwartungen (SBOM, Update‑Nachweise, Risikoberichte). Wer jetzt strukturiert vorgeht, behält Lieferfähigkeit und Marktzugang. (EU‑Strategie & CRA als Treiber)

 

Sie wollen ohne Bürokratie CRA/GPSR‑anforderungsgerecht werden und eine dauerhafte, einfache Überwachung etablieren?

Kontakt: berater@keil-group.de

 

Close Menu