Wer eine Maschine kauft, kauft die Maschine. Nicht die Steuerung darin, nicht das Bussystem, nicht die eingebettete Firmware eines Zulieferers. Genau diese Unterscheidung sorgt beim Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) regelmäßig für Verwirrung. Die häufigste Frage lautet zwar: „Was muss ein Hersteller tun?“. Die eigentlich entscheidende Frage ist aber eine andere: Wer in der Lieferkette liefert wem was, und wer behebt am Ende eine Schwachstelle?
Wenn Sie eine Maschine bauen und darin eine Steuerung verbauen, sind Sie gegenüber Ihrem Betreiber für die Schwachstellen und Updates der ganzen Maschine verantwortlich. Der Steuerungshersteller liefert Ihnen seine Komponente, seine Nachweise und seine Updates. Er fährt aber nicht zu Ihrem Kunden, um eine Software-Lücke in der eingebauten Steuerung zu schließen. Das ist Ihre Aufgabe als Hersteller der Maschine.
Dieser Artikel ordnet die CRA-Rollen entlang der Lieferkette ein und konzentriert sich auf das, was in der Praxis am meisten Reibung erzeugt: die Beziehung zwischen Lieferant und Hersteller.
Eine vollständige Übersicht aller Herstellerpflichten finden Sie auf unserer CRA-Hauptseite.
Der CRA unterscheidet die Wirtschaftsakteure nach ihrer Stellung in der Lieferkette. Den größten Pflichtenkatalog trägt der Hersteller. Einführer und Händler haben vor allem Kontroll- und Weitermeldepflichten.
| Aufgabe | Hersteller | Einführer | Händler |
|---|---|---|---|
| Software-Stückliste (SBOM) erstellen | ja | nein | nein |
| Schwachstellen beheben und Updates bereitstellen | ja | nein | nein |
| Konformität prüfen (CE, Dokumentation) | erstellt sie | prüft vor Inverkehrbringen | prüft beim Bereitstellen |
| Bei Kenntnis einer Schwachstelle | behandelt und meldet | informiert den Hersteller | informiert den Hersteller |
| Behörden melden bei aktiv ausgenutzter Schwachstelle | ja | nein (informiert Hersteller) | nein (informiert Hersteller) |
Der Hersteller trägt die inhaltlichen Pflichten zur Schwachstellenbehandlung und zur SBOM. Der Einführer prüft vor dem Inverkehrbringen unter anderem CE-Kennzeichnung, technische Dokumentation und Konformitätsbewertung und informiert bei Kenntnis einer Schwachstelle unverzüglich den Hersteller. Der Händler prüft das CE-Kennzeichen und die Herstellerpflichten und meldet eine ihm bekannte Schwachstelle ebenfalls an den Hersteller.
Wichtig für die Lieferkette: Wer ein Produkt unter eigenem Namen oder eigener Marke in Verkehr bringt oder es wesentlich verändert, gilt selbst als Hersteller und unterliegt den vollen Herstellerpflichten. Diese Gleichstellung trifft den Maschinenbau häufig, dazu weiter unten mehr.
Was eine SBOM nach dem CRA ist
Eine Software-Stückliste (Software Bill of Materials, SBOM) ist ein Inventar der Software-Bestandteile eines Produkts. Der CRA verlangt vom Hersteller, Schwachstellen und Komponenten zu ermitteln und zu dokumentieren, unter anderem durch eine SBOM in einem gängigen maschinenlesbaren Format. Die gesetzliche Mindesttiefe ist begrenzt: Aus der SBOM müssen „zumindest die obersten Abhängigkeiten“ hervorgehen. Eine lückenlose Tiefenanalyse bis zur letzten Transitiv-Abhängigkeit fordert das Gesetz an dieser Stelle nicht.
Die SBOM ist kein öffentliches Dokument. Der Hersteller muss sie nicht veröffentlichen, sondern nur auf begründetes Verlangen der Marktüberwachungsbehörde vorlegen. Auch gegenüber dem Nutzer besteht keine Pflicht zur Herausgabe der SBOM. Die Informationspflichten verlangen lediglich, den Ort anzugeben, an dem die SBOM zur Verfügung steht, falls der Hersteller sie bereitstellt.
Damit ist die SBOM zunächst ein internes Werkzeug. Genau hier beginnt die Lieferketten-Frage: Wenn Sie fremde Komponenten integrieren, woher wissen Sie, was darin steckt?
Wann fällt eine interne Komponente selbst unter den CRA?
Der CRA definiert ein Produkt mit digitalen Elementen als Hardware- oder Software-Produkt einschließlich Komponenten, die getrennt in den Verkehr gebracht werden. Das maßgebliche Merkmal aus dem Verordnungstext ist also die getrennte Bereitstellung am Markt.
Daraus folgt: Eine frei erhältliche Steuerung ist selbst ein CRA-Produkt ihres Herstellers. Sie wird eigenständig vermarktet, also trägt der Steuerungshersteller dafür die Herstellerpflichten. Anders kann eine Komponente zu bewerten sein, die ausschließlich für eine bestimmte Maschine konstruiert und nicht separat am Markt angeboten wird. Die Auslegungshilfe der Europäischen Kommission ordnet solche Fälle anhand der separaten Bereitstellung ein. Dieser Leitfaden ist ausdrücklich nicht rechtsverbindlich und liegt bislang nur als Entwurf vor.
In der Praxis heißt das: Kaufen Sie eine am Markt erhältliche Steuerung zu, ist sie ein eigenständiges CRA-Produkt mit eigenem Hersteller. Sobald Sie sie in Ihre Maschine integrieren, wird sie für Sie zu einer integrierten Drittkomponente, für die besondere Sorgfaltspflichten gelten.
Welche Nachweise und welche SBOM Sie von Ihren Lieferanten brauchen
Hier liegt der Kern der Lieferantenbeziehung. Wer Komponenten von Dritten integriert, muss die gebotene Sorgfalt walten lassen, damit diese Komponenten die Cybersicherheit des Gesamtprodukts nicht beeinträchtigen. Das gilt ausdrücklich auch für freie und quelloffene Software.
Was „gebotene Sorgfalt“ konkret bedeutet, konkretisiert Erwägungsgrund 34 des CRA. Genannt werden als geeignete Maßnahmen unter anderem: die Konformität der Komponente prüfen (einschließlich CE-Kennzeichnung, soweit der CRA gilt), darauf achten, dass die Komponente regelmäßige Sicherheitsaktualisierungen erhält, einschlägige Schwachstellendatenbanken konsultieren oder zusätzliche Sicherheitsprüfungen durchführen.
Die Auslegungshilfe der Kommission beschreibt zwei sich ergänzende Pflichten: die Risikoabschätzung für das Gesamtprodukt und die Sorgfaltsprüfung für integrierte Drittkomponenten. Für die Konformität werden integrierte Drittkomponenten wie externe Inputs behandelt, deren Eigenschaften der Hersteller bei der Integration per Sorgfaltsprüfung verifizieren muss. Der Hersteller kann fremde Komponenten nicht selbst neu entwickeln, also muss er prüfen, ob sie das leisten, was sein Produkt von ihnen braucht. Als Nachweise nennt der Entwurf etwa technische Spezifikationen, Sicherheitsdokumentation oder Konformitäts- und Assurance-Unterlagen des Komponentenherstellers, ergänzt um eigene Funktionstests, wo angebracht.
Findet der Hersteller eine Schwachstelle in einer integrierten Komponente, meldet er sie an die Person oder Stelle, die diese Komponente herstellt oder wartet, und behebt sie nach den CRA-Anforderungen. Hat er selbst eine Korrektur entwickelt, teilt er den Code oder die Unterlagen dem Komponenten-Maintainer mit, möglichst in maschinenlesbarem Format.
Sollten Sie eine SBOM von Ihren Lieferanten verlangen?
Der CRA verpflichtet jeden Hersteller, eine SBOM für sein eigenes Produkt zu erstellen. Eine ausdrückliche Vorgabe, die sagt „fordere eine SBOM von deinem Lieferanten an“, gibt es nicht. Es ist aber eine begründete Praxisempfehlung, genau das zu tun. Die Herleitung ist transparent: Erwägungsgrund 34 verlangt, die Eigenschaften integrierter Komponenten zu kennen und zu verifizieren, und der Kommissions-Entwurf nennt Dokumentation des Komponentenherstellers ausdrücklich als geeigneten Nachweis. Eine SBOM des Lieferanten ist genau eine solche Dokumentation. Sie macht sichtbar, welche Bestandteile in der zugekauften Komponente stecken, und erleichtert Ihnen den Schwachstellendatenbank-Check.
Die VDMA-Dokumentenreihe zur Supply-Chain-Security geht in dieselbe Richtung: Empfohlen werden Lieferantenselbstauskünfte, klare Mindestanforderungen im Lastenheft und die vertragliche Absicherung dieser Punkte. Stellt ein Lieferant für seine Komponente Konformitätsbewertungen bereit, kann der Maschinenbauer für diese Komponente von einer dokumentierten Konformitätsvermutung ausgehen. Das entlastet ihn nicht von der Sorgfaltsprüfung des Gesamtprodukts, reduziert aber den Aufwand für die einzelne Komponente.
Beispiel Maschinenbau: Die Maschine ist das Produkt, nicht die Steuerung
Nehmen Sie einen Maschinenbauer, der in seine Anlage eine zugekaufte Steuerung integriert. Im Sinne des CRA ist die Maschine ein Produkt mit digitalen Elementen, das wiederum aus Teilprodukten besteht, die ebenfalls vom CRA betroffen sind. Wer das Gesamtprodukt unter eigenem Namen oder eigener Marke in Verkehr bringt, gilt als Hersteller und trägt die vollen Herstellerpflichten für die Maschine. Der CRA verlangt vom Hersteller, dafür zu sorgen, dass Schwachstellen während des Unterstützungszeitraums behandelt werden, und zwar für das Produkt einschließlich seiner Komponenten.
Gegenüber dem Betreiber heißt das: Der Maschinenbauer ist für Schwachstellen und Updates der ganzen Maschine verantwortlich, unabhängig davon, welche Steuerung verbaut ist. Der Betreiber soll die Innereien gar nicht sehen müssen. Für ihn ist es die Maschine eines Herstellers, und dieser eine Hersteller ist sein Ansprechpartner.
Die Hardware-Analogie macht das anschaulich: Ein Hersteller wie Siemens oder ABB tauscht auch keine defekte Steuerung direkt in der ausgelieferten Maschine. Das macht der Maschinenbauer im Rahmen seiner Verantwortung für die Maschine. Genau dieselbe Logik gilt für Software-Updates und Schwachstellenbehandlung. Der Komponentenhersteller liefert die Updates für seine Komponente an Sie. Was beim Betreiber ankommt, verantworten Sie als Hersteller der Maschine.
Für Maschinen kommt zudem die Maschinenverordnung (MVO, Verordnung (EU) 2023/1230) ins Spiel. Sie verlangt unter anderem, dass eine Maschine gegen Korrumpierung geschützt ist und dass die für den sicheren Betrieb installierte Software erkennbar bleibt. Maschinen können damit gleichzeitig unter den CRA und die MVO fallen. Wie sich beide Rechtsakte verzahnen, behandeln wir gesondert unter CRA und Maschinenverordnung.
Was Sie als Maschinenbauer jetzt tun sollten
Das Lieferantenmanagement steht im Mittelpunkt. Die folgenden Schritte sind eine handlungsorientierte Praxisempfehlung, abgeleitet aus den genannten Pflichten:
- Klären Sie Ihre eigene Rolle im CRA. Wer integriert und unter eigenem Namen oder eigener Marke in Verkehr bringt, ist in aller Regel Hersteller im Sinne des CRA.
- Fordern Sie von Ihren Lieferanten Konformitätsnachweise (einschließlich CE, soweit der CRA gilt) und die SBOM der Komponenten an. Sichern Sie diese Anforderungen vertraglich ab.
- Bauen Sie eine eigene SBOM Ihrer Maschine auf, die zumindest die obersten Abhängigkeiten abbildet.
- Etablieren Sie einen Prozess zur Schwachstellenbehandlung und Update-Bereitstellung, inklusive eines Meldewegs an die Komponenten-Maintainer.
- Bereiten Sie die Meldewege für aktiv ausgenutzte Schwachstellen vor, damit Sie die gesetzlichen Fristen einhalten können.
Wer diese fünf Punkte sauber aufsetzt, hat den Großteil der Lieferketten-Anforderungen des CRA abgedeckt und kann gegenüber Betreiber und Marktüberwachungsbehörde belegen, dass die Verantwortung für die ganze Maschine bei einer Stelle liegt: bei Ihnen.
Kommentar hinzufügen