Der europäische Verband der Landmaschinenhersteller CEMA hat im Dezember 2025 einen Leitfaden zur Auslegung des Cyber Resilience Acts veröffentlicht. Das Dokument adressiert zentrale Auslegungsfragen, die sich bei der Umsetzung der Verordnung im Kontext landwirtschaftlicher Maschinen stellen. Es handelt sich um eine brancheninterne Interpretationshilfe ohne rechtsverbindlichen Charakter – die individuelle Verantwortung der Hersteller für die Konformität bleibt bestehen.
Warum braucht die Landmaschinenbranche eine eigene CRA-Auslegung?
Der Cyber Resilience Act (Verordnung 2024/2847) tritt ab dem 11. Dezember 2027 schrittweise in Kraft und erfasst nahezu alle Produkte mit digitalen Elementen, die auf den EU-Markt gebracht werden. Für Hersteller im Maschinen- und Anlagenbau bedeutet dies: Nahezu jede Maschine mit elektronischem Komponenten und Datenverbindung – sei es über USB, Bluetooth, GPS oder OBD – fällt in den Anwendungsbereich der Verordnung.
Anders als bei Regulierungen mit langer Normungsgeschichte fehlen für den CRA derzeit noch die konkreten harmonisierten Normen, die Herstellern eine Vermutungswirkung für die Konformität verschaffen. In dieser Phase der Unsicherheit dienen branchenspezifische Auslegungshilfen wie die CEMA-Guidance dazu, ein gemeinsames Verständnis innerhalb einer Branche zu schaffen und den Austausch mit Normungsgremien sowie Marktaufsichtsbehörden vorzubereiten.
Der CEMA-Leitfaden konzentriert sich auf Fragestellungen, die sich aus der besonderen Struktur der Landmaschinenbranche ergeben: komplexe Wertschöpfungsketten mit zahlreichen Zulieferern, lange Produktlebenszyklen, überwiegend dezentrale Update-Verteilung über Händlernetze und eine heterogene Produktlandschaft von einfachen Anbaugeräten bis zu vollvernetzten Präzisionsmaschinen.
CRA im Zusammenspiel mit anderen EU-Vorschriften
Der Cyber Resilience Act tritt nicht isoliert auf. Sie ist Teil eines regulatorischen Gesamtgefüges, in dem verschiedene EU-Vorschriften unterschiedliche Aspekte der Produktsicherheit und Cybersecurity adressieren.
Die Maschinenverordnung (EU) 2023/1230 regelt die grundlegenden Sicherheitsanforderungen an Maschinen, einschließlich funktionaler Sicherheit. Die CRA ergänzt diese um spezifische Cybersecurity-Anforderungen für digitale Elemente. Beide Regelwerke gelten parallel, soweit sich ihre Anforderungen nicht überschneiden. Landmaschinen unterliegen in der Regel beiden Regelwerken: der Maschinenverordnung für die mechanische und funktionale Sicherheit, dem CRA für die Cybersecurity der integrierten elektronischen Komponenten und Systeme.
Die NIS2-Richtlinie (EU) 2022/2555 hingegen richtet sich an Betreiber kritischer Infrastrukturen und wesentlicher Dienste – nicht an Produkthersteller. Landwirtschaftliche Betriebe fallen in der Regel nicht unter die NIS2-Definition kritischer Einrichtungen. Dennoch kann der CRA indirekt eine Verbindung zur NIS2 herstellen, wenn Produkte in kritischen Sektoren eingesetzt werden und als kritische Produkte im Sinne von Anhang IV klassifiziert werden.
Der Blue Guide zur Umsetzung von Produktvorschriften dient als zentrale Referenz für Grundbegriffe wie “Inverkehrbringen”, “Bereitstellung auf dem Markt” oder “wesentliche Änderung”. Die CEMA-Guidance greift diese Begriffe auf und wendet sie auf die spezifischen Gegebenheiten landwirtschaftlicher Maschinen an.
Ein wichtiger Unterschied zu sektorspezifischen Regelwerken: Artikel 2 Absatz 5 lässt Ausnahmen oder Einschränkungen zu, wenn andere EU-Vorschriften dasselbe oder ein höheres Schutzniveau erreichen. Für die Landmaschinenbranche ist derzeit kein solches Regelwerk erkennbar, das den CRA verdrängen könnte. Der CRA gilt daher in vollem Umfang.
Gerade im Zusammenspiel von Maschinenverordnung, CRA und weiteren EU-Regelwerken entstehen in der Praxis häufig Abgrenzungsfragen. Wenn Sie klären möchten, welche Anforderungen für Ihre Maschinen parallel gelten und wo Überschneidungen bestehen, kann ein kurzes Einordnungsgespräch sinnvoll sein.
Horizontale und vertikale Harmonisierung
Die CRA verweist in den wesentlichen Cybersecurity-Anforderungen (Anhang I) auf einen risikobasierten Ansatz. Hersteller müssen eine Cybersecurity-Risikobewertung durchführen und auf dieser Basis ein angemessenes Sicherheitsniveau gewährleisten. Die konkrete Ausgestaltung dieser Anforderungen wird durch harmonisierte europäische Normen spezifiziert – sobald diese verfügbar sind.
Für die CRA sind zwei Kategorien von Normen relevant: horizontale Normen, die produktübergreifend gelten, und vertikale Normen, die sektorspezifische Anforderungen konkretisieren.
Die EN 40000-Normenserie entwickelt sich derzeit als horizontale Norm zur CRA und soll grundlegende Cybersecurity-Anforderungen für alle Produktkategorien abdecken. Parallel dazu entstehen im Rahmen von ETSI vertikale Normen (ETSI EN 304 6xx-Serie), die auf spezifische Produktgruppen zugeschnitten sind.
Für die Landmaschinenbranche ist die IEC 62443-Normenfamilie von besonderer Bedeutung. Diese wurde ursprünglich für industrielle Automatisierungssysteme entwickelt und wird zunehmend auch für eingebettete Systeme in Maschinen herangezogen. Die IEC 62443 liefert eine strukturierte Methodik für Security-Anforderungen auf Komponenten- und Systemebene sowie für den Security Development Lifecycle.
Wichtig ist: Normen sind keine Gesetze. Sie bieten eine Vermutungswirkung für die Konformität, ihre Anwendung ist aber nicht zwingend. Hersteller können auch durch andere technische Lösungen die Konformität mit den wesentlichen Anforderungen des CRAs nachweisen. Allerdings erleichtert die Anwendung harmonisierter Normen die Konformitätsbewertung und schafft Rechtssicherheit.
Anwendungsbereich, Verantwortungsteilung und Support-Perioden
Der CEMA-Leitfaden konzentriert sich auf die Themenbereiche, die für Hersteller landwirtschaftlicher Maschinen besonders relevant sind.
Anwendungsbereich und Definitionen
Der CRA erfasst alle Produkte mit digitalen Elementen, deren bestimmungsgemäße Verwendung oder vernünftigerweise vorhersehbare Nutzung eine Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Entscheidend ist nicht, ob die Verbindung permanent besteht, sondern ob die technische Möglichkeit zur Datenverbindung vorhanden ist.
Die CEMA-Guidance stellt klar: Eine landwirtschaftliche Maschine fällt in den Anwendungsbereich, wenn mindestens die bestimmungsgemäße Verwendung oder die vernünftigerweise vorhersehbare Nutzung eine Datenverbindung ermöglicht. Das kann auch eine reine Diagnoseschnittstelle sein, die nur bei Wartungsvorgängen genutzt wird, oder ein JTAG-Port auf einem Mikrocontroller, der für Firmware-Updates vorgesehen ist.
Die Abgrenzung zwischen “vernünftigerweise vorhersehbarer Nutzung” und “vernünftigerweise vorhersehbarem Missbrauch” ist dabei praxisrelevant. Vernünftigerweise vorhersehbare Nutzung umfasst alle Anwendungsszenarien, die sich aus den bereitgestellten Funktionen ergeben, auch wenn sie nicht ausdrücklich in der Bedienungsanleitung beschrieben sind. Missbrauch hingegen liegt vor, wenn eine Nutzung außerhalb des vorgesehenen Kontexts erfolgt und spezialisiertes Wissen erfordert, das ein typischer Nutzer nicht besitzt.
Wesentliche Änderung
Eine wesentliche Änderung im Sinne des CRAs liegt vor, wenn eine Modifikation nach dem Inverkehrbringen die Konformität mit den wesentlichen Cybersecurity-Anforderungen beeinträchtigt oder den bestimmungsgemäßen Verwendungszweck verändert. Jede Änderung erfordert eine Auswirkungsanalyse durch den Modifikator, die dokumentiert werden muss – auch wenn die Änderung nicht als wesentlich eingestuft wird.
Die Konsequenz einer wesentlichen Änderung: Der Modifikator wird zum Hersteller im Sinne des CRAs und muss das Konformitätsbewertungsverfahren erneut durchlaufen. Dies gilt auch für Änderungen an Ersatzteilen, wenn diese nicht mehr als identisch gelten können.
OEM-Zulieferer-Beziehung und Due Diligence
Die Verantwortungsteilung zwischen Herstellern (OEMs) und Zulieferern von Komponenten ist eine der komplexesten Fragen der CRA-Umsetzung. Artikel 13 Absatz 5 verlangt von Herstellern “Due Diligence” bei der Integration von Komponenten Dritter, um sicherzustellen, dass diese die Cybersecurity des Gesamtprodukts nicht beeinträchtigen.
Die CEMA-Guidance stellt klar: Der OEM trägt die Gesamtverantwortung für die Konformität des Endprodukts. Seine Due Diligence umfasst die Auswahl geeigneter Komponenten auf Basis der eigenen Risikobewertung, die Prüfung, ob die Konformitätserklärung des Zulieferers den CRA abdeckt, und die Integration sowie Konfiguration gemäß den Herstelleranweisungen des Zulieferers.
Wenn eine Komponente separat auf dem Markt bereitgestellt wird und CE-gekennzeichnet ist, vereinfacht dies die Due Diligence des OEM. Wenn die Komponente hingegen nur zur Integration gefertigt wird und nicht separat in Verkehr gebracht wird, kann die Verantwortungsteilung vertraglich geregelt werden. In jedem Fall muss der Zulieferer ausreichende Informationen bereitstellen, damit der OEM seine Due Diligence durchführen kann.
Die Verantwortungsteilung zwischen OEM und Zulieferern ist einer der kritischsten Punkte bei der CRA-Umsetzung. Gerne besprechen wir unverbindlich, wie sich Due-Diligence-Pflichten, vertragliche Regelungen und technische Nachweise sauber strukturieren lassen.
Komponenten zur Integration: Secure by Default
Eine besonders praxisrelevante Frage behandelt die CEMA-Guidance in einem separaten Abschnitt: Dürfen Komponenten, die zur Integration in ein Endprodukt bestimmt sind, ohne aktivierte Sicherheitsfunktionen bereitgestellt werden?
Die Antwort lautet: Ja, unter bestimmten Bedingungen. Die Begründung: Wenn eine Komponente bereits vollständig konfiguriert und gesichert ist, erschwert dies die Integration erheblich. Der OEM müsste zunächst Sicherheitsfunktionen deaktivieren, um die Integration durchzuführen, und danach neu konfigurieren – was zusätzliche Angriffsfläche schaffen kann.
Beispiel: Ein Steuergerät mit kryptografischem Modul wird ohne vorprovisionierte Schlüssel und mit deaktivierten privilegierten Funktionen ausgeliefert. Der OEM kann während der Integration die Schlüssel einspielen und die Sicherheitsfunktionen aktivieren, ohne dass Authentifizierung erforderlich ist.
Voraussetzung ist jedoch, dass der Zulieferer dem OEM präzise Anweisungen bereitstellt, wie die Komponente nach der Integration sicher zu konfigurieren ist (Anhang II Nummer 8 Buchstabe f). Alle notwendigen Sicherheitsfunktionen müssen zum Zeitpunkt der Bereitstellung auf dem Markt vorhanden sein – sie müssen nur nicht zwingend aktiviert sein.
Diese Auslegung ermöglicht eine praxisgerechte Arbeitsteilung in der Lieferkette, ohne das Ziel des CRAs – ein sicheres Endprodukt – zu gefährden.
Support-Zeiträume
Der CRA verlangt von Herstellern, dass sie Schwachstellen während eines festgelegten Support-Zeitraums beheben. Dieser Zeitraum muss die erwartete Nutzungsdauer des Produkts widerspiegeln und beträgt mindestens fünf Jahre.
Für die Landmaschinenbranche schlägt CEMA eine Support-Periode von mindestens zehn Jahren vor. Die Begründung: Landwirtschaftliche Maschinen haben typischerweise lange Nutzungszyklen. Traktoren werden oft acht bis zehn Jahre intensiv als Hauptarbeitsgerät eingesetzt und danach als Zusatzfahrzeuge weitergenutzt. Sie werden in höheren Stückzahlen produziert und stellen daher potenzielle Hauptziele für Cyberangriffe dar.
Die Support-Periode von zehn Jahren steht unter zwei Vorbehalten: Die Zulieferer von Komponenten, die Kernfunktionen bereitstellen, müssen ebenfalls über diesen Zeitraum Informationen zu Schwachstellen liefern. Und externe Faktoren, die die Kompatibilität beeinträchtigen – etwa die Obsoleszenz von Entwicklungswerkzeugen oder der Verlust von Expertise – dürfen Updates nicht unmöglich machen.
Ergänzend gilt: Nach Veröffentlichung eines Updates müssen diese für zehn Jahre verfügbar bleiben und installierbar sein.
Abgrenzungen und typische Missverständnisse
Die CEMA-Guidance adressiert auch mehrere häufige Fehlinterpretationen des CRAs.
Orientierung in der Vorbereitungsphase
Der CEMA-Leitfaden ist ein Beispiel dafür, wie Branchenverbände ihren Mitgliedern in der Phase vor Inkrafttreten neuer Regulierungen Orientierung bieten können. Er ersetzt weder die Verordnung selbst noch die künftigen harmonisierten Normen, und er ist rechtlich nicht verbindlich. Dennoch erfüllt er eine wichtige Funktion: Er schafft ein gemeinsames Verständnis innerhalb einer Branche für Auslegungsfragen, die sich aus den Besonderheiten des Sektors ergeben.
Für Hersteller landwirtschaftlicher Maschinen bedeutet der CRA einen erheblichen Anpassungsbedarf in Entwicklungsprozessen, Lieferantenmanagement und Support-Strukturen. Die Vorbereitung sollte frühzeitig beginnen, auch wenn die Verordnung erst ab Dezember 2027 voll anwendbar ist. Zentrale Handlungsfelder sind die Implementierung eines Schwachstellenmanagements, die vertragliche und technische Klärung der Verantwortungsteilung mit Zulieferern, die Festlegung von Support-Perioden und die Anpassung der technischen Dokumentation.
Die weitere Entwicklung harmonisierter Normen, die Veröffentlichung von Durchführungsrechtsakten der Kommission sowie die Praxis der Marktaufsichtsbehörden werden die Auslegung der CRA in den kommenden Monaten konkretisieren. Branchenspezifische Leitfäden wie die CEMA-Guidance tragen dazu bei, dass diese Konkretisierung die technische und wirtschaftliche Realität der betroffenen Sektoren angemessen berücksichtigt.
Branchenspezifische Leitfäden wie die CEMA-Guidance bieten wichtige Orientierung, ersetzen aber keine individuelle Bewertung. Wenn Sie verstehen möchten, was der CRA konkret für Ihre Produkte, Ihre Lieferkette und Ihre Support-Strategie bedeutet, lässt sich das in einem unverbindlichen Gespräch strukturiert einordnen.
