Wann ein Anlagenbauer oder Integrator zum CRA-Hersteller wird
Kurz gefasst · Stand: Juni 2026
Ein Anlagenbauer oder Integrator wird nach dem Cyber Resilience Act (CRA) zum Hersteller, sobald eine Anlage unter eigenem Namen in Verkehr gebracht wird (Art. 3 Nr. 13) – oder eine Bestandsanlage wesentlich verändert wird (Art. 22). Maßgeblich ist nicht die technische Neuartigkeit der Integration, sondern eine einfache Frage: Wird eine definierte Maschine, Linie oder Anlage unter eigenem Typenschild und eigener Konformitätserklärung geliefert? Mit der Herstellerrolle geht die volle Verantwortung für das Schwachstellenmanagement des Gesamtprodukts über – begrenzt durch ein geschichtetes Modell, in dem die zugekauften Komponenten ihre eigenen Hersteller behalten.
„Wir bauen Maschinen, wir entwickeln keine Software." Mit diesem Satz stufen sich viele Anlagenbauer beim Cyber Resilience Act (CRA) selbst als nicht betroffen ein. Er führt in die Irre. Der CRA bemisst seine Pflichten an einer regulatorischen Rolle – der des Herstellers –, unabhängig davon, wie viel ein Unternehmen selbst entwickelt. Die eigentliche Frage ist damit, wann ein primär integrierendes Unternehmen in diese Rolle hineinwächst.
Der CRA knüpft die Pflichten an die Herstellerrolle
Hersteller im Sinne des CRA ist, wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt (Art. 3 Nr. 13). In diese Rolle fallen Integratoren regelmäßig, denn das Zusammenführen einzelner Komponenten zu einer ausgelieferten Anlage ist genau dieser Vorgang. Die Reihenfolge ist dabei entscheidend: Die CE-Kennzeichnung folgt aus der Herstellerrolle, nicht andersherum. Wer unter eigenem Namen in Verkehr bringt, ist Hersteller und bringt deshalb die CE-Kennzeichnung an und unterzeichnet die Konformitätserklärung.
Für die Einordnung ist die technische Neuartigkeit der Integration unerheblich. Das verbreitete Argument, man stecke „nur eine SPS mit Sensoren und Aktoren zusammen", ändert nichts: Sobald das Ergebnis als eigene Maschine unter eigenem Namen ausgeliefert wird, ist es ein CRA-Produkt des Anlagenbauers. Maßgeblich ist eine einfache, praxisnahe Frage – wird eine definierte Maschine, Linie oder Anlage unter eigenem Typenschild und eigener Konformitätserklärung geliefert? Wer für die Gesamtanlage ohnehin schon eine Konformitätserklärung unterzeichnet, etwa als Hersteller einer „Gesamtheit von Maschinen" nach Maschinenverordnung, hat die Herstellerrolle für dieses Produkt bereits übernommen. Der CRA schafft diese Rolle nicht neu – er legt eine zweite Anforderungsschicht darüber, sobald die Anlage digitale Elemente enthält.
Die wesentliche Änderung als zweiter Auslöser
Neben dem erstmaligen Inverkehrbringen kann auch ein Eingriff in eine Bestandsanlage die Herstellerpflichten auslösen. Eine wesentliche Änderung (Art. 22) führt dazu, dass das veränderte Produkt regulatorisch wie ein neues behandelt wird. Die Abgrenzung folgt dabei einem nachvollziehbaren Muster:
- Ein reiner Sicherheits-Bugfix ist in der Regel keine wesentliche Änderung – er stellt den ursprünglichen Sicherheitszustand wieder her.
- Eine neue Funktion oder eine erkennbar vergrößerte Angriffsfläche ist dagegen tendenziell wesentlich.
- Ob die Schwelle überschritten ist, hängt vom Einzelfall ab und ist anhand der Auswirkung auf die Cybersicherheit zu bewerten, nicht pauschal.
Einzelstück und Sonderanfertigung ändern an der Pflicht nichts
Ein weit verbreiteter Irrtum ist die Annahme, Einzelstücke oder Sonderanfertigungen seien ausgenommen. Das ist nicht der Fall: Die Herstellerpflicht gilt pro Produkt, nicht erst ab einer bestimmten Stückzahl. Auch die einmalig gebaute Speziallinie ist ein in Verkehr gebrachtes Produkt mit digitalen Elementen. Die Folge sind die vollen Herstellerpflichten für das Gesamtprodukt, einschließlich der zugekauften Fremd- und Open-Source-Komponenten.
Die Grenze verläuft entlang von Inverkehrbringen und Inbetriebnahme
Eine Grenze gibt es gleichwohl. Wer als reiner Monteur einzeln CE-gekennzeichnete Geräte beim Kunden verkabelt, ohne sie zu einem eigenen, unter eigenem Namen gelieferten Produkt zu verbinden, ist nicht Hersteller eines neuen Produkts. Diese Grenze verläuft entlang der Begriffe Inverkehrbringen und Inbetriebnahme. In der Realität zeigt sich allerdings, dass sie vor allem bei sehr großen, erst auf dem Kundengelände errichteten Komplettanlagen unscharf wird. Nach dem – rechtlich unverbindlichen – Leitfaden-Entwurf der Kommission fallen auch komplexe Systeme nicht automatisch aus dem Anwendungsbereich heraus, sondern sind risikobasiert zu bewerten. Im Zweifel tendiert die Einordnung damit eher zur Produkt-Perspektive: Für eine definierte Maschine oder eine abgegrenzte Linie greift der Monteur-Vorbehalt nicht. Größe schafft hier also keine Klarheit; an der Außenkante wird die Einordnung eher unschärfer.
Hilfreich ist hier das von der Europäischen Kommission angeführte Beispiel einer Lebensmittelverpackungsmaschine: Sie kann zugleich eine Maschine im Sinne der Maschinenverordnung und ein Produkt mit digitalen Elementen im Sinne des CRA sein. Beide Anforderungssätze sind dann zu prüfen, und beide Konformitätsbewertungen sind separat zu durchlaufen; die Erfüllung des einen ersetzt das andere nicht.
Das geschichtete Modell begrenzt den eigenen Aufwand
Aus der Herstellerrolle folgt nicht, dass jede fremde Komponente bis ins Detail selbst zu analysieren wäre. Der CRA ist als geschichtetes Modell angelegt: Jede CRA-pflichtige Komponente hat einen eigenen Hersteller, der für ihre Advisories und Updates haftet. Auf deren CE-Kennzeichnung und Hersteller-Advisories darf sich der Integrator stützen; die Sorgfaltspflicht bei der Integration bleibt bestehen (Art. 13 Abs. 5). Was hingegen beim Anlagenbauer verbleibt, ist die Verantwortung für das Produkt in seiner Gesamtheit: Schwachstellenmanagement und Konformitätserklärung für die Gesamtanlage liegen bei ihm (Art. 13 Abs. 1), einschließlich aller integrierten Komponenten.
Für Anlagenbauer bedeutet diese Schichtung in der Praxis, dass sich der Aufwand verhältnismäßig halten lässt: Statt eigener Tiefenanalysen genügt es, sich auf die kuratierten Advisories der Direktlieferanten zu stützen, diese vertraglich abzusichern, auf die eigene Anlage zu mappen und nur das Integrations-Delta selbst zu prüfen. Die praktische Schwierigkeit verlagert sich damit von der Analyse einzelner Komponenten auf das Einsammeln der Lieferanteninformationen – ein Problem, das vor allem bei Lieferanten ohne maschinenlesbares CSAF auftritt.
Für Anlagenbauer bedeutet die Herstellerrolle konkret diese Pflichten
Mit der Einordnung als Hersteller wird der Pflichtenkatalog des CRA anwendbar. Für die Planung sind vor allem die folgenden Punkte relevant:
- Kontinuierliches Schwachstellenmanagement über den gesamten Support-Zeitraum, nicht nur zum Zeitpunkt des Inverkehrbringens.
- 24-Stunden-Meldepflicht für aktiv ausgenutzte Schwachstellen an die ENISA – ab dem 11. September 2026 und ausdrücklich auch für Bestandsanlagen.
- Eine SBOM (Software-Stückliste) mit CVE-fähigen Komponenten-IDs als Grundlage des Abgleichs.
- Technische Dokumentation, CE-Kennzeichnung und Konformitätserklärung mit voller Anwendung ab dem 11. Dezember 2027.
Die Reihenfolge der Fristen ist kontraintuitiv: Gemeldet werden muss über ein Jahr, bevor die CE-Kennzeichnung Pflicht wird – rückwirkend auch für Anlagen, die heute schon im Feld stehen. Ein belastbares Lieferanten-Monitoring aufzubauen ist deshalb der zeitkritische erste Schritt – ausführlich behandelt im Leitfaden zu CRA und Maschinenverordnung für Anlagenbauer.
Werkspilot automatisiert genau diesen Teil: Lieferanten-Schwachstellen von CSAF bis E-Mail kontinuierlich erfassen, mit den Anlagen im Feld abgleichen und die CRA-Meldepflicht fristgerecht über die gesamte Lieferkette erfüllen. Im Gespräch klären, ab wann der CRA Ihre Anlagen betrifft.
Dieser Beitrag gibt den Stand der Regulierung zum Zeitpunkt der Veröffentlichung wieder und ist keine Rechtsberatung. Maßgeblich sind die Verordnungstexte selbst.
