Der EU Cyber Resilience Act und sein ambitionierter Zeitplan – zwischen Anspruch und Wirklichkeit

Wie lassen sich die ambitionierten Anforderungen des Cyber Resilience Act (CRA) bis Ende 2027 in der Praxis umsetzen? Und, welche Rolle spielen Normen dabei? Diese Fragen standen im Mittelpunkt einer hochkarätig besetzten Online-Veranstaltung am 3. Juli 2025. Über 900 Teilnehmende verfolgten die Diskussionen rund um Zeitpläne, Normungsprozesse und die dringend benötigte Klarheit für die Industrie.

Zum Anfang der Veranstaltung begrüßte Johannes Koch (DKE) die Teilnehmenden und übergab direkt an Tommaso Bernabo von der Europäischen Kommission (DG CONNECT), der in die Ziele und Rahmenbedingungen des CRA einführte. In seinem Vortrag gab er einen Überblick über die Umsetzung im Kontext der EU-Cybersicherheitsstrategie, die Rolle der harmonisierten Normen und die geplanten Zeitlinien.

Normung unter Zeitdruck: Erste Normen bis 2026 geplant

Im Anschluss erläuterte Walter Fumy (Bundesdruckerei und Vorsitzender des CEN-CENELEC Joint Technical Committee 13 JTC 13), die laufenden Normungsaktivitäten auf europäischer Ebene bei CEN und CENELEC. Dabei machte er deutlich, unter welchem Zeitdruck die Erarbeitung der horizontalen und vertikalen Normen stehen. Erste Normen sollen bereits 2026 vorliegen, die vollständige Abdeckung ist bis Ende 2027 geplant.

Im Zentrum der Veranstaltung stand die Paneldiskussion mit Dennis-Kenji Kipker (Universität Bremen), Lutz Jänicke (Phoenix Contact), Jochen Friedrich (IBM), Kai Wollenweber (Siemens), Walter Fumy und Tommaso Bernabo. Moderiert wurde das Panel von Lennart Kreißl (ZVEI), Alexey Markert (VDMA) und Felix Kuhlenkamp (Bitkom).
 

EU Cyber Resilience Act wird einen großen Einfluss auf die Automatisierungsbranche haben

Gleichwohl der EU Cyber Resilience Act zur Regulierung von Produkten insgesamt begrüßt wird, besteht an wichtigen Stellen noch Diskussionsbedarf. Betroffene Akteure setzen sich mit den Herausforderungen auseinander – und sind mit bereits etablierten Prozessen klar im Vorteil. Dr. Kai Wollenweber spricht mit uns im Interview über die Auswirkungen, die der EU CRA mit sich bringt, und die weiteren Arbeiten an der Normenreihe IEC 62443.

Industrie im Dialog: Herausforderungen bei der Umsetzung

Die Diskussion machte deutlich, dass aus Sicht der Industrie nach wie vor viele offene Fragen bestehen, die erhebliche Probleme bei der Umsetzung des CRA verursachen. Ein zentrales Problem ist der fehlende Klartext darüber, wie Konformität im Rahmen des CRA konkret nachgewiesen werden soll. Viele Hersteller und insbesondere kleinere Zulieferer stehen vor der Herausforderung, neue Prozesse einzuführen und bislang unklare Anforderungen zu erfüllen. Ohne klare Vorgaben und abgestimmte Standards droht eine fragmentierte Umsetzung, die zu Unsicherheiten, Mehrkosten und Ineffizienzen entlang der gesamten Lieferkette führen kann.

Besonders kritisch wurde der ambitionierte Zeitplan der Kommission bewertet. Die Industrievertreter äußerten Zweifel daran, dass die vorgesehenen Fristen zur Ausarbeitung harmonisierter Normen und zur Umsetzung in den Unternehmen realistisch seien. Ein zentraler Kritikpunkt war dabei auch, dass viele für die Umsetzung essenzielle Begriffe bisher nicht ausreichend definiert sind. Ohne eine Klarstellung dieser Begriffe und ohne ausreichend Zeit zwischen Veröffentlichung der Normen und Ablauf der Übergangsfrist wird es vielen Unternehmen unmöglich sein, die Anforderungen rechtzeitig und sauber umzusetzen.
 

Kooperation als Schlüssel: Politik, Normung und Industrie müssen an einem Strang ziehen

Das Panel war sich einig: Es braucht eine bessere Koordination zwischen Politik, Normung und Industrie. Nur durch enge Zusammenarbeit und frühzeitige Einbindung aller Beteiligten kann sichergestellt werden, dass der CRA nicht nur auf dem Papier, sondern auch in der Praxis wirkungsvoll umgesetzt werden kann. Zudem wurde betont, dass gerade kleine und mittlere Unternehmen gezielt unterstützt werden müssen – etwa durch praxisnahe Leitlinien, Testumgebungen und den Zugang zu regulatorischen „Sandboxes“.
 

Normung lebt vom Mitmachen!

Die Möglichkeiten mit Normung die Zukunft zu gestalten sind vielfältig:

• Normen sind im Entwurf? Stellung nehmen und Kommentare einsenden!
• Normen sind lückenhaft oder fehlen? Einen Normenantrag stellen!
• Sie wollen mitentscheiden? Kostenfreie Mitgliedschaft als Expertin oder Experte beantragen!

Wir freuen uns, Sie in den Normungsgremien der DKE begrüßen zu dürfen.

Appell an die Unternehmen: Jetzt aktiv mitgestalten

Die Veranstaltung schloss mit einem Appell an Unternehmen, sich aktiv in die laufenden Normungs- und Konsultationsprozesse einzubringen. Eine frühzeitige Mitwirkung sei entscheidend, um die künftigen Anforderungen mitzugestalten und umsetzbar zu halten.

Der CRA ist mehr als ein regulatorisches Rahmenwerk – er ist ein Weckruf für die Industrie, Cybersicherheit strukturiert und zukunftsfähig zu denken. Die Veranstaltung hat gezeigt: Die Herausforderungen sind groß, aber lösbar – wenn Politik, Normung und Wirtschaft gemeinsam handeln. Unternehmen sollten die Chance nutzen, sich frühzeitig einzubringen, um Standards mitzugestalten und praxisnahe Lösungen zu entwickeln. Denn nur wer jetzt aktiv wird, kann morgen sicher und wettbewerbsfähig agieren. Die Normung bietet mit ihren Gremien die Plattform dafür.
 

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.