Cyber Resilience Act: Wie Sie Ihr Produktportfolio neu erfinden können

Ein Gesetz, das mehr ist als nur Bürokratie

Wenn die EU für die Industrie relevante neue Gesetze beschließt, gibt es meist zwei Reflexe. Der erste Reflex heißt „Aufwand“. Der zweite Reflex heißt „Das ist ein IT-Thema“. Beim Cyber Resilience Act lohnt sich ein dritter Reflex. Der CRA ist ein Anlass, Ihr Produktportfolio einmal konsequent durch die Brille „vernetzt, updatefähig, verantwortbar“ zu betrachten, und das eigentlich schon seit 2023. Dennoch haben viele Unternehmen erst spät auf die CRA Vorgaben reagiert und so war denn CRA ein sehr oft diskutiertes Thema auf der SPS Messe 2025.

Der CRA adressiert Produkte mit digitalen Elementen, also vernetzte Produkte und Software, die in Verkehr gebracht werden. Für viele Maschinenbauer, Anlagenbauer und Komponentenanbieter heißt das: Cybersicherheit rückt vom Rand ins Zentrum. Sie wird nicht mehr nur ein Thema für den Service-Laptop oder den Netzwerkplan des Kunden, sondern Teil dessen, was Sie als Hersteller liefern, dokumentieren und über den Lebenszyklus absichern müssen.

Das klingt nach Regulierung, und das ist es auch. Gleichzeitig ist es ein strategischer Trigger. Wer den CRA klug nutzt, kann Portfolio-Altlasten sauber entscheiden, Produktlinien modernisieren und Cybersicherheit als Differenzierungsmerkmal in den Markt tragen.

Was der CRA von Unternehmen verlangt

Die Grundlogik ist einfach, aber die Konsequenzen sind es nicht. Der CRA verlangt, dass Hersteller die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg sicherstellen. Dazu gehört, Schwachstellen zu identifizieren, zu beheben und über Updates langfristig zu adressieren.

Für die Praxis im Maschinenbau sind dabei zwei Dinge besonders relevant.

1. Erstens: Lebenszyklus wird zur Herstelleraufgabe. Es reicht nicht, „sicher zu entwickeln“. Sie müssen auch „sicher betreiben“ im Sinne von Updatefähigkeit, Schwachstellenbehandlung und klaren Verantwortlichkeiten im Unternehmen.
2. Zweitens: Melden wird ein Prozess, kein Einzelfall. Für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gibt es Reporting-Pflichten mit kurzen Fristen. Das ist kein Thema für die Schublade, sondern muss als wiederholbarer Ablauf funktionieren, inklusive Kommunikationsfähigkeit nach innen und außen.

Warum „betrifft uns doch alle“ zwar stimmt, aber zu kurz greift

Ja, im Grundsatz betrifft der CRA jedes Produkt, das Connectivity beinhaltet. In der Praxis entscheidet diese rein technische Frage aber selten über die richtige Produktstrategie. Wirklich entscheidend ist die Kombination aus technischen, wirtschaftlichen und marktseitigen Faktoren.

Fünf Faktoren sehe ich dabei immer wieder als ausschlaggebend:

• Updatefähigkeit in der realen Installation: Können Sie Updates im Feld tatsächlich ausrollen, auch beim typischen Brownfield-Kunden?
• Architektur- und Komponentenalter: Wie viel technische Schuld steckt in Firmware, Libraries, Betriebssystemen und Drittkomponenten?
• Installed Base und Restlebensdauer: Wie groß ist die Basis und wie lange muss sie wirtschaftlich und sicher betreut werden?
• Margenlogik und Servicefähigkeit: Können Sie Security-Aufwand in Preis, Wartungsvertrag oder Servicepaketen abbilden?
• Strategische Rolle der Produktlinie: Cash-Cow, Plattform, Einstiegsprodukt, Türöffner oder bereits Auslaufmodell?

Erst wenn Sie diese Faktoren zusammenbringen, wird klar, ob der CRA bei einer Produktfamilie ein Produkt-Upgrade auslöst, ein Redesign erforderlich macht oder einen Phase-out rational erscheinen lässt.

Die Chancen für Ihr Produktportfolio

Die Anforderungen des CRA können als Katalysator für strategische Veränderungen dienen. Vier Chancen sind dabei besonders relevant.

1) Technologische Modernisierung, aber zielgerichtet

Der CRA schafft den Anlass, veraltete Technik nicht mehr nur zu „pflegen“, sondern bewusst zu entscheiden. Nicht jede Produktlinie verdient ein Redesign. Manche verdienen ein kontrolliertes Ende. Andere brauchen ein konsequentes Architektur-Upgrade, damit Updates, sichere Konfiguration und Wartbarkeit überhaupt möglich werden.

2) Mehrwert durch Sicherheit, als kaufbares Argument

Cybersicherheit wird zunehmend Teil von Ausschreibungen, IT-Freigaben und Risiko-Checks bei Kunden. Produkte, die nachvollziehbar hohen Sicherheitsanforderungen genügen, reduzieren Reibung im Vertrieb und schaffen Vertrauen. „Sicher“ ist dabei kein Etikett, sondern ein Leistungsversprechen, das durch Updatekonzept, Supportzeitraum und Dokumentation gedeckt sein muss.

3) Neue Geschäftsmodelle, weil Update und Support planbar werden müssen

Wenn Updates und Schwachstellenbehandlung verpflichtend als Fähigkeit etabliert werden, entsteht daraus eine klare Produktleistung. Diese Leistung lässt sich in Service- und Abonnementmodelle übersetzen. Beispiele sind Security-Updates als Service, gestaffelte Reaktionszeiten oder Managed Services für Kunden, die selbst keine entsprechenden Ressourcen aufbauen wollen.

4) Nachhaltigkeit und Langlebigkeit, als digitale Produktqualität

Digitale Langlebigkeit heißt: Ein Produkt bleibt über Jahre sicher betreibbar, weil es gepflegt, aktualisiert und mit klaren Verantwortlichkeiten unterstützt wird. Das reduziert ungeplante Austauschzyklen und fördert einen rationaleren Umgang mit Produktgenerationen. Gerade im Maschinenbau und Anlagenbau ist das mehr als ein Imagepunkt. Es ist Teil der Lieferfähigkeit Ihrer Kunden.

Upgrade, Redesign oder Phase-out: Der CRA als Portfolio-Sortiermaschine

Der CRA zwingt Sie nicht zu einer einzigen Lösung. Er zwingt Sie zu Entscheidungen. Und genau das ist die Chance.

Ein Produkt-Upgrade ist oft sinnvoll, wenn die Architektur grundsätzlich updatefähig ist oder mit überschaubarem Aufwand updatefähig wird, wenn die Installed Base groß ist und die Produktlinie strategisch relevant bleibt, und wenn Sicherheitslücken primär über Prozesse, Härtung und Update-Mechanik beherrschbar sind.

Ein Redesign ist meist sinnvoll, wenn eine updatefähige Architektur praktisch nicht nachrüstbar ist, wenn zentrale Drittkomponenten oder Betriebssysteme nicht mehr tragfähig sind, oder wenn die Produktlinie als Plattform für neue digitale Funktionen dienen soll.

Ein Phase-out ist dagegen eine saubere Option, wenn die Produktlinie strategisch an Bedeutung verloren hat, wenn Installed Base und Marktperspektive klein sind, oder wenn der Security-Aufwand wirtschaftlich nicht mehr in ein plausibles Angebot passt.

Entscheidend ist, diese Optionen nicht moralisch zu bewerten. Ein Phase-out ist keine Niederlage. Er ist häufig die professionellste Form von Produktpflege. Allerdings erfordert das auch, so manche geliebten alten Zöpfe abzuschneiden.

Wie Sie den CRA strategisch nutzen können

Um den CRA nicht nur als Pflicht, sondern als Chance zu nutzen, sollten Sie strukturiert vorgehen.

• Portfolio-Analyse: Überprüfen Sie Ihr Portfolio nach Updatefähigkeit, Komponentenrisiken, Supportzeitraum und Installed Base. Arbeiten Sie mit einem einfachen Scoring, das Technik, Markt und Wirtschaftlichkeit kombiniert.
• Investition in Innovation: Investieren Sie nicht nur in Tools, sondern in Fähigkeiten. Ein funktionierender Prozess zur Behandlung von Schwachstellen ist mindestens so wertvoll wie ein neues Security-Feature.
• Kundenzentrierung: Kunden wollen nicht „mehr Security“. Sie wollen weniger Risiko, weniger Stillstand und klare Aussagen. Übersetzen Sie CRA-Fähigkeiten in verständliche Produktversprechen.
• Kommunikation: Machen Sie Ihre Sicherheitsstandards zu einem Bestandteil Ihrer Produktstory. Transparenz ist hier kein Image-Thema, sondern ein Vertrauensbaustein, der in Freigaben und Kaufentscheidungen wirkt.

CRA als Portfolio Upgrade

Ein mittelständisches Unternehmen aus der Automatisierungsbranche nutzte die CRA-Vorgaben, um seine IoT-fähigen Produkte zu überarbeiten. Neben der Verbesserung der Cybersicherheit wurden neue Funktionen wie erweiterte Predictive Maintenance integriert. Das Ergebnis war eine deutliche Steigerung der Kundenzufriedenheit und ein Umsatzwachstum von 15 Prozent im ersten Jahr nach Einführung der überarbeiteten Produktlinie trotz Rezession.

Das Interessante daran ist weniger die Zahl als das Muster. Der CRA wurde nicht als separater Compliance-Stream geführt, sondern als Anlass, die Produktlinie technisch zu modernisieren und den Kundennutzen sichtbar zu erhöhen.

Fazit: Der CRA als Innovationsmotor

Der Cyber Resilience Act ist kein Hindernis. Er ist ein Anlass, Produkte sicherer, moderner und über den Lebenszyklus besser beherrschbar zu machen. Der Hebel entsteht dann, wenn Sie CRA-Arbeit nicht als Dokumentationspflicht behandeln, sondern als Portfolio-Entscheidungsrahmen.

Die Frage ist nicht, ob Sie sich anpassen. Die Frage ist, ob Sie den Anpassungsdruck nutzen, um Ihr Portfolio zu schärfen, Produktlinien zu modernisieren und Sicherheit als Bestandteil Ihres Wertversprechens zu etablieren. Seien Sie mutig, denken Sie strategisch und machen Sie den CRA zu Ihrem Wettbewerbsvorteil.

Wenn Sie den CRA als Anlass nutzen wollen, Ihr Portfolio strukturiert zu entscheiden, dann lassen Sie uns darüber sprechen. Ich unterstütze Sie dabei, Upgrade, Redesign und Phase-out pro Produktfamilie sauber zu bewerten und daraus eine Roadmap zu machen, die Technik, Markt und Wirtschaftlichkeit zusammenbringt. Nehmen Sie Kontakt mit mir auf.

Fünf Fragen, die Sie sich nach diesem Beitrag stellen sollten

1. Welche Produktfamilien sind wirtschaftlich stark genug, um einen definierten Supportzeitraum inklusive Updatefähigkeit seriös zu tragen, und bei welchen wäre das ein Schönwetter-Versprechen?
2. Wo ist unsere größte „Update-Lücke“ im Feld, also dort, wo Updates theoretisch gehen, praktisch aber an Architektur, Kundenumgebung oder Prozess scheitern?
3. Welche Drittkomponenten sind unser größtes Risiko, weil Abhängigkeiten, Patches und Transparenz nicht in unserer Hand liegen, und wie ändern wir das Beschaffungs- und Freigabemodell?
4. Wie schnell sind wir in der Lage, aus einer Schwachstelle eine belastbare Kundenkommunikation plus Fix-Plan zu machen, und wer trägt diese Verantwortung Ende zu Ende?
5. Welche Portfolio-Entscheidung würden Sie treffen, wenn Sie Security-Aufwand wie einen echten Produktkostenblock behandeln, und nicht wie „irgendwas aus der Qualitätssicherung“?

‍

Quellen

Internetquellen

• European Commission, Directorate-General for Communications Networks, Content and Technology (2025): Cyber Resilience Act, [online] URL [abgerufen am 04. 01. 2026]
• European Commission, Directorate-General for Communications Networks, Content and Technology (2025): Cyber Resilience Act – Reporting obligations, [online] URL [abgerufen am 04. 01. 2026]
• Bundesamt für Sicherheit in der Informationstechnik (2025): Cyber Resilience Act, [online] URL [abgerufen am 04. 01. 2026]