12.08.2025
Blog
Regulatory
Manufacturing

Der Cyber Resilience Act – Was Hersteller digitaler Produkte jetzt wissen müssen

Mit dem am 23. Oktober 2024 verabschiedeten Cyber Resilience Act (CRA) bringt die EU ein verbindliches Regelwerk für die Sicherheit digitaler Produkte auf den Weg. Unternehmen in der produzierenden Industrie, die vernetzte Geräte oder Produkte mit digitalen Elementen anbieten, stehen damit vor weitreichenden Änderungen – und vor einer Chance, ihre digitale Resilienz zukunftssicher aufzustellen.

Heike Abels
Referentin für Unternehmenskommunikation

Der Cyber Resilience Act tritt mit seinen Meldepflichten für Schwachstellen und Sicherheitsvorfälle am 11. September 2026 in Kraft. Was zunächst nach Zukunft klingt, erfordert bereits heute konkrete Vorbereitungen: Sicherheitsprozesse, Lifecycle-Management und transparente Produktinformationen müssen jetzt aufgebaut und operationalisiert werden. Unternehmen, die jetzt handeln, sichern sich nicht nur Compliance, sondern einen entscheidenden Vorsprung.

Die digitale Zutatenliste: Pflicht statt Kür

Digitale Produkte müssen künftig so dokumentiert sein wie Lebensmittel: mit einer vollständigen Auflistung aller enthaltenen Komponenten – der sogenannten Software Bill of Materials (SBOM). Dazu kommen Nutzungshinweise und ein klarer Hinweis, wann die Sicherheitsupdates enden – quasi das „digitale Mindesthaltbarkeitsdatum“.

Wirtschaftsakteure wie Hersteller, Importeure, Distributoren sowie alle, die Software für das Produkt entwickeln, sind verpflichtet, über den gesamten Produktlebenszyklus hinweg Sicherheitsupdates bereitzustellen und ein funktionierendes Schwachstellenmanagement zu betreiben. Produkte mit digitalen Elementen für die beispielsweise nicht ausgewiesen wird, welche Softwarebestandteile enthalten sind, erfüllen die Pflicht zur Sicherheitsaktualisierung nicht – und die verantwortlichen Unternehmen riskieren empfindliche Strafen.

Wie lassen sich die komplexen Anforderungen des CRA effizient und nachhaltig umsetzen?

Bei der Umsetzung des CRA handelt es sich zunächst um eine große Veränderung für Unternehmen, die durch das Informationsmanagementsystem (ISMS) des Unternehmens gesteuert und überprüft und über die nächsten Jahre in den kontinuierlichen Verbesserungsprozess integriert werden sollte.

Dazu benötigt es die Etablierung eines resilienten ISMS im Unternehmen, das die Anforderungen des CRA integriert, überprüft und entsprechende Maßnahmen zur Sicherung der Produkte umsetzt. Diese müssen durch einen kontinuierlichen Verbesserungsprozess (KVP) regelmäßig auf Risiken, Schwachstellen und notwendige Anpassungen durch Umweltfaktoren geprüft werden.

Systematisches Vorgehen mit Enterprise Architecture Management

Zur aktiven Steuerung der digitalen Komplexität der Sicherheitsmaßnahmen für die Produkte und die notwendige IT-Infrastruktur empfehlen wir die Nutzung eines Enterprise Architecture Management (EAM).

EAM liefert ein systematisches Vorgehen, um IT- und Geschäftsarchitekturen entlang definierter Sichten (z. B. Applikationen, Daten, Technologien, Prozesse) zu dokumentieren, analysieren und zielgerichtet weiterzuentwickeln.

Gerade im Kontext des Cyber Resilience Act ermöglicht EAM:

  • die Identifikation betroffener digitaler Produkte und Komponenten sowie die Bewertung des architektonischen und sicherheitsbezogenen Reifegrades
  • die Nachverfolgbarkeit von Softwareversionen und Abhängigkeiten (z. B. SBOM)
  • eine strukturierte Abbildung von Sicherheits- und Updateverpflichtungen über den Lifecycle
  • sowie die Integration in bestehende Governance- und Meldeprozesse

Kurz gesagt:

  • Ein ISMS ist notwendig, um die regulatorischen Anforderungen des CRA nachhaltig im Unternehmen umzusetzen.
  • EAM ist das methodische Fundament, um regulatorische Anforderungen wie den CRA nicht nur zu erfüllen, sondern strategisch in die digitale Architekturentwicklung zu integrieren.
  • Materna unterstützt mit umfassender Cyber Security-Expertise Unternehmen dabei die Anforderungen des CRA in ihr ISMS zu integrieren, um die Mindestanforderungen der Cyber Security im gesamten Lebenszyklus von digitalen Produkten sicherzustellen.
  • Unsere EAM-Experten und Cyber Security Experten unterstützen Unternehmen dabei, Transparenz aufzubauen – nicht nur für den CRA, sondern auch im Zusammenspiel mit weiteren EU-Regelwerken wie der NIS2-Richtlinie, dem EU Data Act oder dem EU AI Act.

Einheitlich denken, mehrfach profitieren

Viele Anforderungen des CRA sind nicht neu – Branchen wie Automotive oder Medizintechnik haben vergleichbare Herausforderungen bereits bewältigt. Ihr Erfolgsrezept? Eine ganzheitliche IT-Architektur, die regulatorische Anforderungen integriert, anstatt sie isoliert zu behandeln. Genau hier setzt Materna an: Wir entwickeln mit unseren Kunden eine einheitliche Governance-, Risiko- und Sicherheitsstrategie, die flexibel auf neue Vorschriften reagiert und Unternehmen langfristig absichert.

Security by Design – von Anfang an richtig machen

Ein integriertes ISMS berücksichtigt regulatorische Anforderungen wie den CRA über das gesamte Unternehmen hinweg. Dazu gehören sowohl Geschäftsprozesse, Unternehmenswerte, Mitarbeitende, und Produkte. Damit können die Anforderungen des CRA ganzheitlich im Unternehmen umgesetzt und nachgewiesen werden.

Durch ein Enterprise Architecture Management werden Schwachstellen früh erkannt, Maßnahmen systematisch dokumentiert und IT-Komponenten kontextbezogen bewertet – genau so, wie es der CRA fordert.

Ob vernetzte Produkte, Embedded Devices, Softwarelösungen oder Cloud-basierte Komponenten durch die Integration von ITSM-, CMDB- und BPM-Systemen wird Transparenz über digitale Produktarchitekturen und deren Abhängigkeiten geschaffen. So werden nicht nur die Anforderungen des CRA, sondern gezielt die Sicherheits- und Compliance-Strategie gestärkt.

Jetzt handeln: Mehr Resilienz, weniger Risiko

Mit dem Inkrafttreten des Cyber Resilience Act wird Produktsicherheit zur unternehmerischen Pflicht – und zur Chance, die digitale Zukunft aktiv zu gestalten. Durch ein integriertes ISMS und den Aufbau transparenter Architekturen sowie eines intelligenten Lifecycle-Managements schaffen Unternehmen die Grundlage für mehr Sicherheit, geringeres Risiko und nachhaltige Wettbewerbsfähigkeit.

Mehr erfahren? Erhalten Sie hier unser aktuelles Whitepaper zum Thema.

Weitere Informationen zur Cyber Security

Weitere Informationen zum Enterprise Architecture Management

Heike Abels
Referentin für Unternehmenskommunikation

Heike Abels arbeitet bei Materna als Referentin für Unternehmenskommunikation. Sie betreut redaktionell verschiedene Formate für die externe Kommunikation. Thematischer Schwerpunkt ist der Bereich Cross Market Services. Dazu zählen Enterprise Service Management, Customer Service und Cyber Security.

Verwandte Artikel

Event
Dortmund
05.11.2026
XCS Day (Xchange in Cyber Security)

Beim XCS Day treffen sich erneut Expert:innen aus Wirtschaft und Verwaltung, um aktuelle Herausforderungen und Strategien rund um Cyber Security und Regulierung zu diskutieren. Erfahren Sie, wie Organisationen ihre Widerstandsfähigkeit gegenüber…

Weiterlesen
Event
Bochum
03.11.2026
IT.Connect
Weiterlesen
Event
Berlin
13.10.2026 - 15.10.2026
Smart Country Convention (SCCON)

Treffen Sie uns erneut in Halle 27 am Stand 206 auf der führenden Veranstaltung für den digitalen Staat und öffentliche Dienste. Die SCCON ist ein Muss für alle Akteurinnen und Akteure, die den digitalen Wandel aktiv vorantreiben und gestalten.

Weiterlesen
Event
Düsseldorf
30.09.2026
27. ÖV-Symposium NRW

Künstliche Intelligenz, Digitale Souveränität, Cloud, Datenökonomie und Cyber Security bilden den Rahmen für die digitale Transformation der Verwaltung in NRW. Die beliebte Informations- und Dialogplattform für Verwaltungsmodernisierung bietet einen…

Weiterlesen
Event
Dortmund
10.09.2026
Resilience Readiness Day

Erleben Sie einen Tag voller Impulse, Best Practices und wegweisender Ideen rund um nationale Resilienz. Wir laden zum Resilience Readiness Day ein. Materna bringt Entscheider:innen aus Verwaltung, Sicherheitsbehörden, Bundeswehr, KRITIS-Unternehmen…

Weiterlesen
Event
Online
30.07.2026
Webcast „Mitarbeitende im Fokus: HR-Services im öffentlichen Sektor digital gestalten“

Wie können Personalprozesse im öffentlichen Sektor einfacher, transparenter und serviceorientierter gestaltet werden? In diesem Webcast zeigt agineo anhand eines durchgängigen Employee Lifecycles, wie Behörden und öffentliche Einrichtungen…

Weiterlesen
Blog
Enterprise Service Management
14.07.2026
Cloud-Souveränität – Erfolgsfaktor für moderne IT- und Enterprise-Service-Plattformen

Digitale Souveränität entwickelt sich vom regulatorischen Randthema zum strategischen Erfolgsfaktor. Unternehmen und öffentliche Einrichtungen stehen…

Weiterlesen
Presse
Dortmund
08.07.2026
agineo richtet sich auf die nächste Marktphase im ServiceNow-Geschäft aus

Der Markt für Unternehmensplattformen wie ServiceNow-Lösungen verändert sich. Unternehmen erwarten heute mehr als die erfolgreiche Einführung einer Plattform. Gefragt sind Partner, die Plattformen sicher betreiben, kontinuierlich weiterentwickeln und…

Weiterlesen
Blog
Enterprise Service Management
07.07.2026
Autonomous IT im Mittelstand: Mit KI schrittweise zur intelligenten IT-Organisation

Mittelständische Unternehmen stehen vor der Aufgabe, ihre IT leistungsfähiger und gleichzeitig effizienter zu gestalten. Künstliche Intelligenz kann…

Weiterlesen
Blog
Digital Experience
30.06.2026
Kampf gegen Windmühlen: Warum UX kein KI-Prompting ist

Heute muss eigentlich alles eine gute User Experience haben: Die Art, wie ich eine Pizza bestelle, wie ich im Supermarkt die Uhr kurz über einen…

Weiterlesen