Was der Einkauf im Maschinenbau jetzt absichern muss

Der Einkaufsleiter eines Anlagenherstellers bestellt eine neue SPS-Steuerung für eine Maschinenanlage. Preis, Lieferzeit und Qualität passen. Doch wie bei allen anderen Maschinenkomponenten auch, muss sein Unternehmen für die verbauten Elemente ab dem 11. September 2026 genau wissen, welche Software in der Steuerung steckt, wer sie pflegt und ob es im Ernstfall binnen 24 Stunden eine Frühwarnung an die zuständige Behörde senden kann. 

Der Cyber Resilience Act (CRA) macht dies zur Pflicht – für Zulieferer wie für Endkunden. Für den Maschinenbau bringt die neue EU-Verordnung weitreichendere Änderungen, als viele erwarten. Der Einkauf wird dabei als Ansprechpartner zum zentralen Hebel. Denn er muss vertraglich dafür sorgen, dass innerhalb der Lieferkaskade Informationen zu Schwachstellen in den verwendeten Komponenten bereitgestellt werden.

Fünf Monate bis zur Meldepflicht

Die Zeit drängt. Am 10. Dezember 2024 trat der CRA als Verordnung (EU) 2024/2847 in Kraft. Ab dem 11. September 2026 gelten die Meldepflichten nach Artikel 14: Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle, die seine Anlage betreffen, über die CRA-Single-Reporting-Platform der ENISA an das zuständige nationale CSIRT melden. 

Die Meldekette ist dreistufig: Frühwarnung binnen 24 Stunden nach Bekanntwerden, vollständige Benachrichtigung binnen 72 Stunden sowie ein Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme, bei schwerwiegenden Vorfällen binnen eines Monats. Ab dem 11. Dezember 2027 dürfen neue Produkte mit digitalen Elementen nur noch CRA-konform auf den EU-Markt. 

Wichtig: Die Meldepflichten gelten ab September 2026 auch für Produkte, die vor diesem Datum bereits in Verkehr gebracht wurden. Wer bis dahin nicht weiß, welche Softwareversionen im Einsatz stehen, gerät unter Druck, noch bevor die Konformitätsprüfung für neue Produkte beginnt.

Produktpflichten treffen den Einkauf

Im Gegensatz zu NIS-2 oder DORA zielt der CRA nicht auf Organisationen, sondern auf Produkte mit digitalen Elementen. Hersteller stehen im Mittelpunkt, daneben gelten abgestufte Pflichten für Importeure und Händler. Entscheidend ist, ob das Produkt bestimmungsgemäß oder vernünftigerweise vorhersehbar eine direkte oder indirekte Verbindung zu einem Gerät oder Netz hat. Im Maschinenbau fallen vernetzte Steuerungen, Bediensysteme, Fernwartungszugänge und Schnittstellen zwischen Maschine und Netzwerk meist unter den CRA.

In diesem Gefüge ist der Einkauf kein direkter Adressat, aber ein zentrales Steuerungsinstrument: Er beschafft die Komponenten, aus denen der Hersteller sein Produkt zusammensetzt und für deren Konformität er geradesteht. Moderne Anlagen bestehen aus vielen vernetzten Komponenten verschiedener Hersteller, jede mit eigener Software, Abhängigkeiten und Updatezyklen. Die Gesamtverantwortung trägt dennoch der Maschinenproduzent. 

Preis, Lieferzeit und Qualität reichen deshalb nicht mehr aus. Lieferanten werden zu Informations- und Reaktionspartnern über den gesamten Produktlebenszyklus.

Wer die Stückliste nicht kennt, fliegt blind

Ein häufiger Schwachpunkt liegt in der unvollständigen Erfassung digitaler Bestandteile. Für eine CRA-konforme Beschaffung genügen Datenblätter und Preislisten nicht. Der Einkauf braucht Informationen zu Softwareversionen, Fremdanteilen, Supportlaufzeiten und Eskalationswegen.

Zentrales Werkzeug ist die Software Bill of Materials (SBOM): Sie listet die Softwarekomponenten eines Produkts samt Abhängigkeiten maschinenlesbar auf. Der CRA verpflichtet Hersteller, Komponenten und Schwachstellen zu dokumentieren, einschließlich einer SBOM als Teil der technischen Dokumentation. 

Praktisch gilt: Wer die Softwarebestandteile seines Produkts nicht kennt, kann Meldepflichten kaum fristgerecht erfüllen. Das Lieferantenmanagement muss daher Sicherheitskriterien aufnehmen: Stellen Lieferanten Sicherheitsupdates bereit? Benennen sie feste Ansprechpartner? Dokumentieren sie Änderungen an Software und Firmware? Fehlt diese Disziplin, kosten Fristen und Abstimmungen wertvolle Zeit; zudem drohen Sanktionen.

Neue Vertragsklauseln nötig

Viele Beschaffungsverträge konzentrieren sich auf Gewährleistung, Qualität und Termine. Unter dem CRA reicht das nicht mehr. Herstellerpflichten wie Schwachstellenmanagement und Sicherheitsupdates erfordern neue Klauseln. Auch der Endkunde wird bald Änderungen in den Einkaufsverträgen seiner Anlage oder Maschine anpassen müssen.

Zu regeln ist, welche Sicherheitsinformationen der Lieferant bereitstellt, wie lange Updates verfügbar bleiben, wie schnell er auf Schwachstellen reagiert und welche Unterstützung er im Meldefall leistet. Der Einkauf muss dafür enger mit Rechtsabteilung, Qualitätsmanagement und Technik zusammenarbeiten. Läuft eine Komponente über Jahre in Serienmaschinen, entscheidet der Vertrag, ob der Hersteller bei Schwachstellen geordnet reagieren kann oder unter Zeitdruck Ersatz suchen muss.

Wenn der günstigste Preis teuer wird

Im Maschinenbau treffen regulatorische Pflichten auf Lebenszyklen von 15 bis 30 Jahren. Der CRA schreibt eine Supportdauer von mindestens fünf Jahren vor, sofern die erwartete Nutzungsdauer nicht kürzer ist. Das Ende der Supportperiode muss beim Kauf feststehen. Für industrielle Steuerungssysteme reicht diese Frist jedoch oft nicht aus.

Der Einkauf muss deshalb klären, ob die Supportlaufzeit des Lieferanten zur geplanten Betriebsdauer passt. Das verändert auch die TCO-Betrachtung: Eine günstige Komponente wird teuer, wenn sie kurze Pflegezeiträume bietet, Updates den Betrieb stören oder der Hersteller bei Schwachstellen langsam reagiert. Pflegefähigkeit, Reaktionsgeschwindigkeit und Aufwand im Störfall gehören künftig genauso zur Kalkulation wie Anschaffung und Betrieb.

Stillstand oder Sicherheitslücke – das Patch-Dilemma

Produktionsumgebungen erlauben selten, Sicherheitsupdates sofort einzuspielen. Der CRA verlangt, Schwachstellen risikobezogen und ohne unangemessene Verzögerung zu beheben, lässt aber Raum für kompensierende Maßnahmen. Vorgeschaltete Sicherheitssysteme, segmentierte Netze oder Zugriffsbeschränkungen können Risiken überbrücken, bis ein Patch eingespielt werden kann. 

Virtual Patching hat sich dafür bewährt. Es ersetzt weder die Update-Pflicht noch die Meldepflichten des Herstellers, verschafft aber Zeit für eine geordnete Umsetzung. Ob ein Lieferant solche Maßnahmen unterstützt, sollte der Einkauf bereits in der Beschaffung klären.

CRA und Maschinenverordnung: Zwei Regelwerke, ein Produkt

Ein Produkt kann gleichzeitig unter den CRA und die Maschinenverordnung (EU) 2023/1230 fallen. Die EU-Kommission nennt als Beispiel eine Lebensmittelverpackungsmaschine mit integrierter Hard- und Software. Beide Regelwerke gelten parallel. Der CRA ergänzt die Maschinenverordnung um Cybersicherheit, Meldeprozesse und Schwachstellenmanagement. Welche Dokumentation sich für beide Regelwerke gemeinsam nutzen lässt, ist noch nicht abschließend geklärt; harmonisierte Normen liegen erst in Teilen vor.

Vom Preisverhandler zum Risikomanager

Lastenhefte, Lieferantenfragebögen, Freigabeprozesse und Wartungsvereinbarungen gehören jetzt auf den Prüfstand. Der Einkauf braucht Kriterien, mit denen digitale Komponenten systematisch bewertet werden: Informationspflichten, Eskalationswege, Supportzusagen und Vorgaben für den Umgang mit Schwachstellen. Ab dem 11. September 2026 wird sich zeigen, wer diese Hausaufgaben gemacht hat.