Cyber Resilience Act: Zeit für ein Rendezvous mit TARA

12.05.2026 | Ab September 2026 greift die erste konkrete Massnahme des Cyber Resilience Act (CRA): die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab Dezember 2027 dürfen nur noch Produkte mit nachgewiesener CRA-Konformität in Verkehr gebracht werden. Für Maschinenbauer und Industrieausrüster bedeutet das: Wer jetzt nicht handelt, riskiert den Marktzugang. Der erste konkrete Schritt hin zu «Security by Design» ist die strukturierte Bedrohungsanalyse TARA, Threat and Risk Assessment.

Was der Cyber Resilience Act von Maschinenbauern und Industrieausrüstern verlangt

Der Cyber Resilience Act schafft erstmals einen verbindlichen EU-Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen – Embedded-Systeme ausdrücklich eingeschlossen. Maschinenbauer, Industrieausrüster und OEMs sind damit direkt betroffen. Der CRA verpflichtet Industrieausrüster und Maschinenbauer gleichermassen, Cybersicherheit von Anfang an systematisch in die Produktentwicklung zu integrieren: «Security by Design» über den gesamten Produktlebenszyklus. Wer die Anforderungen nicht erfüllt, darf sein Produkt ab Dezember 2027 nicht mehr in der EU in Verkehr bringen.

TARA Bedrohungsanalyse: Der strukturierte Weg zur CRA-Konformität

Eine strukturierte TARA Bedrohungsanalyse ist zwar nicht gesetzlich vorgeschrieben, gilt aber als die auditsicherste Methode, um die Anforderungen des Cyber Resilience Act zu erfüllen. Aus Sicht von Grossenbacher Systeme ist TARA der sicherste Weg zur CE-Kennzeichnung, insbesondere für Maschinenbauer und Industrieausrüster mit komplexen Embedded-Systemen.

TARA identifiziert Bedrohungen, bewertet Risiken und leitet daraus konkrete Sicherheitsmassnahmen ab. Der Prozess beginnt mit einem gemeinsamen Systemverständnis: Alle relevanten Rollen müssen eingebunden werden, von Systemarchitekten und Security-Experten über Softwareentwickler bis hin zu Lieferanten und Servicetechnikern. Im ersten Analyseschritt wird das System klar abgegrenzt: Welche Komponenten, Schnittstellen und Funktionen werden betrachtet? Typische Angriffspunkte bei Embedded-Systemen von Industrieausrüstern sind USB, JTAG, WLAN, Ethernet oder Bluetooth, aber selbst Displays können sicherheitsrelevant sein.

Assets identifizieren, Risiken systematisch bewerten

Anschliessend werden der Security Context und alle schutzwürdigen Assets erfasst. Der Security Context legt fest, unter welchen Bedingungen ein Produkt als sicher gilt, und grenzt Herstellerverantwortung von Betreiberpflicht ab. Für Maschinenbauer und Industrieausrüster sind besonders vier Asset-Kategorien relevant:

TARA bringt es an den Tag: Ein einziges beispielhaftes Embedded-System in der Industrie kann eine Vielzahl schutzwürdiger Assets enthalten. (Bild: Grossenbacher Systeme)

Die Risikobewertung basiert auf Schadensauswirkung und Eintrittswahrscheinlichkeit, unterschieden nach Ausgesetztheit und Ausnutzbarkeit. Das Ergebnis ist eine Risikomatrix von «akzeptabel» bis «nicht akzeptabel», aus der konkrete Gegenmassnahmen abgeleitet werden. Das Ziel des Cyber Resilience Act ist dabei nicht die Eliminierung aller Risiken, sondern deren nachverfolgbare Beherrschung über den gesamten Produktlebenszyklus, für Industrieausrüster ebenso wie für Maschinenbauer.

TARA als dauerhafte Partnerschaft für Industrieausrüster und Maschinenbauer

Die TARA Bedrohungsanalyse ist keine einmalige Aufgabe: neue Funktionen, Updates oder veränderte Einsatzbedingungen können die Risikolage jederzeit verändern. Maschinenbauer und Industrieausrüster sind daher gut beraten, frühzeitig einen kompetenten TARA-Partner zu suchen, der Entwicklung, Fertigung und Pflege von Embedded-Systemen beherrscht. Grossenbacher Systeme begleitet Industrieausrüster und OEMs entlang des gesamten Produktlebenszyklus, von der ersten TARA Bedrohungsanalyse bis zur langfristigen Produktpflege.

Erfahren Sie mehr in unserem vollständigen Fachartikel in der Fachzeitschrift «Elektronik»: Cyber Resilience Act – Zeit für ein Rendezvous mit TARA (PDF).