EU Cyber Resilience Act: Status, Dokumentation und Bausteine für Ihre eigene Konformität
Ab September 2026 greifen die ersten CRA-Pflichten, die volle Konformitätspflicht erfolgt dann im Dezember 2027. Die Zeit rennt und viele Hersteller sind bei weitem noch nicht fertig. Wir liefern produktbezogene Dokumentation, SBOMs, Threat Models und Verified Firmware Boot als Input für Ihre Konformitätsbewertung.
Der EU Cyber Resilience Act macht Cybersecurity-Nachweise für Produkte mit digitalen Elementen verbindlich: Ab September 2026 greifen erste Meldepflichten, ab Dezember 2027 folgen die umfassenden Anforderungen. Für Hersteller von IO-Link-Geräten bedeutet das im Worst Case: eigene CRA-Unterlagen, Annex-I-Mapping, SBOM-Prozess und Threat Model je Produkt aufzubauen. TEConcept reduziert diesen Aufwand mit produktbezogener Dokumentation, SBOMs, Threat Models und technischen Bausteinen als Input für Ihre eigene Konformitätsbewertung.
Welche unserer Produkte können CRA-relevant sein?
Der Cyber Resilience Act gilt für Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Dazu können sowohl vollständige Hardware- oder Softwareprodukte als auch separat bereitgestellte Komponenten gehören. Für Kunden ist deshalb entscheidend, in welcher Rolle ein TEConcept-Produkt eingesetzt wird: als Software-Komponente im eigenen Endprodukt, als Entwicklungs- oder Testwerkzeug, als Modul, als Referenzdesign oder als Bestandteil einer internen Entwicklungs- und Prüfstrategie.
Rollentrennung: Die Konformitätserklärung für das fertige Endprodukt liegt beim jeweiligen Hersteller des Endprodukts. TEConcept liefert dafür produktbezogene Dokumentation, SBOMs, Threat Models und technische Bausteine als Input für die technische Dokumentation und die eigene CRA-Konformitätsbewertung.
CRA-Relevanz nach Produktgruppe
| Produktgruppe | Typischer Einsatz beim Kunden | CRA-Relevanz |
|---|---|---|
| IO-Link Stacks: Device Stack, Master Stack, Safety Device Stack, Safety Master Stack | Software-Komponente im kundenspezifischen IO-Link Device oder Master | Kann CRA-relevant sein, wenn der Stack Teil eines Produkts mit digitalen Elementen wird, das auf dem EU-Markt bereitgestellt wird. |
| Firmware- und Security-Bausteine: z. B. Verified Firmware Boot | Technische Sicherheitsfunktion für sichere Updates, Integrität und Authentizität der Firmware | Kann CRA-relevant sein, wenn Funktionen wie Schutz vor Manipulation, sichere Update-Mechanismen oder Integritätssicherung im Endprodukt nachgewiesen werden müssen. |
| Diagnose- und Testsysteme: IO-Link Diagnosis Tool, IO-Link Spy, Device Tester, Master Tester, Physical Layer Tester, EMC Test Master / Device, Safety Master Tester | Prüf-, Diagnose- oder Entwicklungswerkzeuge im Engineering, Labor, Service oder Audit-Kontext | Kann je nach Bereitstellung und Nutzung CRA-relevant sein. Zusätzlich können diese Werkzeuge helfen, Entwicklungs- und Prüfprozesse nachvollziehbar zu dokumentieren. |
| Developer Tools und Module: COD Device Emulator, 1-Port USB-C Master, 1-Port Master Module, 4-Port Master Module | Entwicklungswerkzeug, Evaluierungsplattform, Modul oder Integrationsbaustein | Kann CRA-relevant sein, wenn das Produkt separat bereitgestellt, in ein Endprodukt integriert oder als Bestandteil einer Produktlösung genutzt wird. |
| Kundenspezifische Integrationen und Services | Projektbezogene Anpassung, Portierung, Security-Integration, Dokumentationsunterstützung | Kann die CRA-Konformität des Kundenprodukts unterstützen, ersetzt aber nicht die finale Konformitätsbewertung des Endherstellers. |
Unsicher, welche Produktrolle auf Ihren Fall zutrifft?
Was wir liefern und was beim Endhersteller bleibt
TEConcept liefert für die eigenen Produkte und Komponenten strukturierte CRA-Unterlagen als Input für Ihre technische Dokumentation. Dazu gehören je nach Produkt SBOMs, Mappings, Threat Models und technische Beschreibungen sicherheitsrelevanter Funktionen. Die finale Risikobewertung, Systemintegration, technische Dokumentation und EU-Konformitätserklärung für das Endprodukt bleiben beim Hersteller des Endprodukts.
Welche CRA-Bausteine TEConcept bereitstellt
Für CRA-relevante TEConcept-Produkte und Komponenten stellen wir produktbezogene Unterlagen und technische Bausteine bereit, die in Ihre eigene technische Dokumentation und Konformitätsbewertung einfließen können. Die finale Bewertung und Konformitätserklärung für das Endprodukt bleiben beim jeweiligen Endhersteller.
CRA-Dokumentationspaket für Ihre Konformitätsbewertung
Produktbezogene Lieferantendokumentation mit strukturierter Einordnung CRA-relevanter Anforderungen, inklusive funktionalem Abgleich mit Annex I. Das Paket dient als Input für Ihre technische Dokumentation, nicht als Ersatz für die Konformitätserklärung Ihres Endprodukts.
Software Bill of Materials (SBOM)
SBOMs in CycloneDX-Format für TEConcept-Produkte und Software-Komponenten. Sie unterstützen Transparenz über Softwarebestandteile und können in Ihre eigene Produktdokumentation, Lieferkette und Vulnerability-Management-Prozesse integriert werden.
Threat Model für IO-Link-Komponenten
STRIDE-basiertes Bedrohungsmodell für CRA-relevante TEConcept-Komponenten, abgestimmt auf die IO-Link Security Design and Development Guideline. Es unterstützt die nachvollziehbare Bewertung typischer Bedrohungen, Schutzmaßnahmen und Restrisiken im Kontext Ihrer Produktintegration.
CRA-Readiness-Beratung
Projektbezogene Unterstützung bei der Einordnung und Umsetzung technischer Security-Maßnahmen: Secure Boot, Firmware-Signaturverifikation, Debug-Interface-Härtung, SBOM-Integration, Dokumentationsstruktur und Vorbereitung auf Audit- oder Kundenanforderungen.
Beispiel anfordern: Fordern Sie eine Beispiel-SBOM oder ein Muster für das CRA-Dokumentationspaket an.
Verified Firmware Boot: Integritätsschutz für IO-Link-Firmware
Der CRA formuliert technische Anforderungen funktional: Produkte mit digitalen Elementen sollen unter anderem vor unbefugter Veränderung geschützt werden, sichere Update-Mechanismen unterstützen und die Integrität sicherheitsrelevanter Funktionen wahren. Verified Firmware Boot adressiert diesen Bereich als technischer Baustein für IO-Link Devices: Die Komponente prüft, ob Firmware authentisch ist und nach der Signatur nicht verändert wurde.
Neu im Portfolio: Verified Firmware Boot, ein ein Add-on zu unserem IO-Link Device Bootloader. Die Komponente verifiziert die Authentizität und Integrität der Device-Firmware kryptografisch bei jedem Boot und bei jedem Firmware-Update. TEConcepts Implementierung verwendet dafür ECDSA über die NIST-P-256-Kurve. Nur Firmware, die mit dem privaten Schlüssel des legitimen Herstellers signiert wurde, kann auf dem IO-Link-Gerät geflasht und ausgeführt werden. Enthalten ist ein Python-Skript zur automatisierten Erzeugung signierter IOLFW-Dateien. Das Python Skript kann auch separat erworben werden.
Optionale Services auf Anfrage: Portierung auf Ihre Ziel-Hardware und alternative MCU-Familien, Integration mit Ihrer PKI oder Ihrem HSM sowie Schulung zum Workflow.
Verified Firmware Boot konkret: Datenblatt anfordern oder in 30 Minuten klären, ob der Baustein zu Ihrer Firmware-Update-Strategie passt.
Die IO-Link Community Security Guidelines
Unser Ansatz baut auf den beiden von der IO-Link Community veröffentlichten Sicherheitsdokumenten auf: der IO-Link Secure Deployment Guideline (V1.0.0, Juni 2025) und der IO-Link Security Design and Development Guideline (D1.0.0-01, Oktober 2025). Beide Dokumente sind unter www.io-link.com verfügbar. Sie definieren die Sicherheitsarchitektur für IO-Link-Geräte im Rahmen von IEC 62443 und setzen Security Level SL-C 1 als angemessenes Ziel für eingebettete IO-Link-Feldgeräte.
Zeitplan und nächste Schritte
SBOMs sind ab sofort verfügbar, der Verified Firmware Boot ist zeitnah Teil des Portfolios. CRA-Dokumentationspaket und Threat Model rollen wir produktweise aus. Falls Sie laufende Audis haben oder konkreten Zeitdruck, dann wenden Sie sich bitte direkt an uns.
Wann tritt der Cyber Resilience Act in Kraft?
Die ersten CRA-Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten ab September 2026. Die umfassenden Anforderungen an Produkte mit digitalen Elementen gelten ab Dezember 2027. Hersteller sollten deshalb frühzeitig technische Dokumentation, SBOM-Prozesse, Schwachstellenmanagement und Sicherheitsnachweise vorbereiten.
Welche IO-Link-Produkte können vom CRA betroffen sein?
IO-Link-Produkte können CRA-relevant sein, wenn sie als Produkt mit digitalen Elementen auf dem EU-Markt bereitgestellt werden oder als Software- oder Hardware-Komponente in ein solches Produkt eingehen. Entscheidend sind Produktrolle, Bereitstellung, Integration und Nutzung im Endprodukt.
Was ist eine SBOM?
Eine SBOM, Software Bill of Materials, ist eine strukturierte Liste der Softwarebestandteile eines Produkts oder einer Komponente. Sie unterstützt Transparenz in der Lieferkette und hilft Herstellern, bekannte Schwachstellen in verwendeten Softwarekomponenten zu identifizieren und zu bewerten.
Was leistet der Verified Firmware Boot für CRA-Konformität?
Der Verified Firmware Boot unterstützt CRA-Konformität, indem es die Authentizität und Integrität von IO-Link-Device-Firmware kryptografisch prüft. Dadurch kann nachgewiesen werden, dass nur vom legitimen Hersteller signierte und nachträglich nicht veränderte Firmware geflasht und ausgeführt wird.
Wer ist für die CRA-Konformitätserklärung verantwortlich?
Die CRA-Konformitätserklärung für das fertige Endprodukt liegt beim Hersteller dieses Endprodukts. TEConcept stellt produktbezogene Dokumentation, SBOMs, Threat Models und technische Bausteine bereit, die als Input für die technische Dokumentation und Konformitätsbewertung des Kunden dienen.
Muss jedes IO-Link-Gerät Secure Boot oder signierte Firmware-Updates haben?
Der CRA schreibt technische Anforderungen funktional vor und nennt nicht zwingend eine bestimmte Implementierung wie ECDSA, NIST P-256 oder ein konkretes Secure-Boot-Verfahren. Hersteller müssen geeignete Maßnahmen wählen, um Anforderungen wie Schutz vor Manipulation, sichere Updates und Integritätssicherung angemessen umzusetzen und zu dokumentieren.
Wie reduziert TEConcept den Aufwand für CRA-Dokumentation?
TEConcept reduziert den Aufwand, indem produktbezogene Unterlagen wie SBOMs, Mappings, Threat Models und technische Beschreibungen sicherheitsrelevanter Funktionen bereitgestellt werden. Kunden müssen diese Informationen nicht vollständig selbst erarbeiten, sondern können sie in ihre eigene technische Dokumentation und Bewertung integrieren.
Fragen oder konkreter Beratungsbedarf?
- +49 761 21443640
- +49 761 21443636
- info@teconcept.de
Sprechen Sie uns direkt an. Wir klären in 30 Minuten, welche TEConcept-Komponenten in Ihrem Fall CRA-relevant sein können und welche Bausteine Ihnen Aufwand sparen.