Was bedeutet der Cyber Resilience Act für den Bahn-Sektor?

In der Ausgabe von SIGNAL+DRAHT (11/2025) Magazin ist unser Artikel zum Cyber Resilience Act erschienen.

Kernfrage: Wie setzt man eine horizontale EU-Verordnung in einem Sektor um, wo Stellwerke 50 Jahre laufen und Cyber-Threats sich monatlich ändern?

Der CRA bringt zwei Deadlines, die es in sich haben: Ab September 2026 müssen aktiv ausgenutzte Schwachstellen binnen 24 Stunden gemeldet werden – und zwar für alle Produkte, auch die, die seit Jahrzehnten im Einsatz sind. Ab Dezember 2027 braucht dann jedes neue Produkt auf dem EU-Markt eine CRA-Konformitätserklärung.

Die wichtigsten Punkte im Überblick:

• Ab 11.09.2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA und das nationale CSIRT gemeldet werden – auch für Produkte, die seit 20 Jahren oder mehr auf dem Markt sind
• Ab 11.12.2027 braucht jedes neue Produkt eine CRA-Konformitätserklärung mit CE-Kennzeichnung
• Ersatzteile sind ausgenommen, solange sie identisch oder funktional gleichwertig bleiben
• Kompatible Systemerweiterungen dürfen alte, nicht CRA-konforme Schnittstellen nutzen
• IEC 62443 erfüllt bereits nahezu alle CRA-Anforderungen – wer das Framework nutzt, ist gut aufgestellt

Die gute Nachricht: Es gibt Lösungswege. Die weniger gute: „Weiter so“ ist keine Option.

Der vollständige Artikel kann hier heruntergeladen werden: