Cyber Resilience Act: Warum Ihr Hybrid-Wechselrichter ab 2027 ein CE-Problem haben könnte
Viele in der Branche haben das noch nicht auf dem Schirm.
Was ist der CRA?
Der Cyber Resilience Act ist die erste EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt – vom Smart-TV bis zum Hybrid-Wechselrichter. Er erweitert das bekannte CE-Kennzeichen um den Bereich Cybersecurity. Ohne CRA-Konformität: kein CE, kein Marktzugang.
Die Zeitschiene:
→ Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen – innerhalb von 24 Stunden. Das gilt auch für Produkte, die bereits im Markt sind (Art. 14 CRA). → Ab 11. Dezember 2027: Vollständige Anwendung. Nur noch CRA-konforme Produkte dürfen in der EU erstmals in Verkehr gebracht werden.
Wichtig: Bereits vor dem 11. Dezember 2027 in Verkehr gebrachte Produkte genießen Bestandsschutz nach Art. 69 CRA – sie müssen nicht nachträglich die vollständigen CRA-Anforderungen (SBOM, Konformitätsbewertung, CE-Erweiterung) erfüllen. Die Meldepflichten bei aktiv ausgenutzten Schwachstellen gelten allerdings ab September 2026 auch für diese Bestandsprodukte. Und: Bei wesentlichen Änderungen am Produkt – etwa einem umfassenden Firmware-Update – kann ein neuer Konformitätsprozess ausgelöst werden.
Warum das für Wechselrichter-Hersteller ein Weckruf ist
Jeder moderne Hybrid-Wechselrichter ist ein vernetztes Gerät. Er kommuniziert mit Batterien, Cloud-Plattformen, Smart-Meter-Gateways und Energiemanagementsystemen. Damit fällt er eindeutig in den Anwendungsbereich des CRA.
Und die Bedrohungslage ist real: Ein im März 2025 veröffentlichter Sicherheitsreport dokumentierte 46 neu entdeckte Schwachstellen bei drei der zehn weltweit führenden Inverter-Hersteller [3]. 80% aller in den letzten drei Jahren gemeldeten Schwachstellen in Solarsystemen wurden als „hoch” oder „kritisch” eingestuft.
Im Mai 2025 berichtete eine internationale Nachrichtenagentur über den Fund undokumentierter Kommunikationsmodule in chinesischen Wechselrichtern und Akkus – darunter Mobilfunk-Module, die in keiner Produktdokumentation auftauchten [4]. Das Risiko: separate Kommunikationskanäle, die Firewalls umgehen können.
Und dann war da ein aufsehenerregender Vorfall im November 2024: Ein chinesischer Hersteller deaktivierte tausende Wechselrichter über die Cloud ohne Vorwarnung – in den USA, Großbritannien und Pakistan [5]. Unabhängig davon, ob die Begründung (fehlende lokale Zulassung) nachvollziehbar war: Der Vorfall zeigte unmissverständlich, dass Hersteller über Cloud-Zugriff die volle Kontrolle über installierte Geräte haben können.
Was der CRA konkret von Herstellern verlangt
Die Anforderungen gehen weit über ein einmaliges Sicherheitsaudit hinaus:
→ Security by Design: Cybersicherheit muss von der Konzeption über die Entwicklung bis zur Wartung integriert sein.
→ Schwachstellenmanagement: Hersteller brauchen ein Product Security Incident Response Team (PSIRT) und müssen eine Software Bill of Materials (SBOM) erstellen.
→ Sicherheitsupdates: Mindestens fünf Jahre nach Markteinführung müssen Sicherheitsupdates bereitgestellt werden.
→ Meldepflichten: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden gemeldet werden, ein Abschlussbericht folgt innerhalb von 14 Tagen.
→ Lieferketten-Verantwortung: Auch zugekaufte Komponenten müssen den CRA-Anforderungen entsprechen.
Für die Konformitätsbewertung von Energiesystemen wird der vertikale Standard IEC 62443 (OT-Sicherheit) herangezogen – dieser wird voraussichtlich im Oktober 2026 als CRA-konformer Standard veröffentlicht [6].
Bei Nichteinhaltung drohen Geldstrafen bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes.
Was das für die Branche bedeutet
Für etablierte Hersteller mit großen installierten Flotten bedeutet bereits die Meldepflicht ab September 2026 eine Herausforderung: Wer Schwachstellen in Bestandsprodukten entdeckt oder ausgenutzt sieht, muss innerhalb von 24 Stunden reagieren – auch wenn das Produkt vor Jahren auf den Markt kam. Und wer weiterhin neue Geräte verkaufen will, muss diese ab Dezember 2027 vollständig CRA-konform gestalten. Besonders kritisch wird das, wenn die Firmware-Architektur nicht von Anfang an auf Updatefähigkeit ausgelegt war.
Für Importeure wird es kritisch: Ab Dezember 2027 übernehmen sie die volle Verantwortung für die CRA-Konformität jedes neu importierten Produkts. Wer Wechselrichter ohne transparente Sicherheitsarchitektur und nachweisbares Schwachstellenmanagement importiert, haftet.
Für Anlagenbetreiber und Installateure bedeutet der CRA langfristig mehr Sicherheit – aber auch die Notwendigkeit, bei der Produktauswahl genauer hinzuschauen. Nicht jeder Hersteller wird die Anforderungen bis Dezember 2027 erfüllen können.
Unser Ansatz bei awb-it
Bei der Entwicklung des Gen3 Hybrid Storage Systems haben wir Cybersicherheit von Anfang an als Designprinzip verankert – nicht als nachträglichen Compliance-Aufwand:
→ Secure by Design: Sichere Boot-Prozesse, verschlüsselte Kommunikation, Authentifizierung auf allen Schnittstellen.
→ Updatefähige Firmware-Architektur: Sicherheitsupdates können über den gesamten Produktlebenszyklus eingespielt werden – ohne Hardwaretausch.
→ Dokumentierte Sicherheitsarchitektur: Transparente SBOM und nachvollziehbares Schwachstellenmanagement von Tag eins.
→ Made in Germany: Entwicklung und Datenverarbeitung in Deutschland – keine Cloud-Abhängigkeiten von Drittstaaten.
Der CRA ist kein Hindernis. Er ist die überfällige Konsequenz aus Jahren der Vernachlässigung von Cybersicherheit in der Energietechnik. Und eine Chance für Hersteller, die das Thema ernst nehmen.
Wie bereitet ihr euch auf den CRA vor? Ist das Thema bei euch schon angekommen?
Quellen: [1] BSI – Cyber Resilience Act: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html [2] EU-Kommission – CRA Implementation: https://digital-strategy.ec.europa.eu/en/factpages/cyber-resilience-act-implementation [3] Forescout SUN:DOWN Report – Schwachstellen in Solar-Wechselrichtern (März 2025): https://www.forescout.com/blog/the-state-of-utility-cybersecurity-in-2025/ [4] Reuters – Undokumentierte Kommunikationsmodule in chinesischen Wechselrichtern (Mai 2025): https://borncity.com/blog/2025/05/18/chinesische-wechselrichter-und-akkus-mit-unbekannten-kommunikationskomponenten/ [5] Remote-Deaktivierung von Wechselrichtern (November 2024): https://borncity.com/blog/2024/11/27/deye-deaktiviert-solar-manager-in-usa-uk-und-pakistan/ [6] DKE – Cyber Resilience Act und Normung: https://www.dke.de/de/arbeitsfelder/cybersecurity/cyber-resilience-act [7] DKE – CRA-Veranstaltung, Zeitpläne und Normungsprozesse (Juli 2025): https://www.dke.de/de/normen-standards/politik-recht-strategie/news/cra-event-2025 [8] Ingenieur.de – Wechselrichter unter Spannung: Netzstabilität und IT-Security: https://www.ingenieur.de/technik/fachbereiche/energie/wechselrichter-unter-spannung-warum-netzstabilitaet-zunehmend-von-it-security-abhaengt/ [9] TÜV Rheinland – Bestandsschutz und CRA-Übergangsbestimmungen (Art. 69): https://www.tuv.com/germany/de/cyber-resilience-act.html [10] BGHM – FAQs Cyber-Resilience-Act, Bestandsprodukte und Meldepflichten: https://www.bghm.de/arbeitsschuetzer/themen/maschinen/faqs-cyber-resilience-act [11] Fraunhofer IEM – CRA Sofortmaßnahmen und Meldepflichten für Bestandsprodukte: https://www.iem.fraunhofer.de/de/newsroom/presse-und-news/cyber-resilience-act.html
#CyberResilienceAct #CRA #Cybersecurity #HybridWechselrichter #Energiespeicher #Photovoltaik #Energiewende #ITSicherheit #SecureByDesign #IoTSecurity #Netzstabilität #MadeInGermany #awbit #CyberSicherheit #SmartGrid #IEC62443 #CEKennzeichnung #Innovation