Ihre Maschinen abbilden
Resilic bildet Ihre Flotte als Produkt → Versionen → Auslieferungen (Kunde × Standort) ab. Wie Ihre Maschinen darauf abgebildet werden, hängt davon ab, wie Sie bauen — und wer rechtlich Hersteller wovon ist.
Wer ist Hersteller wovon?
Abschnitt betitelt „Wer ist Hersteller wovon?“Nach der CRA sind Sie Hersteller der Maschine, die Sie in Verkehr bringen — einschließlich Ihrer eigenen SPS-Applikation, des HMI-Projekts und der Integration. Die Hersteller dessen, was Sie integrieren — der Steuerungshersteller für Controller und Firmware, der OS-Hersteller, der Router-Hersteller — sind CRA-Hersteller ihrer Produkte mit eigenen Pflichten.
Ihre Pflicht für integrierte Teile ist die Sorgfaltspflicht (CRA Art. 13(5), gilt ab 11. Dez. 2027): Bei der Integration von Drittkomponenten — kommerziell, Hardware und Open Source gleichermaßen — prüfen Sie, dass sie die Cybersicherheit der Maschine nicht beeinträchtigen: Konformitätsstatus des Herstellers, dessen Update-Historie, Abgleich mit Schwachstellen- Datenbanken. Identifizieren Sie eine Schwachstelle in einer integrierten Komponente, melden Sie sie an deren Hersteller (Art. 13(6)) und behandeln die Auswirkung auf Ihre Maschine. Die Qualifizierungsakte, das Lieferanten-SBOM-Portal und die Signaturprüfung sind genau dafür da.
Serienmaschinen
Abschnitt betitelt „Serienmaschinen“Ein Produkt je Maschinentyp — z. B. „Verpackungslinie VL-500“. Versionen sind Ihre Software-/Konfigurationsstände, jede mit ihrer SBOM. Auslieferungen sind die Installationen bei Kunden, Standorten und Ländern. Bei einem Schwachstellen-Treffer beantwortet Resilic die Betroffenheitsfrage direkt: welche Versionen, welche Kunden, welche Standorte.
Sondermaschinen
Abschnitt betitelt „Sondermaschinen“Zwei ehrliche Optionen:
- Ein Produkt je Maschine („SPM-2026-047 — Abfüllanlage“): eine Version, eine Auslieferung. Das entspricht der Rechtslage am saubersten — jede in Verkehr gebrachte Maschine trägt ihre eigene technische Dokumentation und Risikobeurteilung, und in Resilic gehören diese Dokumente zum Produkt. Richtig für wirklich einmalige Maschinen.
- Plattform als Produkt, wenn Ihre Sondermaschinen eine gemeinsame Basis teilen: Jede Kundenmaschine wird eine Version der Plattform mit maschinenspezifischer SBOM, ausgeliefert bei diesem Kunden. Weniger Registerrauschen, geteilte Korrelation — passend, wenn Ihre technische Dokumentation tatsächlich plattformbasiert mit maschinenspezifischen Anhängen ist.
In beiden Fällen ist das Komponentenregister arbeitsbereichsweit: dasselbe OpenSSL in dreißig Maschinen wird einmal geführt und korreliert.
Was in die SBOM der Maschine gehört
Abschnitt betitelt „Was in die SBOM der Maschine gehört“Alles mit digitalen Elementen, das Sie ausliefern: Steuerungs-Firmware, Router- und Bildverarbeitungs-Firmware, Antriebs-Firmware, die HMI-/SCADA-Laufzeit, der Betriebssystem-Stand — und Ihre eigene Software (SPS-Projekt, HMI-Applikation), denn deren Hersteller sind Sie. Drei Wege hinein:
- Upload einer CycloneDX- oder SPDX-Datei aus Ihrer Engineering-Toolchain.
- Manuelle Komponenten für Geräte, die nie eine SBOM-Datei haben werden — ein Router sind drei Felder (Name, Version, CPE).
- Beim Lieferanten anfordern über das tokenbasierte Portal — mit Signaturprüfung, wenn der Lieferant seine SBOMs signiert.
Wo ein Hersteller CPE-Kennungen veröffentlicht (Industriehersteller tun das typischerweise in ihren Security Advisories), erfassen Sie sie — CPEs machen die Schwachstellen-Korrelation präzise.
Wie tief? Die Frage der transitiven Komponenten
Abschnitt betitelt „Wie tief? Die Frage der transitiven Komponenten“Nutzt ein integriertes Produkt intern eine Bibliothek (etwa OpenSSL in einer Controller-Firmware), ist diese Bibliothek Sache des Komponentenherstellers, nicht Ihre. Das SBOM-Minimum der CRA (Anhang I Teil II (1)) umfasst mindestens die Top-Level-Abhängigkeiten Ihres Produkts — die Controller-Firmware ist Ihre Top-Level-Komponente; was darin steckt, gehört zur SBOM und zu den Pflichten ihres Herstellers.
Praktisch ist das Einlesen einer tieferen Lieferanten-SBOM (wenn angeboten) eine nützliche Frühwarn-Option: Eine aktiv ausgenutzte Bibliotheks-Schwachstelle erscheint dann sofort auf Ihrem Flotten-Dashboard, oft vor dem Advisory des Herstellers — um den Preis von mehr „Prüfung nötig“-Treffern in der Triage. Top-Level ist die Pflicht; tiefer ist Ihre Wahl. Resilic unterstützt beides, und keines erzeugt eine Pflicht, die nicht in der Verordnung steht.
Das Kundenverzeichnis
Abschnitt betitelt „Das Kundenverzeichnis“Jede erfasste Inbetriebnahme benennt den Kunden, der die Maschine betreibt. Resilic gruppiert das automatisch zu einem Kundenverzeichnis (Seite „Kunden“): ein Eintrag je Kunde (der Name wird unabhängig von Groß-/Kleinschreibung zusammengeführt — „ACME Pharma“ und „Acme Pharma“ sind derselbe Kunde), mit Anzahl der Inbetriebnahmen und Produkte. Nichts zu pflegen — das Verzeichnis baut sich aus den Inbetriebnahmen auf, ob von Hand erfasst oder per CSV-Flottenimport.
Heute ist das Verzeichnis die schreibgeschützte Sicht „wer betreibt unsere Maschinen“. Es ist zugleich das Fundament, um betroffene Nutzer über Schwachstellen und Vorfälle (CRA Art. 14 Abs. 8) direkt aus Resilic zu informieren — Benachrichtigungs-Abonnements je Kunde stehen auf der Roadmap.
Hinweis zur Anwendbarkeit
Abschnitt betitelt „Hinweis zur Anwendbarkeit“Art.-13-Pflichten (Sorgfalt, SBOM, Secure-by-Design) gelten ab dem 11. Dezember 2027; die Meldepflichten des Artikels 14 ab dem 11. September 2026. Resilic rahmt all dies als Vorbereitung — es zertifiziert keine Konformität.