Harmonisierte europäische CRA-Normen für die Industrie

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen geschaffen. Ziel ist, dass Hard- und Softwareprodukte bereits beim Inverkehrbringen und über ihren gesamten Lebenszyklus hinweg ein angemessenes Cybersicherheitsniveau aufweisen. Der CRA ist am 10. Dezember 2024 in Kraft getreten – die meisten Verpflichtungen gelten ab 11. Dezember 2027, aber einzelne Meldepflichten bereits ab dem 11. September 2026.

Gerade weil der CRA bewusst technologieneutral formuliert ist, sind harmonisierte europäische Normen ein wichtiger Baustein zur effizienten Umsetzung der regulatorischen Anforderungen in der Industrie. Sie übersetzen abstrakte gesetzliche Anforderungen in konkrete, nachvollziehbare und prüfbare technische Spezifikationen. Wer solche harmonisierten Normen anwendet, erhält die Konformitätsvermutung für die jeweils abgedeckten Anforderungen entsprechend der Definitionen zu den Produktkategorien im CRA. Die Verwendung der Normen ist aber freiwillig – Hersteller können auch andere im CRA definierte Vorgangsweisen wählen, um die Erfüllung der Anforderungen nachzuweisen.

Der europäische Normungsansatz: horizontal und vertikal

Für die Konkretisierung des CRA hat die Europäische Kommission den Normungsauftrag M/606 erteilt. Die Arbeiten folgen einem zweistufigen Ansatz: Horizontale Normen schaffen einen produktunabhängigen gemeinsamen Rahmen, und vertikale Normen konkretisieren die Anforderungen für einzelne Produktkategorien. Priorisiert sind dabei insbesondere die in den Anhängen III und IV des CRA genannten wichtigen und kritischen Produktkategorien.

Auf Basis der existierenden Strukturen in der europäischen Normung wurden die Aufgaben auf verschiedene Normungsgremien verteilt. CEN/CLC/JTC 13/WG 9 koordiniert die horizontalen Grundlagendokumente. ETSI TC CYBER fokussiert sich auf vertikale Standards für Consumer- und IT-nahe Produktgruppen. CLC/TC 65X/WG 3 adressiert den OT- und Industrie-Bereich und nutzt dafür die Normenreihe EN/IEC 62443 als fachliches Fundament. Weitere technische Komitees, etwa CLC/TC 47X „Semiconductor Device and Trusted Chips“ oder CEN/TC 224 für Secure Elements, ergänzen entsprechende Standards für bestimmte Produktkategorien.

Horizontale CRA-Normen der Reihe EN-40000

Für die horizontalen Basisnormen, welche unabhängig von einer bestimmten Produktkategorie Hilfestellungen bei der Umsetzung der CRA-Anforderungen geben, wird gerade an der Normenreihe EN 40000 gearbeitet. EN 40000-1-1 liefert die gemeinsame Terminologie. EN 40000-1-2„Principles for Cyber Resilience“ ist die prozessorientierte Klammer: Die Norm adressiert das risikobasierte Vorgehen über den gesamten Produktlebenszyklus. Im Mittelpunkt stehen also Sicherheitsprinzipien, Risikoanalyse, Ableitung von Maßnahmen und die Erwartung, dass der Hersteller seine Sicherheitsziele, Inputs, Aktivitäten und Ergebnisse systematisch definiert und dokumentiert.

EN 40000-1-3„Vulnerability Handling“ deckt die Pflichten aus Anhang I Teil II des CRA ab. Hier stehen Schwachstellenmanagement, Security Updates, Coordinated Vulnerability Disclosure, Testing, SBOM-bezogene Informationen und die Marktphase des Produkts im Mittelpunkt. Diese Norm ist damit für viele Hersteller besonders operativ relevant, weil sie unmittelbar Support-, Update- und Incident-Prozesse betrifft.

EN 40000-1-4 „Generic Security Requirements“ ist das Fundament für die Umsetzung der technischen Anforderungen aus Annex I Teil I. Genau dieser Teil ist für spätere vertikale Normen besonders wichtig, weil er die Brücke zwischen den abstrakten CRA-Schutzzielen und konkreten produktspezifischen Sicherheitsanforderungen schlägt. Vereinfacht gesagt: EN 40000-1-2 beschreibt die grundsätzlichen Abläufe in der Produktentwicklung, EN 40000-1-3 den Umgang mit Schwachstellen in Produkten und EN 40000-1-4 die technischen Sicherheitsmaßnahmen.

Der Entwicklungsstand ist im Frühjahr 2026 unterschiedlich weit. Für EN 40000-1-2 und EN 40000-1-3 liegen Entwürfe zum Review in den nationalen Spiegelkomitees vor. Für EN 40000-1-4 sind die Arbeiten noch am Laufen. Nach dem ursprünglichen gemeinsamen Arbeitsprogramm von CEN, CENELEC und ETSI sind für EN 40000-1-2 und EN 40000-1-3 Zieltermine im August 2026 vorgesehen, während EN 40000-1-4 deutlich länger angelegt ist und im Arbeitsprogramm bis Oktober 2027 reicht.

Diese Normen decken zwar generisch die Anforderungen aus dem CRA ab, werden aber (mit Ausnahme der EN 40000-1-3) voraussichtlich nicht als „harmonisierte Normen“ zur Erlangung der Konformitätsvermutung veröffentlicht werden, da sie keine der im CRA definierten Produktkategorien adressieren. Diese harmonisierten Normen werden spezifisch für die entsprechenden Produktkategorien in verschiedenen anderen Arbeitsgruppen erarbeitet.

Vertikale Standards im Consumer- und IT-Umfeld

Die ETSI arbeitet auf Basis der EN 303 645 („Cyber Security for Consumer Internet of Things“) an harmonisierten Normen für verschiedene im CRA definierte Produktkategorien mit Fokus auf Consumer- und IT-Produkte. Die in Ausarbeitung befindlichen Standards der EN-304-6xx-Familie umfassen Normen etwa für Browser, Passwortmanager, Antivirus-Lösungen, VPN-Produkte, Network-Management- und SIEM-Systeme, Boot Manager, PKI- und Zertifikatssoftware, physische und virtuelle Netzwerkschnittstellen, Betriebssysteme, Router/Modems/Switches sowie Smart-Home-Assistenten, Smart-Home-Sicherheitsprodukte, vernetzte Spielzeuge, Wearables, Hypervisors und Firewalls.

Zahlreiche dieser Projekte haben bereits einen fortgeschrittenen Reifegrad erreicht. Einzelne Normen sind bereits in der finale Abstimmungsphase, an anderen wird noch intensiver gearbeitet. Für Hersteller bedeutet das: Im Consumer- und allgemeinen IT-Bereich wird die vertikale CRA-Normung bereits sehr konkret. Anwender:innen müssen auch nicht auf die finale Veröffentlichung dieser Normen warten – traditionell macht ETSI die Arbeiten an Standards frühzeitig über offene Entwürfe sichtbar. Im Jänner und Februar 2026 wurden unter anderem Standards zu Browsern, Passwortmanagern, Antivirus, Operating Systems, SIEM-Systemen, physischen und virtuellen Netzwerkschnittstellen sowie Consumer-IoT-Produkten in öffentlichen Sessions diskutiert, womit sich bereits ein guter Einblick in die kommenden Normen gewinnen lässt.

Die OT-Welt: vertikale Standards auf Basis von EN/IEC 62443

Für die Industrie und Geräte im Umfeld der OT (Operational Technology) arbeitet das Gremium CLC/TC 65X/WG 3 an entsprechenden harmonisierten Normen. Dabei setzt man nicht auf ein neues europäisches Sonderregelwerk, sondern auf die gezielte Weiterentwicklung der etablierten IEC-62443-Reihe. Der Grundgedanke lautet: internationale Anschlussfähigkeit bewahren, aber die zusätzlichen Anforderungen des europäischen CRA – insbesondere die notwendigen Voraussetzungen für eine Veröffentlichung als harmonisierte Norm – durch europäische Ergänzungen abbilden.

Dazu wurde im ersten Schritt an den Kernbausteinen IEC 62443-4-1 für den sicheren Produktentwicklungslebenszyklus und IEC 62443-4-2 für technische Komponentenanforderungen gearbeitet, und später soll auch die IEC 62443-3-3 für Anforderungen auf Systemebene folgen. Die Ergebnisse dieser Arbeit befinden sich derzeit als angepasste EN/IEC-62443-4-1- und EN/IEC-62443-4-2-Versionen im Abstimmungsprozess der nationalen Gremien. Zusätzlich zu diesen angepassten 62443-Basisdokumenten sind dann produktspezifische Security Profiles auf Basis dieser EN/IEC-62443-Standards vorgesehen, welche die Produktkategorien, wie z. B. VPN, Network Management Systems, SIEM-Systeme, physische und virtuelle Netzwerkschnittstellen, Router/Modems/Switches sowie Firewalls und Intrusion Detection/Prevention, abdecken. Inhaltlich orientiert man sich dabei an den Vorgaben der IEC 62443-1-5: Zunächst wird ein generischer Rahmen geschaffen, darauf aufbauend folgen Profile für konkrete Produktklassen. In Bezug auf die Nummerierung wurde inzwischen festgelegt, dass diese harmonisierten OT-Normen für die verschiedenen Produktkategorien in den Nummernkreis EN-50770-X eingeordnet werden.

Aus industrieller Sicht ist das ein pragmatischer Weg. Hersteller können auf bestehende 62443-Erfahrungen, -Prozesse und -Nachweise aufsetzen und diese um europäische CRA-spezifische Elemente ergänzen. Derzeit wird intensiv an den ersten Entwürfen für diese Produktkategorie-spezifischen Standards gearbeitet. Leider sind die zeitlichen Vorgaben der europäischen Institutionen mit den Abläufen in der konsensorientierten Normentwicklung nur bedingt kompatibel – die Arbeiten in den Gremien laufen unter hohem Zeitdruck, damit die Ergebnisse möglichst rasch als harmonisierte Normen veröffentlicht werden können.

Auf den ersten Blick kann sich für Anwender:innen und Hersteller dadurch ein zeitliches Problem ergeben, da nach der Veröffentlichung der Normen die Anforderungen ja auch noch bis zu den jeweiligen Fristen des CRA umgesetzt werden müssen. Genau hier zeigt sich aber der Vorteil der gewählten Vorgangsweise: Nachdem alle produktspezifischen Normen für den OT-Bereich auf den etablierten und bereits vor einiger Zeit veröffentlichten Standards IEC 62443-4-1 und IEC 62443-4-2 basieren, gibt es keine Notwendigkeit zu warten. Wenn in einem Unternehmen bzw. für ein Produkt die Anforderungen aus den IEC-Basisnormen umgesetzt sind, ist die Umsetzung der CRA-spezifischen Anpassungen in den EN-Versionen nur mehr ein kleiner Schritt, der dann nach Veröffentlichung der harmonisierten Standards problemlos nachgezogen werden kann.

Einordnung und Ausblick

Damit ergibt sich im Frühjahr 2026 ein differenziertes, insgesamt aber positives Bild. Der regulatorische Rahmen steht, der Weg für die Umsetzung ist klar erkennbar, und die Umsetzung der harmonisierten Standards läuft auf Hochtouren. Noch ist das System nicht vollständig fertig, aber für Unternehmen ist ein einfacher Weg vorgezeichnet. Wer heute seine Entwicklungsprozesse und die technischen Sicherheitsanforderungen seiner Produkte systematisch an der IEC 62443 ausrichtet, ist auf dem richtigen Weg zur Sicherstellung der CRA-Konformität.

Neben den Normungstätigkeiten planen wir auch für dieses Jahr wieder die IEC-62443-Cybersecurity-Tagung für einen Austausch über aktuelle Themen rund um industrielle Cybersicherheit. Als Termin haben wir in diesem Jahr den Dienstag, 6. Oktober 2026, vorgesehen. Wie immer freuen wir uns über Vorschläge für Beiträge bei der Veranstaltung – bitte dazu einfach ein kurzes Mail an t@b-sec.net senden.

Porträtfoto Thomas Bleier
DI Thomas Bleier, MSc
OVE-OEK-Vorsitzender des TSK MR65 und der AG MR65 IACS Security |
OVE-Informationstechnik, Arbeitsgruppenleiter Cyber Security

Chief Security Improvement Officer und Geschäftsführer
B-SEC better secure GmbH & Co KG

Mail
Verwandte Themen
Porträtfoto Mario Drobics
#Digitalisierung#Cyber Security & Data Spaces
Data Spaces – Season 2

Die Diskussion rund um Datenräume hat deutlich an Fahrt aufgenommen. Durch Digitalisierung, steigende regulatorische Anforderungen und zunehmenden Einsatz von KI rückt der Wert von Daten immer stärker in das Bewusstsein der Unternehmen.

weitelesen mehr erfahren
Porträtfoto Helmut Leopold
#Digitalisierung#Mensch & Digitalisierung
PeaceTech Alliance – Connecting Peacebuilders and Technology

Humanity’s great dream of a peaceful world feels as distant today as it did at the time of the Second World War. This alarming situation, however, is matched by a no less enormous array of peacekeeping missions (keyword: peacebuilding).

weitelesen mehr erfahren
Ein lächelnder Mann mit kurzen Haaren und blauer Jacke vor einem unscharfen Hintergrund.
#Digitalisierung#Kommunikationsnetze
Energieeffiziente Funkkommunikation

Mobilfunkkommunikationssysteme bilden mehr und mehr das „zentrale Nervensystem“ für die Digitalisierung vieler vertikaler Branchen wie Transport und Fertigung. Der Energieverbrauch ist dabei ein wichtiger Parameter, da das Mooresche Gesetz bald an physikalische Grenzen stößt.

weitelesen mehr erfahren

Das Element kann nicht angezeigt werden. Um das Element zu sehen, akzeptieren Sie die Marketing-Cookies.

Cookie-Einstellungen öffnen
Kontakt
Verband
Jobs
Presse
Shop
EN
Datenschutzeinstellungen

Auf unserer Webseite werden Cookies verwendet. Einige davon werden zwingend benötigt, während es uns andere ermöglichen, Ihre Nutzererfahrung auf unserer Webseite zu verbessern.

Essentiell

Essentielle Cookies werden für grundlegende Funktionen der Webseite benötigt. Dadurch ist gewährleistet, dass die Webseite einwandfrei funktioniert.

Name
omCookieConsent
Beschr.

Speichert die vom Benutzer gewählten Cookie-Einstellungen.

Speicherdauer
365 Tage
Provider
Oliver Pfaff - Olli macht's

Marketingcookies umfassen Tracking und Statistikcookies

Name
_ga, _gid, _gat, __utma, __utmb, __utmc, __utmd, __utmz
Beschr.

Diese Cookies werden von Google Analytics verwendet, um verschiedene Arten von Nutzungsinformationen zu sammeln, einschließlich persönlicher und nicht-personenbezogener Informationen. Weitere Informationen finden Sie in den Datenschutzbestimmungen von Google Analytics unter https://policies.google.com/privacy. Gesammelte nicht personenbezogene Daten werden verwendet, um Berichte über die Nutzung der Website zu erstellen, die uns helfen, unsere Websites / Apps zu verbessern. Diese Informationen werden auch an unsere Kunden / Partner weitergegeben.

Speicherdauer
Mehrere - variieren zwischen 2 Jahren und 6 Monaten oder noch kürzer.
Provider
Google LLC
Name
Youtube
Beschr.

Werden zur Anzeige von YouTube Videos und Speicherung von User-Einstellungen genutzt.

Speicherdauer
Aktuelle Browsersitzung
Provider
YouTube
Name
fbp, FR
Beschr.

Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.

Speicherdauer
3 Monate
Provider
FACEBOOK
Datenschutz