Fachbeitrag

Status Quo der Normung zum Cyber Resilience Act

IEC 62443, EN 40000 und weitere Produktstandards zur Erfüllung der CRA-Anforderungen


Fachbeitrag teilen
Share Button Linkedin  Share Button X  Share Button Facebook  Share Button Instagram  Share Button E-Mail

Bei der Erfüllung der Sicherheits- und Gesundheitsschutzanforderungen des Cyber Resilience Act wurde schon in den Entwurfsdokumenten klar, dass auch hier harmonisierten Normen eine Schlüsselrolle zukommen soll. 

Mit der Webinarreihe „CRA Standards Unlocked“ geben CEN und CENELEC derzeit erstmals konkrete Einblicke in den aktuellen Stand der europäischen Normung zum Cyber Resilience Act. Im Fokus stehen dabei nicht nur horizontale und breite vertikale Cybersecurity-Standards, sondern zunehmend auch produktspezifische Normen für konkrete Produktkategorien. 

Für Maschinenbauer und Hersteller industrieller Produkte wird so langsam sichtbar, wie die regulatorischen Anforderungen des Cyber Resilience Act künftig technisch umgesetzt und bewertet werden sollen. 

In unserem Fachbeitrag haben wir den aktuellen Stand zur CRA-Standardisierung auf Basis der Seminarreihe zusammengefasst.

 

Roadmap der CRA-Normung

Im Normungsauftrag der EU-Kommission vom Februar 2025 wurde erstmal deutlich, in welchem Umfang harmonisierte Normen zur Erfüllung der CRA-Anforderungen erstellt werden müssen und wie die Hierarchie solcher künftigen Normen aussieht. 

Horizontale Normen sollen einen kohärenten allgemeiner Rahmen in Bezug auf Sicherheitsanforderungen sowie für die Behandlung von Schwachstellen schaffen, vertikale Normen hingegen Sicherheitsanforderungen für bestimmte Produktkategorien abdecken.

Diese Hierarchie sowie ein Zeitplan für die vorgesehene Erstellung solcher Dokumente sind in folgender Grafik zusammengefasst:

Der Stichtag zur Annahme der horizontalen Typ-A-Norm(en) sowie der Typ-B-Normen zur Schwachstellenbehandlung bis spätestens 30.8.2026 vorgesehen. Typ-C-Normen für die einzelnen Produktkategorien müssen bis 30.10.2026 vorliegen, kurz vor Gültigkeit des CRA am 11.12.2027 folgen die Typ-B-Normen für technische Maßnahmen (30.10.2027). 

Die entsprechenden Kategorien auf Basis des Normungsauftrags stellen CEN/CENELEC seit Anfang 2026 schrittweise in ihrer Webinarreihe „CRA standards unlocked“ vor.

 

IEC 62443 als zentrales CRA-Framework für OT-Produkte 

Besonders in der letzten Ausgabe „Understanding ACS Technical Requirements & Compliance under EN IEC 62443“ zeichnet sich die Normenreihe IEC 62443 (IT-Sicherheit für industrielle Automatisierungssysteme) als zentrale fachliche Referenzbasis für die CRA-Compliance im industriellen Umfeld ab. 

Einen detaillierten Überblick zur Normenreihe, speziell aus Sicht von Herstellern von Maschinen und Anlagen, finden Sie in unserem Fachbeitrag Maschinenverordnung, Cyber Resilience Act (CRA) und IEC 62443. 

Vor allem drei Normteile der IEC 62443 stehen aktuell bei der Erfüllung der CRA-Anforderungen im Mittelpunkt: 

  • IEC 62443-4-1 über Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung 
  • IEC 62443-4-2 über Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IACS) 
  • IEC 62443-3-3 über Systemanforderungen zur IT-Sicherheit und Security-Level, wobei der regulatorische Stellenwert dieser Norm derzeit noch offen ist.

In der Webinarreihe wurde so verdeutlicht, dass die EN IEC 62443-4-1 die Grundlage des gesamten Modells bildet, in dem der sichere Entwicklungsprozess des Herstellers beschrieben wird. Im Mittelpunkt stehen Anforderungen wie Security-by-Design, Secure Coding, Threat Modeling, Security Testing, Vulnerability Handling oder Patch-Management. Die Norm definiert also, wie ein Hersteller Produkte sicher entwickeln und über den Lebenszyklus hinweg identifizierte Schwachstellen angemessen behandeln muss. 

Darauf baut anschließend die IEC 62443-4-2 auf. Diese Norm beschreibt die konkreten technischen Security-Anforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme – beispielsweise Embedded Devices, SPSen, HMIs, Netzwerkkomponenten oder industrielle PCs. 

Die IEC 62443-3-3 definiert dagegen „System Security Requirements“ und beschreibt, welches Sicherheitsniveau („Security Level“) ein Gesamtsystem erreichen soll. Gerade für Maschinenbauer ist das hochrelevant. Moderne Maschinen bewegen sich heute häufig zwischen Produkt und System: Sie bestehen aus mehreren Komponenten, besitzen interne Netzwerke, Fernwartung, Benutzerverwaltung oder Cloud-Anbindungen. Dadurch verschwimmen die Grenzen zwischen 4-2-Produktanforderungen und 3-3-Systemanforderungen zunehmend.
 

Seminarhinweis

Cyber Resilience Act (CRA) für Hersteller von Maschinen und Geräten


In diesem 1-tägigen Seminar erfahren Sie praxisnah, welche Pflichten der Cyber Resilience Act (CRA) für Hersteller von Maschinen, Anlagen und elektrischen Geräten mit sich bringt und wie Sie diese effizient und rechtssicher erfüllen.

Neue prEN-50770-Standards konkretisieren OT-Produktanforderungen

Parallel zur IEC 62443 entsteht derzeit mit der prEN-50770-Reihe eine neue Generation vertikaler CRA-Standards für konkrete OT-Produktkategorien. In den bisherigen Webinar-Sessions wurden unter anderem folgende Produktklassen adressiert:

  • prEN 50770-1 über Firewalls / IDS / IPS 
  • prEN 50770-2 über Network management systems
  • prEN 50770-3 über Physical and virtual network interfaces 
  • prEN 50770-4 über VPN products 
  • prEN 50770-5 über Routers / switches 
  • sowie prEN 50770-6 über SIEM (Security Information and Event Management)

So definieren die IEC 62443-Normen die generische Sicherheitsbasis, während die prEN-50770-Normen konkrete Sicherheitsprofile für spezifische Produkttypen beschreiben sollen. Dadurch entsteht erstmals ein konkreter technischer Rahmen dafür, wie CRA-Anforderungen künftig auf OT-Produkte angewendet werden sollen. 
 

Neuer Begriff „Core Functionality“ 

Ein interessanter Aspekt der aktuellen Entwicklung von CRA-Normen ist der Fokus auf die sogenannte „Core Functionality“ eines Produkts. 

In dem im Webinar vorgestellten Firewall-Beispiel wurde deutlich, dass künftig stärker zwischen Kernfunktion und Zusatzfunktionen unterschieden werden soll. Die eigentliche Kernfunktion einer Firewall besteht darin, Netzwerkverkehr zu überwachen und unerlaubte Kommunikation zu blockieren. Zusätzliche Funktionen wie Analytics, Dashboards oder Load-Balancing werden hingegen separat betrachtet. 

Die aktuellen Arbeiten deuten auf einen Bewertungsansatz hin, bei dem für die Kernfunktion eines Produkts spezifische vertikale Standards wie beispielsweise prEN 50770-1 gelten sollen, während zusätzliche Funktionalitäten weiterhin über generische Anforderungen der IEC 62443-4-2 bewertet werden.

 

Horizontale Normen: Die EN-40000-Serie als Fundament

Neben den IEC-62443-basierten OT-Standards und den neuen prEN-50770-Produktnormen entsteht derzeit auf europäischer Ebene vor allem ein neues horizontales CRA-Normensystem. Dieses wurde insbesondere in der Webinar-Session „Deep Dive Session Security Controls – Generic Security Requirements“ vorgestellt und dürfte künftig die generische Grundlage für nahezu alle CRA-konformen Produkte bilden. 

Inhaltlich geht es dabei um typische Cybersecurity-Bausteine wie sichere Authentifizierung, Zugriffskontrolle, sichere Kommunikation, Kryptografie, sichere Standardkonfigurationen, Logging, Angriffserkennung oder sichere Update-Mechanismen. Viele dieser Anforderungen basieren auf bestehenden Arbeiten aus der EN-18031-Reihe, die ursprünglich für die RED entwickelt wurde. Die neue EN-40000-Serie erweitert diese Ansätze nun jedoch und überträgt sie auf den deutlich breiteren CRA-Anwendungsbereich. 

Im Zentrum steht dabei die neue EN-40000-Normenfamilie, die aktuell innerhalb von CEN/CLC/JTC 13 WG9 entwickelt wird. Ziel dieser Arbeiten ist es, die bislang abstrakten Anforderungen des Cyber Resilience Act erstmals in ein konsistentes technisches Framework zu überführen. 

Nach aktuellem Stand der Arbeiten soll die EN 40000-1-2 die grundlegenden Prozess- und Lifecycle-Aktivitäten beschreiben sowie definieren, welche Ziele erreicht werden müssen, welche Eingaben verpflichtend oder optional sind und welche Ergebnisse mindestens erwartet werden. Im Mittelpunkt stehen dabei klassische Security-Engineering-Aktivitäten wie Risikoanalysen, Anforderungsmanagement und die Auswahl geeigneter Security Controls. 

Während die EN 40000-1-2 beschreibt, dass Risiken bewertet und geeignete Sicherheitsmaßnahmen ausgewählt werden müssen, liefert die EN 40000-1-4 anschließend die eigentlichen technischen Security Controls dafür. Diese Security Controls sollen verschiedene Ausprägungs- oder Reifegrade besitzen. Dadurch entsteht ein flexibles und risikobasiertes Modell, bei dem nicht zwangsläufig jede Sicherheitsmaßnahme identisch umgesetzt werden muss. 

Die EN 40000-1-3 ergänzt diesen Ansatz schließlich um den Lifecycle- und Vulnerability-Management-Aspekt. Dort werden detailliertere Prozessaktivitäten beschrieben – beispielsweise Security Monitoring, Verifikation, Validierung oder Release-Prozesse. Gleichzeitig soll die Norm konkrete Bewertungskriterien definieren, die später für die Vermutungswirkung relevant werden können. 

Einen detaillierten Überblick zur geplanten prEN 40000-1-3 finden Sie in unserem Beitrag „Normentwurf prEN 40000-1-3: "Umgang mit (Cyber-)Schwachstellen".
 

Konferenzhinweis

Umsetzung des Cyber Resilience Acts (CRA) im Maschinenbau


In dieser 1-tägigen WEB-Konferenz erfahren Sie, welche Aspekte des Cyber Resilience Act (CRA) speziell für Hersteller im Maschinen- und Anlagenbau von Bedeutung sind und welche (Security-) Anforderungen dadurch auf Sie zukommen werden.

Status Quo und Veröffentlichung im EU-Amtsblatt

Obwohl der Normenreihe IEC 62443 bei der Erfüllung der CRA-Anforderungen eine Schlüsselrolle zukommt, ist aufgrund der bisherigen Aussagen eine Veröffentlichung der Teile -4-1, -4-2 und auch -3-3 eher nicht zu erwarten. Aktuell werden zwar für die Teile -4-1 sowie -4-2 Änderungsdokumente erstellt, jedoch ist auch bei diesen Normen sehr wahrscheinlich nicht mit einer Listung im Amtsblatt zu rechnen. 

Eine solche Konformitätsvermutung ist derzeit lediglich für die Normenreihe der „Verticals“ (EN 50770-1 bis -6) vorgesehen. Diese Normen definieren „Security for Operational Technologies“ und basieren als Produktnormen stark auf den Inhalten der IEC 62443-Reihe, sind vom Charakter aber keine „Broad Verticals“, also nicht generisch sektorübergreifend. 

Dennoch bleiben die Normen der IEC 62443-Reihe voraussichtlich die zentrale fachliche Grundlage für die spätere Konformitätsvermutung: Laut Aussage der Referenten wird beispielsweise die Risikoanalyse aus IEC 62443-4-1 für sämtliche Teile der Reihe EN 50770 als Vorgehensweise für die unterschiedlichen Produktspezifika definiert. 

Bei den horizontalen Normen wird aktuell lediglich eine Listung für die prEN 40000-1-3 (Vulnerability Handling) erwartet, für Teil 1-2 (Principles, product risk management, and lifecycle activities) ist dies derzeit nicht vorgesehen. Diese beiden Normen sollen bis spätestens August 2026 angenommen worden sein, Teil 1-4 ist erst für Herbst 2027 vorgesehen.

Fazit und Ausblick

Insgesamt wird deutlich, dass die europäische CRA-Normung inzwischen von der Diskussion in die technische Konkretisierung übergeht. 

Auf Basis der Webinarreihe zeigen sich jedoch auch die unterschiedlichen Positionen der Gesetzgeber und Normen-Komitees: Im Bereich Cybersecurity führt die Erstellung harmonisierter Normen nicht automatisch zu einer vollständig konkreten technischen Sicherheitsdefinition wie im Bereich der Maschinensicherheit. 

Lösungen zur Umsetzung der gesetzlichen Anforderungen werden hier anders gedacht, weshalb Anwender Normen trotz fehlender Listung im Amtsblatt als Schlüsseldokumente betrachten müssen. 


Verfasst am: 06.07.2026

Autor: Daniel Zacek-Gebele

Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.

CE-Infoservice – jetzt anmelden!

Wir informieren Sie kostenlos per E-Mail über neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance.


Fachbeitrag teilen
Share Button Linkedin  Share Button X  Share Button Facebook  Share Button Instagram  Share Button E-Mail

Unterstützung durch IBF

CE-Software Safexpert

CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering

Praxis-Seminare

Praxisgerechte Seminare rund um das Thema Produktsicherheit

Bleiben Sie Up-to-Date!

Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit