Das European Telecommunications Standards Institute (ETSI) hat einen wichtigen Meilenstein im Rahmen der Umsetzung des Cyber Resilience Act (CRA) erreicht: Sieben Normenentwürfe für verschiedene Produktkategorien wurden zur öffentlichen Konsultation veröffentlicht. Diese Entwürfe bilden die erste konkrete Brücke zwischen den gesetzlichen Anforderungen der CRAs und ihrer praktischen, technischen Umsetzung.
Überblick: Die veröffentlichten Normenentwürfe
ETSI hat folgende Draft-Standards über seine Open Consultation Platform zugänglich gemacht:
- EN 304 618 – Password Managers (Version 0.0.3, 29.09.2025)
- EN 304 619 – Antivirus (Version 0.0.5, 30.09.2025)
- EN 304 623 – Boot Managers (Version 0.0.4, 30.09.2025)
- EN 304 625 – Network Interfaces (Version 0.0.5, 22.09.2025)
- EN 304 626 – Operating Systems (Version 0.0.6, 22.09.2025)
- EN 304 627 – Routers, Modems, Switches (Version 0.0.7, 29.09.2025)
- EN 304 635 – Virtualisation & Containers (Version 0.0.6, 01.10.2025)
Mit einem Gesamtumfang von über 400 Seiten stellen diese Dokumente einen umfassenden Rahmen dar, der aber noch deutliche Überarbeitungen erfahren wird.
Struktureller Aufbau der Standards
Die ETSI-Normenentwürfe folgen einem einheitlichen, vierstufigen Konzept, das Klarheit und Nachvollziehbarkeit in die Cybersicherheitsanforderungen bringt:
1. Use Cases – Realistische Einsatzszenarien
Jeder Standard beginnt mit konkreten Anwendungsfällen, die typische Deployment-Szenarien für Products With Digital Elements (PWDE) beschreiben.
Beispiel aus EN 304 623 (Boot Manager): Der Use Case “Home Modem” beschreibt die typische häusliche Umgebung, bereits vorhandene Sicherheitsmaßnahmen sowie erwartete Nutzungsmuster wie Internet-Browsing, Homeoffice und Online-Gaming. Diese realitätsnahe Herangehensweise ermöglicht es Herstellern, ihre Produkte in den richtigen Kontext zu setzen.
2. Threats and Risk Considerations – Bedrohungen und Risiken
Aufbauend auf den Use Cases analysieren die Standards systematisch die Bedrohungslandschaft, identifizieren spezifische Risikofaktoren und berücksichtigen produktspezifische Fähigkeiten bei der Risikobewertung.
Beispiel aus EN 304 626 (Operating Systems): Die Risikotoleranz wird in vier Stufen klassifiziert – von kritischen Umgebungen (RT-C: hohe Sensitivität, geringe Toleranz) bis zu Umgebungen mit hoher Risikotoleranz (RT-H: vernachlässigbare potenzielle Schäden, keine Erwartung regelmäßiger Sicherheitsupdates). Diese Kategorisierung berücksichtigt das Produkt aus potenziellem Schaden und Eintrittswahrscheinlichkeit.
3. Mitigations – Sicherheitsmaßnahmen und Anforderungen
Um die identifizierten Risiken zu adressieren, schlagen die Standards verschiedene Mitigationsmaßnahmen vor. Diese umfassen technische Anforderungen und Sicherheitsmaßnahmen, die implementiert werden müssen.
Ein interessanter Ansatz findet sich in EN 304 627 (Router), der “Capability-based conditions” verwendet: Die spezifischen Fähigkeiten eines Produkts bestimmen, welche Sicherheitsanforderungen relevant sind. Dies ermöglicht eine flexible, produktgerechte Anwendung der Standards.
4. Assessment – Objektive Prüfbarkeit
Die Standards definieren Testkriterien zur Bewertung der Anforderungserfüllung. Wie in EN 304 625 (Network Interfaces) betont wird, sollten die Anforderungen “idealerweise objektiv an einer Produktinstanz testbar” sein, um unabhängige Bewertungen durch Marktüberwachungsbehörden zu ermöglichen.
Wo nötig, können “Check-box Requirements” verwendet werden – strukturierte Entscheidungsbäume, die Herstellern einen Rahmen zur Dokumentation ihrer Compliance-Begründung bieten.
Bedeutung für die Praxis
Diese frühe Veröffentlichung der Entwürfe durch ETSI ist bemerkenswert und bietet Herstellern sowie anderen Stakeholdern mehrere Vorteile:
Frühe Einblicke: Die Entwürfe geben einen wertvollen Überblick über die Richtung und den Rahmen der Standardisierungsbemühungen, auch wenn noch erhebliche Revisionen zu erwarten sind.
Gestaltungsmöglichkeit: Die öffentliche Konsultationsphase ermöglicht es der Industrie, aktiv Feedback einzubringen und die finale Ausgestaltung der Standards mitzugestalten.
Planungssicherheit: Unternehmen können bereits jetzt beginnen, ihre Produkte und Prozesse auf die kommenden Anforderungen auszurichten.
Handlungsempfehlung
Hersteller von betroffenen Produkten sollten die für sie relevanten Normenentwürfe sorgfältig prüfen und sich an der Konsultation beteiligen. Die Kommentarvorlagen sind über die ETSI Open Consultation Platform verfügbar.
Bei Fragen zur Kontaktaufnahme mit den zuständigen ETSI-Gremien oder zur Einreichung von Kommentaren können sich Interessierte an die entsprechenden nationalen Normungsorganisationen oder direkt an ETSI TC CYBER-EUSR wenden.
Fazit
Mit der Veröffentlichung dieser sieben Normenentwürfe macht ETSI die abstrakten Anforderungen des Cyber Resilience Act greifbar und umsetzbar. Der strukturierte Ansatz über Use Cases, Risk Factors, Mitigations und Assessment schafft einen klaren Rahmen für Hersteller.
Ein großer Dank gebührt den Mitgliedern von ETSI TC CYBER-EUSR für ihre Arbeit an diesen wichtigen Standards. Die frühe Öffnung des Konsultationsprozesses ist ein positives Signal für eine transparente und praxisnahe Standardisierung im Bereich der Cybersicherheit.
Kommentar hinzufügen