Der Cyber Resilience Act (CRA) formuliert verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen: von der Risikoanalyse über die Schwachstellenbehandlung bis hin zur sicheren Produktentwicklung. Was die Verordnung jedoch nicht liefert, ist ein konkreter methodischer Rahmen für die Umsetzung. Hersteller stehen damit vor der Frage: Mit welcher Norm lässt sich die CRA-Konformität strukturiert vorbereiten?
Die Antwort liegt für viele Hersteller im Maschinen-, Anlagen- und Gerätebau näher als gedacht: Die IEC 62443-4-1 deckt wesentliche Anforderungen des CRA bereits ab und ist heute verfügbar.
Der CRA definiert in Anhang I wesentliche Anforderungen an Produkte mit digitalen Elementen. Dazu gehören unter anderem Anforderungen an sichere Standardkonfigurationen, Schutz vor unbefugtem Zugriff, Vertraulichkeit und Integrität von Daten, Verfügbarkeit wesentlicher Funktionen sowie eine strukturierte Schwachstellenbehandlung über den gesamten Produktlebenszyklus.
Gleichzeitig bleibt der CRA bewusst technologieneutral. Die Verordnung beschreibt, was erreicht werden muss, nicht wie. Für das „Wie“ verweist der europäische Gesetzgeber auf harmonisierte Normen, die eine sogenannte Konformitätsvermutung auslösen sollen. Das bedeutet: Wer eine harmonisierte Norm einhält, kann davon ausgehen, dass die entsprechenden gesetzlichen Anforderungen erfüllt sind.
Die EN 40000-Reihe: Harmonisierte Normen in Entwicklung
Genau für diesen Zweck wird die EN 40000-Normreihe entwickelt. Sie soll als horizontale europäische Normenfamilie die CRA-Anforderungen konkretisieren und Herstellern einen normativen Rahmen für die Konformitätsbewertung bieten. Die Reihe umfasst unter anderem Teile zu Grundprinzipien der Cyberresilienz, generischen Sicherheitsanforderungen und Schwachstellenbehandlung.
Allerdings befinden sich die Normen der EN 40000-Reihe aktuell noch im Entwurfsstadium. Die einzelnen Teile liegen als prEN-Entwürfe vor, durchlaufen Kommentierungsphasen und sind bislang nicht als fertige EN-Normen veröffentlicht. Für Hersteller, die sich heute auf den CRA vorbereiten müssen, ergibt sich daraus ein konkretes Problem: Die Norm, die eigens für die CRA-Konformität entwickelt wird, steht zum jetzigen Zeitpunkt nicht in einer stabilen, zitierfähigen Fassung zur Verfügung.
Auf eine Normreihe zu setzen, deren endgültige Inhalte und Anforderungen sich noch ändern können, birgt Risiken. Prozesse, die heute auf Basis eines prEN-Entwurfs aufgebaut werden, müssen möglicherweise angepasst werden, wenn die finale Fassung abweicht. Für die strategische Planung der CRA-Umsetzung ist das eine unbefriedigende Ausgangslage.
IEC 62443-4-1: Ein etablierter Rahmen, der heute verfügbar ist
Die IEC 62443-4-1 definiert Anforderungen an einen Secure Product Development Lifecycle (SPDL) für industrielle Automatisierungs- und Steuerungssysteme. Sie ist seit Jahren veröffentlicht, international anerkannt und bildet die Grundlage für Zertifizierungen durch etablierte Prüfstellen.
Entscheidend im Kontext des CRA ist die inhaltliche Überschneidung. Die IEC 62443-4-1 adressiert mit ihren acht Praktiken (von Sicherheitsmanagement über sichere Implementierung bis hin zum Security-Update-Management) eine Reihe von Themenfeldern, die sich direkt auf die wesentlichen Anforderungen des CRA abbilden lassen. Konkret betrifft das unter anderem folgende Bereiche:
- Risikobasierte Entwicklung: Die IEC 62443-4-1 fordert eine systematische Bedrohungsmodellierung und Risikoanalyse als Grundlage für Designentscheidungen: ein Kernprinzip, das auch der CRA voraussetzt.
- Schwachstellenbehandlung: Die Norm definiert Prozesse für die Identifikation, Bewertung und Behebung von Sicherheitsproblemen über den Produktlebenszyklus. Der CRA fordert in Anhang I, Teil II vergleichbare Prozesse.
- Sicherheitsupdates: Anforderungen an die Bereitstellung und Verwaltung von Sicherheitsupdates sind sowohl in der IEC 62443-4-1 als auch im CRA verankert.
- Sichere Standardkonfigurationen und Dokumentation: Beide Regelwerke fordern, dass Produkte in einer sicheren Konfiguration ausgeliefert werden und Anwender angemessene Sicherheitsdokumentation erhalten (CRA Anhang I, Teil I).
Diese Überschneidungen sind kein Zufall: Beide Regelwerke greifen denselben anerkannten Stand der Technik für sichere Produktentwicklung auf.
Warum die IEC 62443-4-1 der pragmatische Einstieg ist
Für Hersteller, die heute mit der CRA-Vorbereitung beginnen, ergibt sich aus dieser Konstellation eine klare Handlungslogik: Die IEC 62443-4-1 bietet einen stabilen, erprobten Rahmen, mit dem sich ein Großteil der CRA-Anforderungen an den Entwicklungsprozess strukturiert adressieren lässt.
Das bedeutet nicht, dass die IEC 62443-4-1 den CRA vollständig abdeckt. Bestimmte CRA-Anforderungen (z. B. zur EU-Konformitätserklärung, zur technischen Dokumentation im Sinne der Verordnung oder zu spezifischen Meldepflichten) gehen über den Scope der Norm hinaus. Ebenso soll die zukünftige EN 40000-Reihe CRA-spezifische Anforderungen detaillierter abbilden als die IEC 62443-4-1, die ursprünglich für die industrielle Automatisierung entwickelt wurde.
Dennoch gilt: Wer heute nach IEC 62443-4-1 arbeitet, baut Prozesse und Strukturen auf, die sich mit hoher Wahrscheinlichkeit als tragfähige Grundlage für die spätere CRA-Konformität erweisen. Das betrifft insbesondere den Secure Development Lifecycle, die Schwachstellenbehandlung und die Sicherheitsverifizierung: Bereiche, in denen sich organisatorische Reife nicht kurzfristig aufbauen lässt.
Dieser Beitrag konzentriert sich bewusst auf die IEC 62443-4-1 als Einstiegsnorm. Wie die gesamte IEC-62443-Normenfamilie im CRA-Kontext zusammenspielt, erläutert der Beitrag IEC 62443 als Grundlage für den CRA.
Die Überschneidungen im Detail verstehen
Wer die CRA-Umsetzung auf Basis der IEC 62443-4-1 planen will, braucht zunächst ein klares Bild davon, welche CRA-Anforderungen sich durch die Norm abdecken lassen und wo Lücken bestehen, die zusätzlich adressiert werden müssen.
Eine systematische Gegenüberstellung der CRA-Anforderungen aus Anhang I mit den Praktiken und Anforderungen der IEC 62443-4-1 macht diese Überschneidungen und Lücken transparent. Sie zeigt auf, wo bestehende Prozesse bereits greifen, wo Ergänzungen notwendig sind und wo CRA-spezifische Maßnahmen unabhängig von der Norm umgesetzt werden müssen.
Eine erste Orientierung, wie sich der CRA zu gängigen Standards verhält, bietet unser Beitrag Mapping des CRA zu Standards. Eine vertiefte Arbeitshilfe speziell zum Mapping der IEC 62443-4-1 auf Anhang I ist in Vorbereitung: Sprechen Sie uns an, wenn Sie eine solche Gegenüberstellung für Ihre Umsetzungsplanung benötigen.
Fazit
Der CRA setzt verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen. Die harmonisierten Normen der EN 40000-Reihe, die diese Anforderungen konkretisieren sollen, befinden sich noch in der Entwicklung. Die IEC 62443-4-1 hingegen ist heute verfügbar und prozessual erprobt.
Für Hersteller, die nicht auf die Fertigstellung der EN 40000 warten wollen (und angesichts der CRA-Fristen auch nicht warten sollten), ist die IEC 62443-4-1 der belastbare Einstieg in die CRA-Umsetzung. Die Investition in einen normkonformen Entwicklungsprozess zahlt sich unabhängig von der weiteren Normenentwicklung aus: als Grundlage für die CRA-Konformität, als Rahmen für Zertifizierungen und als Nachweis organisatorischer Reife in der Produktsicherheit.
Kommentar hinzufügen