Hersteller von Maschinen, Anlagen und Geräten stellen beim Cyber Resilience Act immer wieder dieselbe Frage: Welche Norm soll ich anwenden, um die Anforderungen nachzuweisen? Die Antwort hängt davon ab, was Sie herstellen. Dieser Überblick ordnet ein, welche Normenreihen für den CRA gerade entstehen und für welche Produkte sie gedacht sind.
Für Hersteller entsteht damit keine einzelne „CRA-Norm“, sondern eine Normenlandschaft aus mehreren Reihen: die horizontale EN-40000-Reihe für alle Produkte mit digitalen Elementen, produktspezifische ETSI-Normen für IT- und Consumer-Produkte sowie die EN-50770-Reihe für OT-Produkte auf Basis der IEC 62443. Dieser Beitrag ordnet ein, welche Normenreihen gerade entstehen, wie sie zusammenspielen und was Hersteller bereits vor der Listung im Amtsblatt vorbereiten sollten.
Die Konformitätsvermutung ist der eigentliche Hebel hinter den harmonisierten Normen. Stimmt ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren mit einer harmonisierten Norm überein, deren Fundstelle im Amtsblatt veröffentlicht ist, wird die Konformität mit den grundlegenden Anforderungen aus Anhang I vermutet, soweit die Norm diese Anforderungen abdeckt.
Solange eine solche Norm fehlt, kann die Kommission per Durchführungsrechtsakt gemeinsame Spezifikationen festlegen. Auch deren Befolgung kann die grundlegenden Anforderungen erfüllen. Für Hersteller heißt das: Der Norm-Weg ist der bevorzugte, aber nicht der einzige Pfad zur Konformitätsvermutung.
Wichtig ist: Der CRA gilt unabhängig davon, ob die Normen rechtzeitig harmonisiert sind. Fehlt eine gelistete Norm, entfällt nur der bequemere Nachweisweg über die Konformitätsvermutung. Die Anforderungen bleiben trotzdem maßgeblich und müssen durch eigene technische und organisatorische Nachweise belegt werden.
Woran arbeitet die Normung für den CRA?
Die Normungsarbeit läuft in drei Bereichen, getragen von den europäischen Normungsorganisationen CEN, CENELEC und ETSI. Ein horizontaler Bereich gilt für alle Produkte mit digitalen Elementen, zwei vertikale Bereiche adressieren bestimmte Produktgruppen: einen für IT- und Consumer-Produkte, einen für die Betriebstechnik (OT).
| Strang | Normenreihe | Adressierte Produkte | Grundlage |
|---|---|---|---|
| Horizontal | EN 40000-Reihe | Alle Produkte mit digitalen Elementen | Basisanforderungen |
| Vertikal IT/Consumer | ETSI EN 304 6xx | IT- und Consumer-Produkte | Produktspezifisch |
| Vertikal OT | EN 50770-Reihe | OT-Produkte | auf Basis IEC 62443 |
Alle drei Reihen liegen Stand April 2026 als Entwürfe vor und sind in Erarbeitung. Konkrete Harmonisierungs- oder Listungstermine sind noch nicht gesetzt.
Horizontale Normen: die EN-40000-Reihe
Die EN-40000-Reihe ist die horizontale Basis. Sie soll für alle Produkte mit digitalen Elementen gelten, unabhängig von der Produktkategorie. Vier Teile bilden den normativen Kern, ergänzt um einen informativen Technical Report. Eine vertiefte Einordnung finden Sie in unserem Beitrag zur EN-40000-Reihe.
| Teil | Funktion |
|---|---|
| EN 40000-1-1 | Begriffe und Definitionen für die gesamte Reihe |
| EN 40000-1-2 | Grundsätze für die Cyberresilienz |
| EN 40000-1-3 | Umgang mit Schwachstellen |
| EN 40000-1-4 | Generische Sicherheitsanforderungen |
| EN TR 40000-1-5 | Bedrohungen und Schutzziele (informativ) |
Für Hersteller ist vor allem EN 40000-1-2, EN 40000-1-3 und EN 40000-1-4 relevant: Grundsätze bzw. Prozesse, Schwachstellenbehandlung und generische Sicherheitsanforderungen werden voraussichtlich zentrale Nachweisbereiche bilden.
Vertikale Normen für IT- und Consumer-Produkte: die ETSI-Reihe EN 304 6xx
Für IT- und Consumer-Produkte entsteht eine vertikale Reihe unter der Bezeichnung ETSI EN 304 6xx. Sie adressiert einzelne Produkttypen mit jeweils eigenen, produktspezifischen Anforderungen. Zu den in der Statusübersicht genannten Produkttypen zählen Browser, Passwortmanager, VPN-Lösungen, SIEM-Systeme, Betriebssysteme sowie Router und Switches.
Die Entwürfe dieser Reihe befinden sich noch in einem frühen Bearbeitungsstand. Sie zeigen bereits die geplante Struktur und erste produktspezifische Stoßrichtungen, sollten aber noch nicht als stabile Anforderungsbasis behandelt werden. Einen Überblick über die ersten ETSI-Normenentwürfe zum CRA finden Sie in unserem gesonderten Beitrag.
Vertikale Normen für die OT: die EN-50770-Reihe
Für die Betriebstechnik entsteht die EN-50770-Reihe. Sie ist vor allem für Maschinenbauer, Automatisierungshersteller und Anbieter industrieller Komponenten relevant. Die Reihe formuliert Sicherheitsprofile (Security Profiles) für OT-Produkte, ausdrücklich auf Basis der IEC 62443. Die einzelnen Teile decken Produktgruppen wie VPN-Lösungen, Netzwerkmanagement-Systeme, SIEM-Systeme, physische und virtuelle Netzwerkschnittstellen, Router und Switches sowie Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme ab.
Gestützt wird dieser OT-Strang durch Annex-Adaptionen (prAA) ausgewählter IEC-62443-Teile: der IEC 62443-3-3 (Systemanforderungen), der IEC 62443-4-1 (sicherer Produktentwicklungsprozess) und der IEC 62443-4-2 (technische Komponentenanforderungen). Diese dienen als unterstützende Normen für die vertikalen OT-Normen. Auch die EN-50770-Reihe liegt Stand April 2026 als Entwurf vor.
Wie passen IEC 62443 und EN 18031 ins Bild?
Die IEC 62443 ist die etablierte Normenfamilie für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme und bildet die Grundlage des OT-Strangs. Formal ist noch offen, welche Rolle IEC 62443 im CRA-Harmonisierungsrahmen einnimmt. Praktisch bleibt sie für OT-Hersteller aber ein zentraler Bezugspunkt, weil die EN-50770-Reihe ausdrücklich auf IEC 62443 aufsetzt. Den größeren Zusammenhang behandelt unser Beitrag zur IEC 62443 für den CRA.
Einen anderen Bezugspunkt liefert die EN 18031. Sie wird in den vorliegenden CRA-Normentwürfen bereits als Begriffsquelle herangezogen. Für Hersteller, deren Produkte über Funk kommunizieren, ist damit ein möglicher Bezugspunkt für den späteren Übergang von der Funkanlagenrichtlinie zum CRA gegeben. Welche Rolle die EN 18031 in diesem Übergang spielt, hängt von den noch ausstehenden CRA-Normen ab. Details dazu finden Sie in unseren Beiträgen zur EN 18031 und zur Funkanlagenrichtlinie. Für vernetzte Consumer-Produkte besteht mit der ETSI EN 303 645 eine weitere Cybersicherheitsnorm.
Was bedeutet der Stand für Hersteller?
Solange keine CRA-Norm im Amtsblatt der Europäischen Union gelistet ist, greift die Konformitätsvermutung über harmonisierte Normen noch nicht. Das bedeutet aber nicht, dass Hersteller abwarten sollten. Die grundlegenden Anforderungen aus Anhang I des Cyber Resilience Acts bleiben maßgeblich und müssen im Rahmen der Konformitätsbewertung nachgewiesen werden.
Die vorliegenden Normentwürfe zeigen bereits, in welche Richtung sich der spätere Nachweis entwickeln wird. Hersteller können deshalb schon jetzt prüfen, welcher Normenstrang für ihre Produkte relevant ist und welche bestehenden Nachweise sich dafür nutzen lassen. Entscheidend ist nicht nur die Frage, welche Norm später harmonisiert wird, sondern wie der Nachweis bis dahin belastbar geführt werden kann.
Für Hersteller ergibt sich daraus ein pragmatisches Vorgehen:
- Produkt als Produkt mit digitalen Elementen nach CRA einordnen
- Produktklasse prüfen: Standardprodukt, wichtiges Produkt nach oder kritisches Produkt
- Passende Normenreihe bestimmen: horizontal, IT-/Consumer-spezifisch oder OT-spezifisch
- Vorhandene Nachweise aus IEC 62443, EN 18031, ETSI EN 303 645 oder internen Entwicklungsprozessen bewerten
- Lücken gegenüber Anhang I, Vulnerability Handling und technischer Dokumentation ableiten
- Nachweisstrategie bis zur späteren Listung harmonisierter Normen festlegen
Die häufigste Stolperfalle ist, auf fertige Normen zu warten. Der Geltungsbeginn des CRA hängt nicht davon ab, ob bereits harmonisierte Normen gelistet sind. Wer Schwachstellenbehandlung, sicheren Entwicklungsprozess, technische Dokumentation und Produktnachweise erst später aufbaut, verliert die Zeit, die für genau diese Strukturen benötigt wird.
Fazit und Ausblick
Die CRA-Normenlandschaft ordnet sich entlang dreier Stränge: horizontal über die EN-40000-Reihe, vertikal über die ETSI-Reihe EN 304 6xx für IT- und Consumer-Produkte und über die EN-50770-Reihe für die OT. Stand April 2026 liegen alle drei als Entwürfe vor, eine Listung im Amtsblatt steht noch aus. Für Hersteller ist die Botschaft eindeutig: Die Richtung steht fest, der Nachweis läuft bis zur Listung über Anhang I, und der Aufbau der zugrunde liegenden Prozesse lohnt sich jetzt. Den Gesamtrahmen des Cyber Resilience Act fasst unsere Übersichtsseite zum CRA zusammen.
Kommentar hinzufügen