Ein wichtiger Meilenstein für die Umsetzung des Cyber Resilience Act: Ab dem 24. Oktober 2025 sind die ersten horizontalen Entwürfe der EN 40000-Normreihe verfügbar. Die beiden Standards prEN 40000-1-1 (Vocabulary) und prEN 40000-1-2 (Principles for Cyber Resilience) bilden das grundlegende Framework, auf dem alle weiteren produktspezifischen Standards aufbauen.
Horizontal vor vertikal: Das Fundament für alle Produktkategorien
Während ETSI bereits Standards für spezifische Produktkategorien wie Password Manager, Router oder Operating Systems veröffentlicht hat, fehlte bisher die produktübergreifende Basis. Diese Lücke schließen die nun verfügbaren horizontalen Standards von CEN/CENELEC.
Der Unterschied:
- Horizontale Standards (EN 40000): Gelten für alle Produkte mit digitalen Elementen – unabhängig von der Kategorie
- Vertikale Standards (ETSI EN 304 6xx): Konkretisieren die horizontalen Anforderungen für spezifische Produktkategorien
Erst die Kombination beider Standards schafft die Vermutungswirkung für CRA-Konformität.
prEN 40000-1-1: Vocabulary
Etabliert die gemeinsame Terminologie für die gesamte Normfamilie. Definiert zentrale Begriffe wie Acceptable Risk, Residual Risk, Product Control und Security Objective – essentiell für konsistente Konformitätsbewertung über alle Produktkategorien hinweg.
prEN 40000-1-2: Principles for Cyber Resilience
Das technische Kernstück. Der Standard definiert vier fundamentale Prinzipien:
- Risk-based Approach
- Security by Design
- Secure by Default
- Transparency
Diese werden konkretisiert in:
- 6 Risk Management Elements (Produktkontext, Risikoakzeptanzkriterien, Risk Assessment, Risk Treatment, Risk Communication, Risk Monitoring)
- 11 Cybersecurity Activities über den gesamten Produktlebenszyklus (Planning, Requirements, Architecture, Implementation, V&V, Production, Issue Management, Monitoring, Decommissioning, Third-Party Management)
Jede Aktivität ist strukturiert in Input, Requirement, Output und Assessment Criteria – prozessagnostisch und damit in verschiedenen Entwicklungsmethoden anwendbar.
Zusammenspiel mit vertikalen Normen
Die ETSI-Normen für spezifische Produktkategorien bauen auf diesem Framework auf:
- Use Cases konkretisieren die Produktkontext-Definition
- Threat Models folgen dem Risk Assessment Framework
- Produktspezifische Mitigations implementieren die geforderten Controls
- Assessment-Kriterien ergänzen die horizontalen Vorgaben
Annex A gibt vertikalen Standards explizite Anleitung zur Herstellung von Kohärenz.
Status und nächste Schritte
Die Dokumente befinden sich im CEN Enquiry-Verfahren. Stakeholder können Kommentare einbringen. Nach Finalisierung werden die Standards im EU-Amtsblatt referenziert.
Parallel in Entwicklung:
- Generic Security Requirements (horizontaler Control-Katalog)
- Vulnerability Handling Requirements (horizontal)
- Weitere vertikale Standards durch ETSI und andere Normungsorganisationen
Handlungsempfehlung
Für Hersteller ist jetzt der richtige Zeitpunkt:
- Horizontale Standards studieren und Kommentare einbringen
- Risk Management Framework nach EN 40000-1-2 implementieren
- Auf finale vertikale Standards für die eigene Produktkategorie vorbereiten
Wer bereits jetzt die horizontalen Anforderungen umsetzt, ist gut aufgestellt, wenn die finalen produktspezifischen Standards vorliegen.
Verfügbarkeit
Die Entwürfe können über DIN Media und andere nationale Normungsinstitute bezogen werden:
- DIN EN 40000-1-1:2025-11 (Draft) – Vocabulary
- DIN EN 40000-1-2:2025-11 (Draft) – Principles for Cyber Resilience
Weitere Informationen zu den vertikalen ETSI-Standards finden Sie in unserem Artikel zu den ETSI-Normenentwürfen.
Unterstützung bei der Umsetzung
Die EN 40000-Normreihe bildet das technische Rückgrat für die Umsetzung des Cyber Resilience Act. Secuvise unterstützt Unternehmen dabei, die horizontalen Anforderungen systematisch umzusetzen – von der Etablierung des Risk Management Frameworks über Product Monitoring bis zur Gestaltung von Cybersecurity Supplier Agreements.
Mehr dazu unter: www.secuvise.com
Kommentar hinzufügen