Wann lohnt sich eine IEC 62443 Zertifizierung? Einordnung und Einstieg für Hersteller

Viele Hersteller gehen davon aus, der Cyber Resilience Act zwinge sie zu einer IEC 62443 Zertifizierung. Das stimmt so nicht. Für einen großen Teil der Produkte verlangt der CRA gar keine externe Stelle, und die IEC 62443 stellt von sich aus keine Zertifizierungspflicht auf. Trotzdem kann sich eine Zertifizierung lohnen, nur aus einem anderen Grund als oft angenommen.

Eine IEC 62443 Zertifizierung ist die Bestätigung einer unabhängigen, akkreditierten Stelle, dass Sie einen bestimmten Teil der Normenreihe erfüllen. Wichtig ist dabei eine Unterscheidung, die in der Praxis oft untergeht: Die IEC 62443-4-1 zertifiziert nicht Ihr Produkt, sondern Ihren Entwicklungsprozess. Sie beschreibt den sicheren Produktentwicklungs-Lebenszyklus, also wie Sie sichere Produkte planen, bauen, testen und über ihren Lebenszyklus pflegen. Die technischen Eigenschaften eines konkreten Produkts adressieren andere Teile der Reihe, etwa die IEC 62443-4-2 für Komponenten und die IEC 62443-3-3 für Systeme.

Für die meisten Hersteller lautet die ehrliche Antwort: nein, jedenfalls nicht zwingend. Der CRA verlangt vom Hersteller eine Konformitätsbewertung, lässt für Standardprodukte aber das interne Kontrollverfahren (Modul A) zu. Dabei bewertet der Hersteller selbst, ob sein Produkt die grundlegenden Anforderungen erfüllt; eine benannte Stelle muss nicht eingebunden werden.

An dieser Stelle lohnt eine Begriffsklärung, weil der CRA und die Norm zwei verschiedene Akteure meinen. Die benannte Stelle ist die staatlich notifizierte Prüfstelle, die der CRA für bestimmte Produktklassen vorschreibt. Die akkreditierte Stelle ist die Zertifizierungsstelle, die eine IEC 62443 Zertifizierung ausstellt. Eine Zertifizierung nach der Norm ist also etwas anderes als die Einbindung einer benannten Stelle nach dem CRA.

Hinzu kommt die Konformitätsvermutung über harmonisierte Normen. Wendet ein Hersteller eine harmonisierte Norm an, deren Fundstelle im Amtsblatt veröffentlicht ist, wird die Konformität mit den abgedeckten Anforderungen vermutet. Dieser Weg funktioniert ohne externe Prüfstelle. Eine benannte Stelle wird erst dort erzwungen, wo der CRA es ausdrücklich verlangt: bei wichtigen Produkten der Klasse I, wenn die einschlägigen harmonisierten Normen nicht oder nur teilweise angewandt werden oder fehlen, sowie generell bei wichtigen Produkten der Klasse II und bei kritischen Produkten.

Der VDMA-Leitfaden für den Maschinen- und Anlagenbau ordnet diese Freiwilligkeit historisch ein: Die Orientierung an Normen war bislang ein Qualitätssiegel zur Marktdifferenzierung, kein Muss. Mit den neuen Regulatorien verschiebt sich das, weil Normen vom Qualitätsmerkmal zur Mindestanforderung für die Marktfähigkeit werden. Vorgeschrieben ist eine Zertifizierung damit aber immer noch nicht.

ProduktkategorieKonformitätsweg nach CRAExterne Stelle nötig?
Standardprodukt (Normalfall)Internes Kontrollverfahren (Modul A), Konformitätsvermutung über harmonisierte NormenNein
Wichtiges Produkt, Klasse IOhne benannte Stelle nur bei vollständiger Anwendung der harmonisierten Normen; sonst Modul B+C oder Modul HBedingt
Wichtiges Produkt, Klasse IIModul B+C, Modul H oder europäisches ZertifizierungsschemaJa
Kritisches ProduktEuropäisches Zertifizierungsschema nach den dafür vorgesehenen Bedingungen; nur falls diese nicht erfüllt sind, ersatzweise die Klasse-II-VerfahrenJa

Die Einordnung in diese Kategorien regelt der CRA über seine Produktlisten. Ob Ihr Produkt überhaupt als wichtig oder kritisch gilt, entscheidet sich davor, nicht durch die Wahl einer Norm.

Aus unserer Sicht ergibt sich daraus eine klare Konsequenz: Ein IEC 62443 Zertifikat ist für den überwiegenden Teil der Produkte primär ein Markt- und Vertrauenssignal. Es differenziert Sie gegenüber Wettbewerbern und schafft Vertrauen bei Betreibern und Einkäufern, die nach belastbaren Nachweisen fragen. Es ist aber in aller Regel keine gesetzliche Pflicht aus dem CRA. Wer eine Zertifizierung allein wegen des CRA anstrebt, begründet sie oft mit dem falschen Argument.

Warum sich die IEC 62443-4-1 trotzdem lohnt: Prozesse, die wirklich gelebt werden

Der eigentliche Wert der IEC 62443-4-1 liegt nicht im Zertifikat, sondern in einer Frage, die jeder Entwicklungsverantwortliche kennt: Werden die definierten Prozesse im Alltag tatsächlich gelebt? In vielen Unternehmen existieren Sicherheitsprozesse auf dem Papier, in Handbüchern und Richtlinien sauber dokumentiert. Im Projektdruck hält sich dann niemand konsequent daran. Genau diese Lücke macht die IEC 62443-4-1 sichtbar, weil sie zwischen einem definierten und einem gelebten Prozess unterscheidet.

Die Norm misst den Entwicklungsprozess über ein Reifegradmodell (englisch: Maturity Level). Auf Maturity Level 2 (Managed) sind die Prozesse dokumentiert und das Personal geschult, also nach geschriebenen Vorgaben handlungsfähig. Die Norm benennt hier ausdrücklich ein typisches Problem: Eine Organisation kann ihre Verfahren bereits an die Norm angepasst haben, ohne sie schon durchgängig in die Praxis umgesetzt zu haben. Sie räumt sogar eine deutliche Verzögerung zwischen dem Definieren eines Prozesses und seiner tatsächlichen Ausführung ein.

Erst auf Maturity Level 3 (Practiced) ist der Prozess nachweislich praktiziert. Es existieren Nachweise, dass die Verfahren tatsächlich an mindestens einer Produktentwicklung angewendet wurden, und das wiederholbar über die Organisation hinweg. Schon die erste Praxis der Norm, ein dokumentierter und durchgesetzter Entwicklungsprozess, zielt auf gelebte Verfahren, nicht auf reine Dokumentation.

Hier liegt aus unserer Sicht der unterschätzte Nutzen: Der Audit-Druck einer Zertifizierung macht Prozesstreue überprüfbar. Was zertifiziert wird, muss vorgeführt werden, und was vorgeführt werden muss, wird im Alltag eher eingehalten. Selbst wer am Ende auf das formale Zertifikat verzichtet, gewinnt durch die Ausrichtung auf Maturity Level 3 einen Entwicklungsprozess, der Sicherheit nicht nur verspricht, sondern liefert.

Was hat die IEC 62443-4-1 mit dem CRA zu tun?

Die IEC 62443-4-1 beschreibt genau den sicheren Entwicklungsprozess, den der CRA von Herstellern erwartet. Der CRA verlangt in seinen grundlegenden Anforderungen unter anderem eine geplante Schwachstellenbehandlung, sichere Standardeinstellungen, eine Risikobetrachtung und Sicherheitsupdates über den Unterstützungszeitraum. Viele dieser Prozessanforderungen deckt die IEC 62443-4-1 bereits ab. Die ausführliche Beziehung zwischen Norm und CRA behandelt ein eigener Artikel zur IEC 62443 als Grundlage für den CRA.

Allerdings ist hier ein Hinweis wichtig: Ob die IEC 62443 und ihre Anpassung formell als harmonisierte Norm unter dem CRA gelistet werden, ist Stand heute noch nicht entschieden. Solange die Fundstelle nicht im Amtsblatt veröffentlicht ist, greift über diese Norm keine automatische Konformitätsvermutung. Eine konsequente Anwendung hilft bei der Erfüllung der Anforderungen; ob sie formal ausreicht, bleibt bis zur Listung offen.

Die verbleibende Lücke zum CRA soll eine Anpassung der Norm schließen. Die EN IEC 62443-4-1:2018/prAA:2026 ist eine geplante Ergänzung (Amendment) zur bestehenden Norm und ausdrücklich darauf ausgerichtet, die Norm an die grundlegenden Anforderungen des CRA anzupassen. Sie ist als normative Referenz für die ebenfalls CRA-angepasste Fassung der IEC 62443-4-2 vorgesehen. Wichtig: Diese Anpassung ist ein Entwurf. Sie befindet sich im Enquiry-Stadium, also in der öffentlichen Umfrage, mit einer Frist im Jahr 2026. Bis zur endgültigen Veröffentlichung können sich Inhalte also noch ändern.

Was bringt die Anpassung inhaltlich neues? Nach dem aktuellen Entwurfsstand richtet sie bestehende Anforderungen am CRA aus, führt neue Anforderungen ein und ergänzt das Thema Risikomanagement. Zusätzlich führt sie einen Prozess zur Anwendbarkeitsbewertung ein (Applicability Assessment) samt einer dokumentierten Erklärung zur Anwendbarkeit. Damit lässt sich nachvollziehbar begründen und belegen, welche Anforderungen für ein konkretes Produkt gelten und welche nicht. Der Entwurf enthält außerdem Zuordnungstabellen, die die Praktiken der Norm auf die horizontalen CRA-Normen der EN 40000-Reihe abbilden, konkret auf die Teile 1-2 und 1-3. Auch diese EN-40000-Normen sind ihrerseits noch Entwürfe.

Wie Sie starten: die Gap-Analyse, die beides abdeckt

Wer den Einstieg sucht, sollte nicht mit der Frage nach dem Zertifikat beginnen, sondern mit der Frage nach dem Ist-Zustand. Wir empfehlen, mit einer Gap-Analyse zu starten. Am sinnvollsten gleichen Sie Ihre Entwicklungsprozesse gegen die IEC 62443-4-1 in der CRA-angepassten Entwurfsfassung ab und nehmen die CRA-Lücken gleich mit. So schließen Sie Normkonformität und CRA-Anforderungen in einem Zug, statt zwei getrennte Projekte zu fahren.

Der faktische Anker für diese Empfehlung ist doppelt vorhanden. Der CRA verlangt eine vom Hersteller selbst durchzuführende Konformitätsbewertung. Und die Entwurfsfassung der IEC 62443-4-1 stellt mit dem Prozess zur Anwendbarkeitsbewertung und der Erklärung zur Anwendbarkeit ohnehin ein Instrument bereit, das genau diese Selbstbewertung strukturiert. Beides zusammenzuführen, ist naheliegend, bleibt aber unsere Einordnung, kein Normsatz.

Ein grober Ablauf für den Einstieg:

  1. Ist-Aufnahme der Entwicklungsprozesse. Erfassen Sie, wie Sie heute Anforderungen, Design, Implementierung, Tests und Schwachstellenbehandlung tatsächlich handhaben, nicht wie es im Handbuch steht.
  2. Abgleich gegen die IEC 62443-4-1. Vergleichen Sie den Ist-Zustand mit den Praktiken der Norm, vorzugsweise gegen die CRA-angepasste Entwurfsfassung, und bestimmen Sie pro Praktik den Reifegrad.
  3. CRA-Lücken mitmappen. Halten Sie parallel fest, welche grundlegenden CRA-Anforderungen noch nicht belegt sind, und nutzen Sie die Zuordnung zwischen Norm und CRA als Brücke.
  4. Maßnahmenplan. Priorisieren Sie die Lücken nach Aufwand und Wirkung und legen Sie fest, welche Prozesse Sie von einem definierten auf einen gelebten Stand heben.
  5. Optional: Zertifizierung als Abschluss. Wenn ein Markt- oder Kundensignal den Aufwand rechtfertigt, lassen Sie den auf Reifegrad 3 gehobenen Prozess am Ende durch eine akkreditierte Stelle bestätigen.

Diese Reihenfolge sorgt dafür, dass eine etwaige Zertifizierung am Ende eines sauberen Prozesses steht und nicht an seinem Anfang als Selbstzweck.

Zertifizierung ist Mittel zum Zweck, nicht Pflicht

Für die meisten Hersteller ist eine IEC 62443 Zertifizierung eine strategische Option, kein vom CRA aufgezwungenes Muss. Ob Sie das Zertifikat am Ende brauchen, hängt von Ihrer Produktklasse und Ihrer Marktpositionierung ab, nicht von einer gesetzlichen Pflicht. Der bleibende Gewinn entsteht ohnehin auf dem Weg dorthin: ein Maturity Level 3 Prozess, der Sicherheit messbar liefert, und eine Gap-Analyse, die die CRA-Anforderungen effizient mitnimmt.

Wie reif ist Ihr Entwicklungsprozess nach IEC 62443-4-1?
Der kostenlose Readiness Check zeigt Ihnen in 15 Fragen, wo Sie heute stehen, und liefert sofort konkrete Handlungsempfehlungen für die nächsten Schritte.

Kommentar hinzufügen

Jetzt Gespräch vereinbaren

Senden Sie uns Ihre Anfrage. Wir klären gemeinsam, wo Ihr Unternehmen steht, welche Fragen offen sind und welche nächsten Schritte sinnvoll sind.

Mit der Anfrage stimmen Sie unserer Datenschutzerklärung zu.