Die Normenreihe EN 40000 ist eine europäische horizontale Normenfamilie zur Cybersicherheit von Produkten mit digitalen Elementen. Sie wurde im Kontext des Cyber Resilience Act (CRA) entwickelt und soll Hersteller dabei unterstützen, die gesetzlichen Anforderungen systematisch einzuordnen. Die Normen richten sich insbesondere an Hersteller von Maschinen, Anlagen, Geräten und eingebetteten Systemen.
Die EN-40000-Reihe ist dabei nicht als eigenständige Regulierung zu verstehen, sondern als normativer Unterbau zur Konkretisierung gesetzlicher Anforderungen, insbesondere aus der Verordnung (EU) 2024/2847 (Cyber Resilience Act).
Der Cyber Resilience Act definiert in Anhang I grundlegende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen. Diese Anforderungen sind bewusst abstrakt formuliert und adressieren sowohl technische Produkteigenschaften als auch organisatorische Pflichten über den gesamten Produktlebenszyklus hinweg.
Die Normen der EN-40000-Reihe sind als horizontale Normen zur Unterstützung des Cyber Resilience Act konzipiert. Sie strukturieren und präzisieren die im CRA formulierten Anforderungen, ohne selbst rechtlich verbindlich zu sein. Ziel der Normenreihe ist es, einen einheitlichen Referenzrahmen für die Auslegung der CRA-Anforderungen zu schaffen, insbesondere im Hinblick auf Risikobetrachtung, Sicherheitsprinzipien und den Umgang mit Schwachstellen.
Aktueller Normungsstatus und Unterscheidung zwischen EN und prEN
Die Normen der EN-40000-Reihe befinden sich derzeit (Stand Ende 2025) überwiegend in Entwurfs- bzw. Diskussionsstadien innerhalb der europäischen Normungsgremien. In der Regel beginnt der Normungsprozess mit einem prEN (preliminary European Standard oder Normentwurf), der zur öffentlichen Diskussion, Kommentierung und Konsensbildung dient. Ein prEN ist formal noch kein verbindlicher Standard, sondern ein Zwischenstatus, der nach interner Überarbeitung und Zustimmung der nationalen Normungsorganisationen in einen EN (European Standard) überführt werden kann.
Ein EN hingegen ist ein verabschiedeter europäischer Standard, der von den Mitgliedsnormenorganisationen (z. B. DIN in Deutschland) offiziell übernommen wurde – inklusive unkritischer Übernahme in nationale Normenwerke. EN-Normen stehen damit auf einer rechtlich und praktisch höheren Ebene als prEN: Sie sind stabile Referenzen für Regulierung, Vertragsgestaltung oder Harmonisierung. prEN-Texte können inhaltlich stark variieren, sind als Entwurf nicht bindend und unterliegen Änderungsprozessen. Hersteller sollten daher bei der Nutzung von prEN-Inhalten stets den Entwurfsstatus und mögliche Abweichungen zum finalen EN im Blick behalten.
Im Fall der EN-40000-Reihe stehen aktuell mehrere Teile als prEN zur Verfügung. Diese Entwürfe können über das DIN-Normenportal eingesehen werden, was frühzeitige fachliche Orientierung ermöglicht, aber nicht die spätere formale Konsolidierung eines EN ersetzt.
Aufbau der EN-40000-Normenreihe
Die Normenreihe ist modular aufgebaut und deckt unterschiedliche Ebenen der Cybersicherheit ab:
prEN 40000-1-1 – Vocabulary
Diese Norm definiert zentrale Begriffe im Kontext der Cybersicherheit von Produkten mit digitalen Elementen. Sie stellt ein gemeinsames Vokabular bereit, das für die konsistente Anwendung der weiteren Normen erforderlich ist. Inhaltlich handelt es sich ausschließlich um Begriffsdefinitionen ohne normative Anforderungen an Produkte oder Prozesse.
prEN 40000-1-2 – Principles for Cyber Resilience
Dieser Teil beschreibt grundlegende Prinzipien der Cyberresilienz, darunter risikobasierte Ansätze, Security by Design, Secure by Default und Transparenz. Die Norm formuliert allgemeine Leitprinzipien und ordnet sie entlang des Produktlebenszyklus ein. Inhaltlich entspricht sie in weiten Teilen den abstrakten Anforderungen aus Anhang I Teil I Nr. 1 des Cyber Resilience Act.
prEN 40000-1-3 – Vulnerability Handling
EN 40000-1-3 konkretisiert die Anforderungen an den Umgang mit Schwachstellen über den gesamten Produktlebenszyklus hinweg. Der Fokus liegt auf organisatorischen und prozessualen Aspekten des Vulnerability Handling, einschließlich Annahme, Bewertung, Behebung, Kommunikation und Nachverfolgung von Schwachstellen. Die Norm greift dabei etablierte Konzepte wie Coordinated Vulnerability Disclosure, SBOMs, regelmäßige Tests sowie Update- und Informationsprozesse auf und führt sie in einen CRA-konformen Rahmen über. Inhaltlich adressiert sie insbesondere die Pflichten aus Anhang I Teil II des Cyber Resilience Act.
prEN 40000-1-4 – Generic Security Requirements
EN 40000-1-4 wird die zentrale technische Norm der horizontalen EN-40000-Reihe. Während die vorangegangenen Teile Begriffe, Prinzipien und Prozesse definieren, konkretisiert dieser Teil die generischen Sicherheitsanforderungen an Produkte mit digitalen Elementen im Sinne des CRA.
Die Norm baut systematisch auf der EN 18031-Normenreihe auf, die ursprünglich für die Radio Equipment Directive (RED) entwickelt wurde. Inhaltlich strukturiert sich EN 40000-1-4 entlang der 13 wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 des Cyber Resilience Act.
Beitrag zur Konformitätsvermutung
Wichtig ist die klare Abgrenzung zwischen normativer Einordnung und rechtlicher Wirkung:
Weder EN 40000-1-1 noch EN 40000-1-2 sind geeignet, eine Konformitätsvermutung im Sinne des Cyber Resilience Act zu begründen. EN 40000-1-1 ist ein reines Vokabular ohne Anforderungen. EN 40000-1-2 beschreibt allgemeine Prinzipien, die inhaltlich den gesetzlichen Mindestanforderungen entsprechen, diese aber nicht in überprüfbare, produktspezifische Anforderungen überführen.
EN 40000-1-3 adressiert zwar konkrete Pflichten zum Vulnerability Handling, ist jedoch ebenfalls als horizontale Prozessnorm ausgelegt. Auch hier ist nicht davon auszugehen, dass sie allein eine Konformitätsvermutung für konkrete Produkte begründet. Vielmehr ist zu erwarten, dass sie als Referenz für „State of the Art“ und als Orientierung für angemessene organisatorische Maßnahmen herangezogen wird.
Verhältnis zu anderen Normen und Standards
Die EN-40000-Reihe steht nicht isoliert, sondern ergänzt bestehende Normenlandschaften. Inhaltliche Überschneidungen bestehen unter anderem zu IEC 62443-4-1 (Secure Development Lifecycle), ISO/IEC 27001-nahen Prozessen, ETSI-Normen im Funkumfeld sowie zu ISO/IEC-Standards für Vulnerability Disclosure und Handling. Im Unterschied zu vielen dieser Normen ist EN 40000 jedoch explizit auf die europäische Produktregulierung und den CRA zugeschnitten.
Praktischer Hinweis zur Verfügbarkeit
Die Normen der EN-40000-Reihe befinden sich derzeit im Entwurfsstadium. Die relevanten Normenentwürfe können z.T. kostenfrei über das DIN-Normenportal eingesehen werden. Für Hersteller und andere Interessierte besteht damit die Möglichkeit, Inhalte frühzeitig zu prüfen und einzuordnen, ohne bereits in kostenpflichtige Normendokumente investieren zu müssen.
Verfügbar bei DIN Media:
- DIN EN 40000-1-1:2025-11 (Draft) – Vocabulary
- DIN EN 40000-1-2:2025-11 (Draft) – Principles for Cyber Resilience
- DIN EN 40000-1-3:2026-02 (Draft) – Vulnerability Handling
Die Standards können auch über andere nationale Normungsinstitute (AFNOR, BSI, UNI etc.) bezogen werden.
Aktueller Normungsstand (Dezember 2025)
Die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) stellt eine regelmäßig aktualisierte Übersicht zu den CRA-Normungsprojekten zur Verfügung. Diese dokumentiert den Status der horizontalen und vertikalen Normungsprojekte zum Cyber Resilience Act Stand Dezember 2025.
Die horizontalen harmonisierten europäischen Normen der EN 40000-1-Reihe befinden sich in unterschiedlichen Entwicklungsstadien:
| Norm | Titel | Status (Dez. 2025) |
|---|---|---|
| EN 40000-1-1 | Vocabulary | Entwurf (prEN) verfügbar |
| EN 40000-1-2 | Principles for cyber resilience | Entwurf (prEN) verfügbar |
| EN 40000-1-3 | Vulnerability handling | Entwurf (prEN) in Erstellung |
| EN 40000-1-4 | Generic security requirements | Entwurf (prEN) in Erstellung |
Ergänzend werden unterstützende Dokumente entwickelt:
- TR 40000-1-5: Technical Report zu Threats and Security Objectives
- Weitere Technical Specifications und Reports zur Anwendung von EN 18037 im CRA-Kontext
Parallel dazu laufen umfangreiche Arbeiten an vertikalen harmonisierten Normen für spezifische Produktkategorien. Die DKE-Übersicht listet über 30 vertikale Normungsprojekte, die von ETSI, DIN und DKE koordiniert werden. Diese decken Produktbereiche ab wie:
- Netzwerkkomponenten (Router, Switches, Firewalls, VPN-Systeme)
- Software-Produkte (Browser, Passwort-Manager, Betriebssysteme, Hypervisoren)
- Smart-Home- und Consumer-Produkte (Smart Locks, Kameras, Wearables, Spielzeug)
- Industrielle Komponenten (Mikrocontroller, ASICs, FPGAs, Smart-Meter-Gateways)
- Sicherheitskomponenten (Hardware Security Modules, Smartcards, Secure Elements)
Für den OT-Bereich (Operational Technology) entstehen zudem CRA-spezifische Sicherheitsprofile auf Basis der IEC 62443-Normenreihe (EN 50XXX-Serie), die die etablierten industriellen Cybersecurity-Anforderungen mit den CRA-Essential Requirements verbinden.
Einordnung für Hersteller
Für Hersteller von Maschinen, Anlagen und Geräten ist die EN-40000-Reihe primär als Orientierungsrahmen zu verstehen. Sie liefert eine strukturierte Sprache und ein konsistentes Begriffs- und Prinzipienmodell zur Einordnung von Cybersicherheitsanforderungen aus dem Cyber Resilience Act. Die eigentliche Umsetzung und Nachweisführung erfolgt jedoch weiterhin über produktspezifische technische Maßnahmen, etablierte Entwicklungsprozesse und – wo erforderlich – weitergehende, spezifischere Normen.
Ausblick
Mit dem Inkrafttreten des Cyber Resilience Act gewinnt die EN-40000-Reihe vor allem als Referenzrahmen zur Auslegung gesetzlicher Anforderungen an Bedeutung. Auch wenn die Normen – insbesondere in ihrer aktuellen prEN-Fassung – keine unmittelbare Konformitätsvermutung begründen, tragen sie zur Konkretisierung dessen bei, was im Kontext des CRA als angemessene organisatorische und technische Praxis verstanden wird.
Es ist zu erwarten, dass die horizontalen Normen der EN-40000-Reihe künftig durch produktspezifische vertikale Normen ergänzt werden. Erst auf dieser Ebene ist realistischerweise mit Normen zu rechnen, die für bestimmte Produktkategorien eine stärkere rechtliche Wirkung entfalten können.
Für Hersteller bedeutet dies, dass EN 40000 weniger als Umsetzungsnorm, sondern primär als Orientierungs- und Einordnungsinstrument zu verstehen ist, das hilft, CRA-Anforderungen systematisch zu strukturieren und regulatorische Entwicklungen frühzeitig einzuordnen.