Die EN 40000-Normreihe bildet das technische Fundament für die Umsetzung des Cyber Resilience Act (CRA). Als erste horizontale Standards dieser Reihe liegen seit dem 24. Oktober 2025 die Entwürfe prEN 40000-1-1 (Vocabulary) und prEN 40000-1-2 (Principles for Cyber Resilience) vor. Diese Dokumente übersetzen die regulatorischen Anforderungen der EU-Verordnung 2024/2847 in konkrete, umsetzbare technische Spezifikationen.
Hintergrund und regulatorischer Kontext
Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft und sieht eine Übergangsfrist von 36 Monaten vor, bis die Verordnung vollständig anwendbar wird. Während dieser Zeit entwickeln die europäischen Normungsorganisationen CEN und CENELEC harmonisierte Normen, die Herstellern ermöglichen, eine Vermutungswirkung für die Konformität mit den Essential Cybersecurity Requirements zu erlangen.
Die EN 40000-Reihe folgt einem zweigeteilten Ansatz:
Horizontale Standards: Gelten produktübergreifend für alle Produkte mit digitalen Elementen. Sie definieren allgemeine Prinzipien, Terminologie und Prozessanforderungen.
Vertikale Standards: Produktkategorie-spezifische Standards, die die horizontalen Anforderungen konkretisieren und zusätzliche, für die jeweilige Produktkategorie relevante Anforderungen definieren.
Die Normen im Detail
prEN 40000-1-1: Vocabulary
Die Norm mit den Begriffsdefinitionen etabliert eine einheitliche Terminologie für die gesamte EN 40000-Normfamilie. Dies ist essentiell, um Missverständnisse zwischen verschiedenen Stakeholdern zu vermeiden und eine konsistente Interpretation der Anforderungen zu gewährleisten.
Kernbegriffe umfassen:
- Acceptable Risk
- Activity und Asset
- Authenticity, Availability, Confidentiality, Integrity
- Product Control
- Residual Cybersecurity Risk
- Security Objective
- Software Package
- Remediation und Advisory
Die Norm referenziert zusätzlich Begriffe aus dem CRA selbst und etabliert Querverweise zu etablierten Standards wie ISO/IEC 27000, ISO/IEC 29147 und ISO/IEC 27035.
prEN 40000-1-2: Principles for Cyber Resilience
Dies ist die bisher umfangreichste und technisch detaillierteste Norm. Er umfasst 64 Seiten und definiert sowohl grundlegende Prinzipien als auch konkrete Anforderungen für den gesamten Produktlebenszyklus.
Struktur der Norm
Der Standard gliedert sich in sieben Hauptabschnitte:
- Scope
- Normative References
- Terms and Definitions
- Introduction
- Cybersecurity Principles
- Risk Management Elements
- Cybersecurity Activities
Ergänzt wird dies durch vier informative Annexe:
- Annex A: Coherence with Vertical Standards
- Annex B: Cybersecurity Supplier Agreements Example
- Annex C: Relationship to CRA Essential Requirements
- Annex D: Accessible and Inclusive Cybersecurity
Status und Verfügbarkeit
Die Dokumente befinden sich derzeit im CEN Enquiry-Verfahren. Stakeholder können bis zum Abschluss dieses Verfahrens Kommentare einbringen. Nach Finalisierung werden sie als harmonisierte Normen im EU-Amtsblatt referenziert und entfalten dann Vermutungswirkung für die Konformität mit dem CRA.
Verfügbar bei DIN Media:
- DIN EN 40000-1-1:2025-11 (Draft) – Vocabulary
- DIN EN 40000-1-2:2025-11 (Draft) – Principles for Cyber Resilience
Die Standards können auch über andere nationale Normungsinstitute (AFNOR, BSI, UNI etc.) bezogen werden.
Ausblick
Die EN 40000-Reihe wird durch weitere Standards ergänzt werden:
Geplante horizontale Standards:
- Generic Security Requirements (Katalog von Controls für Part I(2) des CRA)
- Vulnerability Handling Requirements
- Weitere prozess- und aktivitätsbezogene Standards
Vertikale Standards: Produktkategorie-spezifische Standards für IoT-Geräte, Industrial Control Systems, Medizinprodukte, Automotive etc.
Hersteller sollten die Entwicklung dieser Standards aktiv verfolgen und sich am Standardisierungsprozess beteiligen. Die Kommentierungsphase bietet die Möglichkeit, praktische Erfahrungen und Anforderungen einzubringen.
Bedeutung für die Praxis
Die EN 40000-Reihe bietet Herstellern erstmals konkrete, operationalisierbare Anforderungen für die CRA-Compliance. Der prozessagnostische Ansatz ermöglicht die Integration in bestehende Entwicklungsprozesse, unabhängig davon, ob Wasserfall, Agile oder DevOps praktiziert wird.
Besonders wertvoll sind:
- Die klare Strukturierung in Input-Requirement-Output-Assessment für jede Aktivität
- Die Berücksichtigung von RDPS (Remote Data Processing Solutions) über alle Aktivitäten
- Die explizite Behandlung von Third-Party Components und Supply Chain Security
- Die Integration von Accessibility-Anforderungen
- Das CSSA-Template für strukturierte Lieferantenbeziehungen
Hersteller, die bereits nach ISO/IEC 62443, IEC 62443, ISO/IEC 27001 oder ähnlichen Standards arbeiten, werden viele bekannte Konzepte wiedererkennen. Die EN 40000 harmonisiert diese Ansätze speziell für den CRA-Kontext und ergänzt sie um produktspezifische Aspekte.
Unterstützung bei der Umsetzung der EN 40000-Normreihe
Die EN 40000-Normreihe bildet das technische Rückgrat für die Umsetzung des Cyber Resilience Act. Für Hersteller von Produkten mit digitalen Elementen bedeutet dies nicht nur die Integration neuer Anforderungen in bestehende Entwicklungsprozesse, sondern auch die strukturierte Nachweisführung über den gesamten Produktlebenszyklus – von der initialen Risikoanalyse über die Implementierung bis zum Monitoring und der Vulnerability-Behandlung.
Secuvise unterstützt Unternehmen dabei, die Anforderungen der EN 40000-Reihe systematisch umzusetzen. Ob Etablierung eines risikobasierten Cybersecurity-Ansatzes, Aufbau eines Product Monitoring, Gestaltung von Cybersecurity Supplier Agreements oder Vorbereitung der technischen Dokumentation für die Konformitätsbewertung – wir helfen dabei, pragmatische Lösungen zu entwickeln, die regulatorischen Anforderungen entsprechen und sich in bestehende Entwicklungsmethoden integrieren lassen.
Besonders bei der Verzahnung von Risikomanagement nach Clause 6 mit den konkreten Cybersecurity-Aktivitäten nach Clause 7, beim Aufbau eines Third-Party Component Management oder bei der Erstellung von SBOMs und Assessment-Dokumentation unterstützen wir mit technischer und regulatorischer Expertise.
Wenn Sie vor der Frage stehen, wie Sie die EN 40000-Anforderungen effizient in Ihre Produktentwicklung integrieren können, stehen wir Ihnen gerne zur Verfügung.
Mehr dazu unter: www.secuvise.com