Der Cyber Resilience Act formuliert grundlegende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, lässt aber offen, wie ein Hersteller sie technisch und prozessual erfüllt. Genau diese Lücke schließt die EN-40000-Reihe: eine horizontale Normenfamilie, die die Vorgaben der Verordnung (EU) 2024/2847 in nachvollziehbare Anforderungen, Prozesse und technische Mechanismen übersetzt. Mit der Begriffsnorm EN 40000-1-1 steht dabei das terminologische Fundament der gesamten Reihe.
Die EN-40000-Reihe ist eine europäische Normenfamilie zur Cybersicherheit von Produkten mit digitalen Elementen. Sie konkretisiert die grundlegenden Anforderungen des Cyber Resilience Act, ohne selbst Recht zu setzen. Ihr horizontaler Kern gliedert sich in eine gemeinsame Begriffsnorm, Grundsätze, Schwachstellenbehandlung und technische Anforderungen. Hinzu kommen vertikale, produktspezifische Teile für einzelne Produktkategorien.
Die Reihe ist also keine eigenständige Regulierung, sondern der normative Unterbau: Sie hilft Herstellern, die Pflichten aus dem Cyber Resilience Act strukturiert umzusetzen.
Einordnung der EN 40000 im Kontext der EU-Cybersecurity-Regulierung
Der Cyber Resilience Act definiert in Anhang I die grundlegenden Anforderungen: in Teil I die produktbezogenen Eigenschaften, in Teil II die Prozesse zur Schwachstellenbehandlung. Die EN-40000-Reihe strukturiert und präzisiert diese Anforderungen. Sie übersetzt abstrakte Schutzziele in konkrete Anforderungen und beschreibt, wie deren Erfüllung nachgewiesen werden kann.
Für Hersteller von Maschinen, Anlagen und vernetzten Geräten ist diese Übersetzungsleistung der eigentliche Mehrwert. Wer etwa eine CNC-Steuerung mit Fernwartung oder einen industriellen IoT-Sensor mit Funkanbindung in Verkehr bringt, findet in der EN 40000 die fachliche Brücke zwischen Gesetzestext und technischer Umsetzung. Für Maschinen kommen die Cybersicherheitsanforderungen des CRA zudem mit den Vorgaben der Maschinenverordnung zusammen.
Normungsstatus: EN, prEN und der Weg ins Amtsblatt
Eine harmonisierte europäische Norm durchläuft mehrere Stufen. Solange sie im Entwurf ist, trägt sie das Präfix prEN und ist nicht verbindlich. Erst nach Abstimmung, Annahme und Veröffentlichung wird daraus eine ratifizierte EN. Die Konformitätsvermutung gegenüber dem CRA entsteht aber erst mit einem weiteren Schritt: der Zitierung als harmonisierte Norm im Amtsblatt der Europäischen Union.
Stand April 2026 sind alle Teile der EN-40000-Reihe noch im Entwurf, und keiner ist im Amtsblatt zitiert. Den jeweils aktuellen Stand führt die Statusübersicht der DKE zu den CRA-Normungsprojekten. Eine Einordnung der ersten verfügbaren Entwürfe bietet der Beitrag Die ersten horizontalen CRA-Normen sind da.
Aufbau der EN-40000-Normenreihe
Die Reihe folgt einer klaren Logik: gemeinsame Begriffe, übergreifende Grundsätze, ein Schwachstellenprozess und ein Katalog technischer Anforderungen. Ein informativer Technical Report liefert die zugrunde liegende Bedrohungs- und Schutzzielsystematik.
EN 40000-1-1 (Vocabulary)
Die Begriffsnorm EN 40000-1-1 ist das terminologische Fundament der gesamten Reihe. Sie definiert die zentralen Begriffe, auf die sich die anderen Teile beziehen, und sorgt so für ein einheitliches Verständnis über die Normenfamilie hinweg. Eigene normative Anforderungen enthält sie nicht.
Der überwiegende Teil der Begriffe stammt direkt aus der Verordnung (EU) 2024/2847. So übernimmt die Norm die Legaldefinitionen für Produkt mit digitalen Elementen, Schwachstelle, Software-Stückliste (SBOM), Fernverarbeitungslösungen (Remote Data Processing Solutions) und weitere Kernbegriffe wörtlich aus den Legaldefinitionen des Cyber Resilience Act (Art. 3). Andere Begriffe wie Abstimmung (coordination), Behebung (remediation) oder Embargo-Zeitraum (embargo period) ergänzt das Normungsgremium aus etablierten ISO/IEC-Quellen, um den Schwachstellenprozess sauber beschreiben zu können.
Diese Norm ist weiter fortgeschritten als die übrigen Teile: Sie trägt den Status draft for final review und steht damit kurz vor der abschließenden Prüfung.
EN 40000-1-2 (Principles for Cyber Resilience)
Die Grundsätzenorm EN 40000-1-2 beschreibt vier übergreifende Grundsätze für die Cyberresilienz von Produkten: einen risikobasierten Ansatz, Security by Design, Secure by Default und Transparenz. Diese Grundsätze bilden die Leitlinie, an der sich Risikomanagement und technische Maßnahmen ausrichten.
Über die Grundsätze hinaus legt die Norm einen Rahmen über den gesamten Produktlebenszyklus. Sie beschreibt zum einen die Elemente des Risikomanagements: Produktkontext bestimmen, Risikoakzeptanzkriterien festlegen, Risiken bewerten, behandeln, kommunizieren sowie überwachen und überprüfen. Zum anderen benennt sie die Cybersecurity-Aktivitäten entlang des Lebenszyklus, von der Planung über Architektur und sichere Implementierung bis hin zu sicherer Produktion, Produktberwachung und sicherer Außerbetriebnahme.
Ein informativer Mapping-Anhang ordnet diese Anforderungen den grundlegenden Anforderungen des CRA zu. Diese Zuordnung erfasst Anhang I Teil I (sowohl Nummer 1 als auch Nummer 2) der Verordnung (EU) 2024/2847. Die Grundsätzenorm wirkt damit breiter, als der reine Bezug auf einen einzelnen Anforderungspunkt vermuten ließe.
EN 40000-1-3 (Vulnerability Handling)
Die Schwachstellennorm EN 40000-1-3 strukturiert den Umgang mit Schwachstellen über den gesamten Produktlebenszyklus. Sie ordnet die Tätigkeiten in sechs aufeinander aufbauende Phasen: Vorbereitung, Eingang und Empfang von Meldungen, Verifikation, Behebung, Release sowie eine Nachbereitung nach der Veröffentlichung. In der Vorbereitung legt der Hersteller unter anderem seine interne Schwachstellenrichtlinie, seine Politik zur koordinierten Offenlegung und die Software-Stückliste (SBOM) an. In den folgenden Phasen werden Meldungen empfangen, bewertet, behoben und über sichere Update-Mechanismen verteilt.
Die SBOM nimmt dabei eine Schlüsselrolle ein: Sie macht die Komponenten eines Produkts nachvollziehbar und erlaubt es, eingehende Schwachstelleninformationen gezielt mit dem eigenen Produkt abzugleichen.
Inhaltlich baut die Norm auf den etablierten internationalen Standards ISO/IEC 29147 und ISO/IEC 30111 auf, also auf Vulnerability Disclosure und Vulnerability Handling Processes. Sie geht jedoch über deren Empfehlungscharakter hinaus und formuliert verbindliche Anforderungen, um die Pflichten des CRA abzudecken. Ein Mapping-Anhang ordnet die Anforderungen den grundlegenden Anforderungen aus CRA Anhang I Teil II zu.
EN 40000-1-4 (Generic Security Requirements)
Die EN 40000-1-4 ist die zentrale technische Anforderungsnorm der Reihe für die produktseitige Sicherheit. Sie deckt die technischen Anforderungen aus CRA Anhang I Teil I ab und gliedert sich in dreizehn Anforderungsbereiche. Dazu zählen unter anderem Schwachstellenbewertung, sichere Konfiguration, Sicherheitsupdates, Zugriffskontrolle, Schutz von Vertraulichkeit und Integrität, Datenminimierung, Verfügbarkeit, Verringerung der Angriffsfläche, Protokollierung und Überwachung sowie das sichere Löschen von Daten.
Zu jedem Anforderungsbereich stellt die Norm eine Bibliothek technischer Mechanismen bereit. Diese reicht von Zugriffskontroll- und Authentisierungsmechanismen über sichere Update- und Speichermechanismen, sichere Kommunikation, Protokollierung und Löschung bis hin zu Mechanismen für vertrauliche kryptographische Schlüssel und für Kryptographie insgesamt. Beim Thema Kryptographie betont der Entwurf die Krypto-Agilität, also die Fähigkeit, kryptographische Verfahren austauschen zu können, wenn sich der Stand der Technik ändert.
Die zentrale Brücke dieser Norm führt zur RED-Norm EN 18031. Mehrere der technischen Mechanismen bauen ausdrücklich auf EN 18031 auf, etwa der sichere Update-Mechanismus, die sichere Speicherung, die Protokollierung und das Löschen. Ein Mapping-Anhang verbindet die Anforderungen der EN 18031 mit den Mechanismen der EN 40000-1-4. Damit entsteht ein durchgängiger Pfad von der Funkanlagenrichtlinie (RED) hin zum CRA: Wer die EN 18031 bereits anwendet, kann einen Teil dieser Arbeit für die CRA-Anforderungen weiternutzen.
Ein deutlicher Vorbehalt ist hier angebracht: EN 40000-1-4 liegt bislang nur als unfertiger Arbeitsentwurf vor. Der Entwurf weist im Dokument selbst auf zahlreiche offene Bearbeitungshinweise hin. Struktur und Inhalte können sich bis zur fertigen Norm noch erheblich ändern. Die hier beschriebene Ausrichtung gibt den Stand des Arbeitsentwurfs wieder, nicht eine verabschiedete Norm.
TR 40000-1-5 (Threats and Security Objectives)
Der TR 40000-1-5 ist ein Technical Report und damit informativ. Er ist kein normativer Standard und nicht harmonisierungsfähig. Er löst also keine Konformitätsvermutung aus und enthält keine verpflichtenden Anforderungen.
Inhaltlich systematisiert der Report Bedrohungen und Schutzziele für Produkte mit digitalen Elementen. Diese leitet er aus den grundlegenden Anforderungen des CRA ab, konkret aus Anhang I Teil I Nummer 2. Damit dient der Report ausdrücklich als Grundlage für die horizontale Anforderungsnorm EN 40000-1-4: Er liefert die Bedrohungs- und Schutzzielsystematik, auf der die technischen Mechanismen aufsetzen.
Auch dieser Report befindet sich in einem frühen Entwurfsstadium und trägt auf der Titelseite noch Platzhalter. Die Inhalte sind als Orientierung zu verstehen, nicht als abgestimmter Stand.
Horizontale und vertikale CRA-Normen bilden ein Ökosystem
Die horizontalen Teile der EN 40000 sind nur ein Teil eines größeren Normungsökosystems zum CRA. Dieses gliedert sich in horizontale und vertikale Normen. Die horizontalen Normen gelten produktgruppenmäßig übergreifend: Dazu zählen die Teile EN 40000-1-1 bis -1-4 und der ergänzende Technical Report TR 40000-1-5. Sie liefern die gemeinsame Grundlage für alle Produkte mit digitalen Elementen.
Die vertikalen Normen konkretisieren die Anforderungen für bestimmte Produktkategorien. An ihnen arbeiten verschiedene Normungsgruppen, die jeweils ihre eigene Nummerierung verwenden. So gibt es auch innerhalb der EN 40000 selbst neben den horizontalen Teilen vertikale, produktspezifische Teile. Bekannt sind hier bislang die EN 40000-10 und die EN 40000-11; weitere dürften folgen. Daneben bestehen vertikale EN-Normenfamilien aus anderen Gruppen, etwa die ETSI-Reihe EN 304 6xx sowie die Reihen EN 50770-x und EN 50764 bis EN 50767. Stand April 2026 ist eine Vielzahl vertikaler Normungsprojekte angelegt:
| Ebene | Normenreihe | Anwendungsbereich |
|---|---|---|
| Horizontal | EN 40000-1-1 bis -1-4, TR 40000-1-5 | Produktübergreifende Grundlage |
| Vertikal | EN 40000-10, EN 40000-11 | Identitäts- und Zugriffsmanagement; Hardwaregeräte mit Sicherheitsboxen |
| Vertikal | ETSI EN 304 6xx | IT- und Endkundenprodukte, etwa Browser, Passwortmanager, VPNs, Betriebssysteme, smarte Heimprodukte |
| Vertikal | EN 50770-x-Reihe | Betriebstechnik (Operational Technology), auf IEC 62443 aufbauend |
| Vertikal | EN 50764 bis EN 50767 | Hardware-Sicherheit, etwa Mikroprozessoren und Mikrocontroller mit Sicherheitsfunktionen |
Die EN 40000-10 richtet sich an Produkte für Identitäts- und Zugriffsmanagement: an Systeme für das Identitätsmanagement, an Software und Hardware für privilegiertes Zugriffsmanagement sowie an Authentisierungs- und Zutrittskontrollleser einschließlich biometrischer Leser. Sie ist auf wichtige Produkte zugeschnitten und verweist für die Schwachstellenbehandlung normativ auf die EN 40000-1-3. Die EN 40000-11 adressiert Hardwaregeräte mit Sicherheitsboxen, also Geräte mit physisch geschützter Hülle, die sichere Speicherung und kryptographische Operationen in einer offenen Umgebung bereitstellen. Auch sie ist nach ihrem Anwendungsbereich auf wichtige Produkte zugeschnitten. Beide Normen liegen als Entwürfe vor und sind noch nicht im Amtsblatt zitiert.
Die ETSI-Reihe EN 304 6xx adressiert IT- und Endkundenprodukte; sie steht in der Tradition der etablierten Consumer-IoT-Norm ETSI EN 303 645. Für die Betriebstechnik greift die Reihe EN 50770 auf die IEC 62443 zurück, die im industriellen Umfeld bereits weit verbreitet ist. Ergänzend stützen sich diese OT-Normen auf bekannte Bausteine der 62443-Familie wie die IEC 62443-4-1 für den sicheren Entwicklungsprozess und die IEC 62443-4-2 für technische Komponentenanforderungen.
Beitrag zur Konformitätsvermutung
Eine harmonisierte Norm kann eine Konformitätsvermutung auslösen: Wer sie vollständig anwendet, darf vermuten, dass die abgedeckten grundlegenden Anforderungen erfüllt sind. Diese Wirkung ist an eine Bedingung geknüpft. Sie entsteht erst, wenn die Norm als harmonisierte Norm im Amtsblatt der Europäischen Union zitiert ist.
Stand April 2026 löst keine der EN-40000-Normen eine Konformitätsvermutung aus, weil keine im Amtsblatt zitiert ist. Solange dieser Schritt aussteht, sind die Normen als Orientierungsrahmen und als Referenz für den Stand der Technik zu verstehen. Eine konsequente Anwendung hilft bereits jetzt, die CRA-Anforderungen strukturiert zu erfüllen. Ob und wann die einzelnen Teile zitiert werden und damit die formale Konformitätsvermutung entfalten, ist derzeit nicht abschließend geklärt. Für den Technical Report TR 40000-1-5 gilt das ohnehin nicht: Als informatives Dokument kann er keine Konformitätsvermutung tragen.
Verhältnis zu anderen Normen
Die EN-40000-Reihe steht nicht isoliert, sondern verweist auf etablierte Normen und bindet sie ein.
Die engste technische Verbindung besteht zur EN 18031, der Normenreihe zur Funkanlagenrichtlinie (RED). Sie ist die technische Grundlage für mehrere Mechanismen der EN 40000-1-4. Ein Mapping-Anhang in der Anforderungsnorm bildet die EN 18031 auf die EN-40000-Mechanismen ab und schafft so die zentrale Brücke von der RED hin zum CRA.
Bei der Schwachstellenbehandlung verweist die Reihe auf die internationalen Prozessstandards ISO/IEC 29147 und ISO/IEC 30111. Die EN 40000-1-3 verfeinert deren Vorgaben und macht aus Empfehlungen verbindliche Anforderungen.
Für die sichere Produktentwicklung bestehen Bezüge zur IEC 62443-4-1, die als Prozessnorm im industriellen Umfeld etabliert ist. Auch zu ISO/IEC 27001 für Managementsysteme der Informationssicherheit und zu den vertikalen ETSI-Normen bestehen inhaltliche Überschneidungen. Die EN-40000-Reihe ist im Unterschied dazu ausdrücklich auf die CRA-Produktregulierung zugeschnitten.
Für Maschinen und Anlagen spannt die EN 50742 eine ergänzende Brücke zur IEC 62443: In ihrem Approach B bindet sie die 62443-Familie als Nachweisweg ein. So lässt sich der industrielle Normenbestand mit den Cybersicherheitsanforderungen für Maschinen verbinden.
Hinweis zur Verfügbarkeit
Die Entwürfe sind über die nationalen Normungsorganisationen erhältlich, in Deutschland über DIN Media:
Vergleichbar sind die Entwürfe auch über AFNOR, BSI, UNI und weitere nationale Stellen zugänglich. Eine fortlaufend gepflegte Statusübersicht zu allen CRA-Normungsprojekten veröffentlicht die DKE.
Fazit und Ausblick
Die EN-40000-Reihe entwickelt sich zum normativen Rückgrat des Cyber Resilience Act. Die Begriffsnorm liefert das Fundament, die Grundsätzenorm den Lebenszyklus-Rahmen, die Schwachstellennorm den Prozess und die Anforderungsnorm die technischen Mechanismen, samt Brücke zur EN 18031. Ergänzend entstehen vertikale Teile für einzelne Produktkategorien, etwa die EN 40000-10 für Identitäts- und Zugriffsmanagement und die EN 40000-11 für Hardwaregeräte mit Sicherheitsboxen. Stand April 2026 sind alle Teile jedoch Entwürfe, und keiner ist im Amtsblatt zitiert. Eine formale Konformitätsvermutung lösen sie damit noch nicht aus. Bis dahin bleibt die Reihe ein wertvoller Referenzrahmen zur Auslegung der CRA-Anforderungen.
Für Hersteller lohnt es sich, die Entwicklung früh zu verfolgen: Wer seine Produkte und Prozesse schon jetzt an der EN-40000-Logik ausrichtet, verkürzt den Weg zur späteren Konformität. Wie sich die EN-40000-Reihe in die übrige Normenlandschaft einfügt, zeigen die weiteren Normen zum Cyber Resilience Act im Überblick.