Hersteller von Produkten mit digitalen Elementen haben die produktbezogenen Cybersicherheitsvorkehrungen und Maßnahmen zur Cyberwiderstandsfähigkeit ab dem 11.12.2027 umzusetzen (Art. 71 Abs.1 CRA).
Die Einhaltung der cybersicherheitsbezogenen Vorgaben kann der Hersteller z. B. durch die Anwendung harmonisierter Normen nachweisen (vgl. Erwägungsgrund 53 zum CRA), welche als technische Konkretisierungen der gesetzlichen Anforderungen dienen.
Mit dem Durchführungsbeschluss [Implementing decision] C(2025)618 vom 3.2.2025 sind die drei europäischen Normungsorganisationen (ESO: CEN, Cenelec, ETSI) gebeten 41 Normen zu erstellen.
Das Mandat (Standardisation request M/606) läuft am 30. November 2027 aus. Bis dahin werden alle relevanten Normen erwartet. Einige Normen sollen aber noch in diesem Jahr kommen.
Der CRA und dessen angestrebte Normenlandschaft unterscheiden zwischen horizontalen und vertikalen Normen. Unter horizontalen Normen werden Normen für alle Kategorien von Produkten mit digitalen Elementen verstanden, während sich vertikale Normen sektorspezifisch auf eine bestimmte Kategorie oder auf bestimmte Produkttypen fokussieren.
Horizontale Anforderungen
Die Einträge 1 bis 15 in Anhang I von C(2025)618 entsprechen dem CRA, Anhang I, Teil I „Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen“, konkret (1) und (2) a) bis (2) m).
- (1) wird durch die EN 40000-1-2:2025 („Grundsätze für die Cyberesilienz“) abgedeckt. Für das Vokabular gibt es die EN 40000-1-1:2025. Wir erwarten keine Konformitätsvermutungswirkung dieser beiden Normen und somit auch keine Listung im Amtsblatt der EU.
- Für (2) a) bis (2) m) ist eine Referenz zur Identifikation der Norm noch nicht bekannt. Wir wissen jedoch, dass die EN 18031-Reihe als Grundlage für diese Norm prEN XXX (WI=JT013091) dient. Die EN 18031-Reihe wurde zuvor eigens für die Cybersicherheitsanforderungen der Funkanlagenrichtlinie 2014/53/EU und dessen delegierte Verordnung (EU) 2022/30 im August 2024 erschaffen.
- Für (2) a) bis (2) m) wird es zudem einige unterstützende Technische Berichte [Technical reports] und Technische Spezifikationen [Technical specifications] geben, wie bspw. für Bedrohungen und Cybersicherheitsziele (WI=JT013097, Threats and Security Objectives).
Die Behandlung von Schwachstellen (CRA, Anhang I, Teil II, (1) bis (8)) wird durch die prEN XXX (WI=JT013090) abgebildet werden.
Vertikale Anforderungen
18 der vertikalen Normen kommen aus dem technischen Komitee: ETSI TC CYBER WG EUSR. Hier werden beispielsweise Wearables, internetfähiges Spielzeug, Router, Smart-Home-Produkte, VPNs, Browser und Passwortmanager bedient.
Jene wichtige Produktgruppen (CRA, Anhang III), welche in der Industrieautomatisierung (IACS) als „Security Profile“ und in den übrigen Sektoren anzutreffen sind, werden von beiden technischen Komitees mit jeweils sektorspezifischen Normen bedient, bspw. Router, VPNs.
Für die Produktgruppe der Router heißt dies konkret, dass das CLC/TC 65X WG 3 eine Norm (EN 62443-5-XX) für die Industrieautomatisierung (IACS) hervorbringt und ETSI CYBER-EUSR eine weitere Norm (EN 304 627) für Produkte außerhalb des industriellen OT-Bereichs bspw. Verbraucherprodukte entwickelt.
CENELEC liefert 13 Normen. Die vertikalen harmonisierten Normen für OT-Produkte werden von CENELEC TC 65X WG 03 erarbeitet.
CEN liefert 7 Normen. So steuert CEN neben den oben genannten horizontalen Normen auch sektorale Normen für Themen wie Datenschutz bei. Mit den Normen für Smart-Meter-Gateways (WI=JT013102), Hardwaregeräte mit Sicherheitsboxen (WI=00224293) und Chipkarten (engl. Smartcards) (WI=00224289) erarbeitet CEN auch Normen für kritische Produkte (CRA, Anhang IV).
Haben Sie Fragen zu horizontalen oder vertikalen Anforderungen? Für noch mehr Unterstützung stehen wir Ihnen gern zur Verfügung. Schreiben Sie uns einfach eine E-Mail mit Ihrer Frage oder nutzen Sie dazu unser Kontaktformular.
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant
BEGRIFFE UND ABKÜRZUNGEN
European Committee for Standardisation (CEN),
European Committee for Electrotechnical Standardisation (Cenelec)
European Telecommunications Standards Institute (ETSI)
industrial automation and control systems (IACS)
Operational Technology (OT)
European Standardization Organization (ESO)
