Der Cyber Resilience Act (CRA) ist Realität. Er trat am 10. Dezember 2024 in Kraft und setzt eine klare Frist. Ab dem 11. Dezember 2027 dürfen Produkte mit digitalen Elementen in der EU nur noch in Verkehr gebracht werden, wenn sie strenge Cybersicherheitsanforderungen erfüllen. Die CE-Kennzeichnung dokumentiert dann auch die Einhaltung des CRA.

Wichtig für die Planung: Die neuen Anforderungen gelten für Produkte, die ab diesem Datum erstmals in Verkehr gebracht werden. Für bereits zuvor im Markt befindliche Produkte greifen spezifische Übergangsregelungen. Für die klassische IT ist dieser Prozess oft Routine. Für die Operational Technology (OT) und den Maschinenbau ist es ein Paradigmenwechsel.

Viele Hersteller stehen nun vor der Frage, welche Normen sie zur Vorbereitung anwenden sollen. Oft werden ISO 27001, ISO 27032 sowie IEC 62443 in einen Topf geworfen. Dieser Artikel sortiert die Begriffe und zeigt auf, warum die IEC 62443 ein fundierter Wegweiser zur CRA-Compliance im industriellen Umfeld ist.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Aussagen zur CRA-Compliance konsultieren Sie bitte qualifizierte Rechtsberater oder Zertifizierungsstellen.

Das Missverständnis mit der ISO 27032

Beginnen wir mit einer Abgrenzung, die oft für Verwirrung sorgt. Immer wieder taucht die ISO/IEC 27032 in Diskussionen auf. Sie behandelt "Guidelines for Internet Security" und den Schutz des "Cyberspace".

Für den CRA und die konkrete Produktsicherheit ist diese Norm jedoch kaum als Basis geeignet. Die ISO 27032 ist ein strategischer Leitfaden für die Zusammenarbeit im Internet und keine technische Bauanleitung für sichere Steuerungen. Wer versucht, eine SPS oder einen Frequenzumrichter nach ISO 27032 zu härten, wird scheitern. Sie liefert keine messbaren Anforderungen für Hardware oder Firmware, wie sie der CRA verlangt.

ISO 27001 vs. IEC 62443: Daten gegen Physik

Ein weiteres häufiges Problem ist der Versuch, Konzepte der Unternehmens-IT unreflektiert auf die Produktion zu übertragen. Zwar fordert die ISO 27001 eine risikobasierte Gewichtung der Schutzziele, doch in der Praxis unterscheiden sich die Prioritäten von IT und OT massiv.

• ISO 27001 (IT-Fokus): In vielen IT-Szenarien steht die Vertraulichkeit (Confidentiality) im Vordergrund. Wird ein Server angegriffen, kann er oft isoliert oder heruntergefahren werden, um den Datenabfluss zu verhindern.

• IEC 62443 (OT-Fokus): In der Produktion gilt fast immer das Primat der Verfügbarkeit (Availability). Ein Not-Aus wegen eines Updates oder einer Sicherheitsmaßnahme kann physische Schäden verursachen sowie Menschenleben gefährden.

Der CRA fordert explizit Sicherheit für Produkte, ohne deren Funktion zu beeinträchtigen. Da die IEC 62443 genau für dieses Spannungsfeld zwischen Sicherheit und physikalischer Verfügbarkeit entwickelt wurde, eignet sie sich als technischer Rahmen für OT-Komponenten deutlich besser als reine IT-Standards.

Die 3 Säulen der GAP-Analyse für den CRA

Wer seine Produkte "CRA-ready" machen will, muss eine GAP-Analyse durchführen. Diese beschränkt sich nicht auf technische Features, sondern muss drei Ebenen abdecken:

1. Die Klassifizierung (Portfolio-Analyse) Bevor Technik geprüft wird, muss der Status geklärt sein. Fällt das Produkt unter die Kategorie "Standard", "Wichtig" (Klasse I/II) oder "Kritisch"? Diese Einteilung bestimmt, ob eine Konformitätsbewertung auf der Grundlage einer internen Fertigungskontrolle (Modul A) ausreicht oder ob eine externe Prüfung durch einen "Notified Body" zwingend ist. Industrielle Firewalls sowie Mikroprozessoren fallen beispielsweise oft in die strengeren Kategorien.

2. Die Prozesse (Meldepflichten und Dokumentation) Der CRA stellt strenge Anforderungen an das Schwachstellenmanagement. Besonders kritisch ist die Meldepflicht: Hersteller müssen aktiv ausgenutzte Schwachstellen sowie schwerwiegende Vorfälle binnen 24 Stunden an die Behörden (z.B. CSIRTs/ENISA) melden. Diese Pflicht greift bereits vor der vollen Anwendung, nämlich ab dem 11. September 2026. Zudem müssen technische Unterlagen und Risikoanalysen für 10 Jahre (oder für die Dauer des Supports, falls länger) aufbewahrt werden. Eine GAP-Analyse muss prüfen, ob interne Prozesse existieren, um diese Datenvorhaltung und Reaktionsgeschwindigkeit zu garantieren. Die IEC 62443-4-1 liefert hierfür die nötigen Prozessstrukturen.

3. Die Technik (IEC 62443-4-2 als Orientierung) Der CRA selbst schreibt noch keinen spezifischen Standard vor, verweist aber auf harmonisierte Normen, die derzeit erarbeitet werden. Die IEC 62443-4-2 gilt in der Industrie als etablierter Referenzstandard für technische Sicherheitsanforderungen im Industrieumfeld. Zu prüfende Fragen sind:

• Sind Passwörter verschlüsselt und Standardpasswörter eliminiert?

• Gibt es "Secure Boot"?

• Ist eine rollenbasierte Zugriffskontrolle (RBAC) implementiert?

• Kann eine Software Bill of Materials (SBOM) erstellt werden? (Dies ist laut CRA Annex I verpflichtend).

Die IEC 62443-4-2 definiert hierfür exakte Security Levels (SL), gegen die entwickelt und getestet werden kann.

🥜 In A Nutshell

Der Cyber Resilience Act erzwingt Professionalisierung. Es reicht nicht mehr, IT-Konzepte halbherzig auf die Fertigung zu übertragen. Für die Produkt-Compliance und die Sicherheit im Shopfloor bietet die IEC 62443 einen fundierten technischen Rahmen. Wer seine GAP-Analyse an den Teilen 4-1 (Prozesse) und 4-2 (Produkt) ausrichtet, adressiert viele der zentralen CRA-Anforderungen.

Stand: Februar 2025 | Dieser Artikel gibt den Wissensstand zum Zeitpunkt der Veröffentlichung wieder. Der CRA verweist auf harmonisierte Normen, deren finale Ausgestaltung durch die europäischen Normungsorganisationen erfolgt. Für den aktuellen Stand konsultieren Sie bitte das Amtsblatt der EU sowie die zuständigen Normungsgremien.