Eine normative Landschaft für den Cyber Resilience Act (EU) 2024/2847

Welche Normen für wofür von wem

Hersteller von Produkten mit digitalen Elementen haben die produktbezogenen Cybersicherheitsvorkehrungen und Maßnahmen zur Cyberwiderstandsfähigkeit ab dem 11.12.2027 umzusetzen (Art. 71 Abs.1 CRA).

Die Einhaltung der cybersicherheitsbezogenen Vorgaben kann der Hersteller z. B. durch die Anwendung harmonisierter Normen nachweisen (vgl. Erwägungsgrund 53 zum CRA), welche als technische Konkretisierungen der gesetzlichen Anforderungen dienen. 

Mit dem Durchführungsbeschluss [Implementing decision] C(2025)618 vom 3.2.2025 sind die drei europäischen Normungsorganisationen (ESO: CEN, Cenelec, ETSI) gebeten 41 Normen zu erstellen.

Das Mandat (Standardisation request M/606) läuft am 30. November 2027 aus. Bis dahin werden alle relevanten Normen erwartet. Einige Normen sollen aber noch in diesem Jahr kommen. 

Der CRA und dessen angestrebte Normenlandschaft unterscheiden zwischen horizontalen und vertikalen Normen. Unter horizontalen Normen werden Normen für alle Kategorien von Produkten mit digitalen Elementen verstanden, während sich vertikale Normen sektorspezifisch auf eine bestimmte Kategorie oder auf bestimmte Produkttypen fokussieren.

 

Horizontale Anforderungen

Die Einträge 1 bis 15 in Anhang I von C(2025)618 entsprechen dem CRA, Anhang I, Teil I „Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen“, konkret (1) und (2) a) bis (2) m). 

  • (1) wird durch die EN 40000-1-2:2025 („Grundsätze für die Cyberesilienz“) abgedeckt. Für das Vokabular gibt es die EN 40000-1-1:2025. Wir erwarten keine Konformitätsvermutungswirkung dieser beiden Normen und somit auch keine Listung im Amtsblatt der EU.
  • Für (2) a) bis (2) m) ist eine Referenz zur Identifikation der Norm noch nicht bekannt. Wir wissen jedoch, dass die EN 18031-Reihe als Grundlage für diese Norm prEN XXX (WI=JT013091) dient. Die EN 18031-Reihe wurde zuvor eigens für die Cybersicherheitsanforderungen der Funkanlagenrichtlinie 2014/53/EU und dessen delegierte Verordnung (EU) 2022/30 im August 2024 erschaffen.
  • Für (2) a) bis (2) m) wird es zudem einige unterstützende Technische Berichte [Technical reports] und Technische Spezifikationen [Technical specifications] geben, wie bspw. für Bedrohungen und Cybersicherheitsziele (WI=JT013097, Threats and Security Objectives).

Die Behandlung von Schwachstellen (CRA, Anhang I, Teil II, (1) bis (8)) wird durch die prEN XXX (WI=JT013090) abgebildet werden. 

 

Vertikale Anforderungen 

18 der vertikalen Normen kommen aus dem technischen Komitee: ETSI TC CYBER WG EUSR. Hier werden beispielsweise Wearables, internetfähiges Spielzeug, Router, Smart-Home-Produkte, VPNs, Browser und Passwortmanager bedient. 

Jene wichtige Produktgruppen (CRA, Anhang III), welche in der Industrieautomatisierung (IACS) als „Security Profile“ und in den übrigen Sektoren anzutreffen sind, werden von beiden technischen Komitees mit jeweils sektorspezifischen Normen bedient, bspw. Router, VPNs.
Für die Produktgruppe der Router heißt dies konkret, dass das CLC/TC 65X WG 3 eine Norm (EN 62443-5-XX) für die Industrieautomatisierung (IACS) hervorbringt und ETSI CYBER-EUSR eine weitere Norm (EN 304 627) für Produkte außerhalb des industriellen OT-Bereichs bspw. Verbraucherprodukte entwickelt.

CENELEC liefert 13 Normen. Die vertikalen harmonisierten Normen für OT-Produkte werden von CENELEC TC 65X WG 03 erarbeitet. 

CEN liefert 7 Normen. So steuert CEN neben den oben genannten horizontalen Normen auch sektorale Normen für Themen wie Datenschutz bei. Mit den Normen für Smart-Meter-Gateways (WI=JT013102), Hardwaregeräte mit Sicherheitsboxen (WI=00224293) und Chipkarten (engl. Smartcards) (WI=00224289) erarbeitet CEN auch Normen für kritische Produkte (CRA, Anhang IV).
 

Haben Sie Fragen zu horizontalen oder vertikalen Anforderungen? Für noch mehr Unterstützung stehen wir Ihnen gern zur Verfügung. Schreiben Sie uns einfach eine E-Mail mit Ihrer Frage oder nutzen Sie dazu unser Kontaktformular.

 

Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant
 



BEGRIFFE UND ABKÜRZUNGEN

European Committee for Standardisation (CEN), 

European Committee for Electrotechnical Standardisation (Cenelec) 

European Telecommunications Standards Institute (ETSI)

industrial automation and control systems (IACS)

Operational Technology (OT)

European Standardization Organization (ESO)

 

Veröffentlicht am 23.10.2025
Kategorie: Fokus Industry, Fokus Consumer Goods & Retail, Fokus Electrical and Wireless, Insider-Compliance, Compliance

zurück zur Übersicht

Compliance News

Die wichtigsten Neuigkeiten rund um Marktzulassungen und Product Compliance.

Expertise rund um Product, Material & Environmental Compliance
Weitere News
Indien: Anforderungen an Maschinen

BIS-Zertifizierung Scheme X

mehr

Eine Übersicht aktueller Normen-Updates

Warum ein Normenmanagementsystem seine Daseinsberechtigung hat

mehr

Eine normative Landschaft für den Cyber Resilience Act (EU) 2024/2847

Welche Normen für wofür von wem

mehr

Expertengeprüfte Informationspakete für konforme Produkte weltweit

Ressourcen schonen, Haftungsrisiko senken, Sicherheit gewinnen!

jetzt informieren und bestellen

©Lucky_Business@shutterstock.com/ROGER-WILLCO

Product-Compliance-Portal

Die zentrale Recherche-Plattform, mit der Sie alle Marktzulassungsanforderungen sammeln und aktuell halten.
 
©Lucky_Business@shutterstock.com/GLOBALNORM

Normenmanagement mit System

Die effiziente IT-Lösung, mit der Sie alle relevanten Normen zentral verwalten und überwachen.
En En
Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK