Alle Vergleiche

Cyber Resilience Act (CRA)

VS

ETSI EN 303 645

CRA vs. ETSI EN 303 645

Vom freiwilligen IoT-Standard zum verbindlichen EU-Recht

Verbindliches EU-Gesetz

Rechtlich bindend für alle Produkte mit digitalen Elementen — Nichtkonformität hat rechtliche Konsequenzen

Europaische technische Norm

Freiwilliger Standard für Consumer-IoT-Sicherheit — deckt 13 Sicherheitsprovisions ab, ist aber nicht rechtsverbindlich

ETSI EN 303 645 ist eine gute Grundlage, aber kein Gesetz. Der CRA geht erheblich weiter: SBOM-Pflicht, ENISA-Meldung, CE-Kennzeichnung und formale Konformitätsbewertung fehlen in der ETSI-Norm.

5 Abgedeckt0 Teilweise7 Nicht abgedeckt

Sie erfüllen ETSI EN 303 645 — was fehlt noch für den CRA?

ETSI EN 303 645 ist der am besten auf den CRA abgestimmte bestehende Standard im Consumer-IoT-Bereich. Die 13 Bestimmungen decken viele CRA-Anforderungen ab — aber der CRA geht in mehreren EU-spezifischen Bereichen deutlich weiter.

507
CRA-AnforderungAbdeckung durch ETSI EN 303 645
Keine universellen Standardpasswörter
Abgedeckt

ETSI-Bestimmung 5.1 verbietet universelle Standardpasswörter — dies deckt die entsprechende CRA-Anforderung in Anhang I vollständig ab.

Software-Update-Mechanismen
Abgedeckt

ETSI-Bestimmung 5.3 fordert sichere Updatemechanismen. Dies deckt die CRA-Anforderung an Sicherheitsupdates weitgehend ab.

Sichere Kommunikation
Abgedeckt

ETSI-Bestimmung 5.5 fordert verschlüsselte Kommunikation. Dies entspricht den CRA-Anforderungen an Datenvertraulichkeit in Anhang I.

Minimierung der Angriffsfläche
Abgedeckt

ETSI-Bestimmung 5.6 fordert die Minimierung exponierter Angriffsflächen. Dies deckt die entsprechende CRA-Anforderung ab.

Weitere ETSI-Bestimmungen (13 insgesamt)
Abgedeckt

Die meisten der 13 ETSI-Bestimmungen zu Datenschutz, Integrität, Resilienz und sicherer Ersteinrichtung decken Teile der CRA-Anhang-I-Anforderungen ab.

SBOM-Pflicht
Nicht abgedeckt

ETSI EN 303 645 enthält keine SBOM-Anforderung. Der CRA verlangt eine maschinenlesbare Software Bill of Materials für jedes Produkt.

ENISA-Schwachstellenmeldung (24h/72h)
Nicht abgedeckt

ETSI EN 303 645 kennt keine externe Meldepflicht. Der CRA fordert die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden.

EU-Konformitätserklärung
Nicht abgedeckt

ETSI ist ein freiwilliger Standard ohne EU-Konformitätserklärung. Der CRA verlangt eine formale Erklärung gemäß Anhang V.

CE-Kennzeichnung
Nicht abgedeckt

ETSI-Konformität führt nicht zur CE-Kennzeichnung. Der CRA verlangt die CE-Kennzeichnung als Marktzugangsvoraussetzung.

Formale Supportzeitraum-Deklaration
Nicht abgedeckt

ETSI empfiehlt einen definierten Supportzeitraum, der CRA macht ihn zur Pflicht (mindestens 5 Jahre) mit formaler Deklaration.

CRA-spezifische Dokumentationsanforderungen
Nicht abgedeckt

Der CRA fordert umfangreiche technische Dokumentation gemäß Anhang VII — über die ETSI-Implementierungsberichte hinaus.

Produktklassifizierung (Anhang III/IV)
Nicht abgedeckt

Die CRA-Produktklassifizierung (Standard, Klasse I, Klasse II) bestimmt den Konformitätsbewertungspfad — ohne ETSI-Äquivalent.

01

ETSI EN 303 645 als CRA-Wegbereiter

ETSI EN 303 645 war ein wichtiger CRA-Vorläufer. Viele der 13 Bestimmungen finden sich in CRA Anhang I wieder. ETSI wird als harmonisierte Norm (hEN) unter dem CRA weiterentwickelt.

  • Bestimmung 1 (Keine Standardpasswörter) entspricht CRA Anhang I, Teil I, Nr. 1
  • Bestimmung 2 (Vulnerability Disclosure) entspricht CRA Art. 13(6)
  • Bestimmung 3 (Software aktuell halten) entspricht CRA Anhang I, Teil II, Nr. 2
  • Bestimmung 4+5 (Datenschutz, sichere Kommunikation) entsprechen CRA Anhang I, Teil I, Nr. 3
  • Konformitätsvermutung: Bei erfolgreicher Harmonisierung deckt die ETSI-Norm CRA-Anforderungen im Consumer-IoT-Bereich ab
02

Was der CRA zusätzlich fordert

Auch bei vollständiger ETSI-Konformität bestehen wesentliche CRA-Anforderungen, die über die Norm hinausgehen.

  • SBOM-Pflicht: CRA verlangt maschinenlesbare SBOM — keine ETSI-Entsprechung
  • ENISA-Meldepflicht (Art. 14): 24h-Meldung an ENISA — ETSI empfiehlt nur Vulnerability Disclosure Policy
  • Supportzeitraum-Deklaration (Art. 13(16)): Formale Angabe auf Verpackung — ETSI nur Empfehlung
  • CE-Kennzeichnung (Art. 13(12), Art. 20): EU-Konformitätserklärung — kein ETSI-Äquivalent
  • Technische Dokumentation (Anhang V): Umfangreicher als ETSI TS 103 701
03

Der Weg zur Harmonisierung

ETSI arbeitet daran, EN 303 645 als harmonisierte Norm (hEN) unter dem CRA anzupassen. Bis zur Harmonisierung: ETSI als Grundlage nutzen, CRA-Lücken separat adressieren.

  • Schritt 1: Kommission erteilt Standardisierungsauftrag an ETSI
  • Schritt 2: ETSI überarbeitet EN 303 645 (ergänzt z. B. SBOM-Anforderungen)
  • Schritt 3: Veröffentlichung im EU-Amtsblatt nach Prüfung durch die Kommission
  • Schritt 4: Konformitätsvermutung — vollständige Anwendung der hEN gilt als CRA-Nachweis
04

Praktische Empfehlungen für IoT-Hersteller

ETSI EN 303 645-konforme Hersteller haben eine starke Ausgangsbasis. Der Weg zum CRA erfordert gezielte Ergänzungen.

  • Schritt 1: ETSI-Konformität als Startpunkt — deckt erheblichen Teil der CRA-Anforderungen ab
  • Schritt 2: CRA-Lückenanalyse — SBOM, ENISA-Meldung, Supportzeitraum, CE-Kennzeichnung identifizieren
  • Schritt 3: SBOM-Prozesse aufbauen — automatisierte Generierung in Build-Pipelines, CVE-Monitoring
  • Schritt 4: Produktklassifizierung (Standard/Klasse I/II) und Konformitätsbewertungspfad bestimmen
  • Schritt 5: ETSI-Harmonisierungsprozess verfolgen — hEN-Anerkennung ermöglicht Konformitätsvermutung

Synergien zwischen CRA und ETSI EN 303 645

ETSI EN 303 645 bietet eine solide Grundlage für CRA-Konformität im Consumer-IoT-Bereich.

Konformitätsvermutung

Bei Anerkennung als harmonisierte Norm begründet die ETSI-Konformität eine CRA-Konformitätsvermutung.

Bewährte Best Practices

Die 13 ETSI-Bestimmungen decken einen Großteil der CRA-Anforderungen für Consumer IoT ab.

Globale Anerkennung

ETSI EN 303 645 wird weltweit referenziert — von UK PSTI Act bis zu IoT-Standards in Australien und Singapur.

Ihre nächsten Schritte

1Hohe Priorität

SBOM-Prozess ergänzen

Integrieren Sie automatisierte SBOM-Generierung in Ihren Entwicklungsprozess. Ihre bestehende ETSI-konforme Softwareverwaltung bietet eine gute Basis.

2Hohe Priorität

Formale ENISA-Meldung implementieren

Erweitern Sie Ihren ETSI-5.2-konformen Schwachstellenprozess um den CRA-spezifischen Meldeweg an ENISA mit 24h/72h-Fristen.

3Mittlere Priorität

Konformitätsdokumentation erstellen

Erstellen Sie die CRA-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII). Nutzen Sie bestehende ETSI-Dokumentation als Ausgangspunkt.

4Mittlere Priorität

CE-Kennzeichnungsprozess einrichten

Planen Sie den CRA-Konformitätsbewertungspfad basierend auf der Produktklassifizierung und bereiten Sie die CE-Kennzeichnung vor.

Häufig gestellte Fragen

Ersetzt der CRA die ETSI EN 303 645?
Nein. Der CRA ist eine EU-Verordnung mit Gesetzeskraft, ETSI EN 303 645 ist ein technischer Standard. Die beiden operieren auf unterschiedlichen Ebenen. Der CRA definiert die rechtlichen Anforderungen ("was" erreicht werden muss), während ETSI EN 303 645 eine technische Lösung beschreibt ("wie" es erreicht werden kann). Wenn die Norm als harmonisierte Norm (hEN) unter dem CRA anerkannt wird, bietet ihre Anwendung sogar eine Konformitätsvermutung — die Norm wird also wertvoller, nicht überflüssig.
Reicht eine ETSI EN 303 645-Zertifizierung für die CRA-Konformität aus?
Zum aktuellen Stand nicht vollständig. Selbst wenn ETSI EN 303 645 als harmonisierte Norm anerkannt wird, deckt sie nur die Consumer-IoT-spezifischen Anforderungen ab. Die CRA-Pflichten zu SBOMs, ENISA-Meldepflichten, Unterstützungszeitraum-Deklaration, CE-Kennzeichnung und technischer Dokumentation nach Anhang V gehen über die Norm hinaus und müssen zusätzlich erfüllt werden. Die ETSI-Konformität ist ein wichtiger Baustein, aber kein Gesamtpaket.
Welche zusätzlichen CRA-Anforderungen bestehen über ETSI EN 303 645 hinaus?
Die wesentlichen Ergänzungen sind: (1) Verpflichtende SBOM-Erstellung und -Pflege (CRA Art. 13, Anhang I), (2) Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24/72 Stunden (Art. 14), (3) Deklaration und Kommunikation des Unterstützungszeitraums (Art. 13(16)), (4) EU-Konformitätserklärung und CE-Kennzeichnung (Art. 13(12), Art. 20), (5) umfassende technische Dokumentation gemäß Anhang V, und (6) Konformitätsbewertung nach dem gestuften CRA-System (Anhang VI–VIII).
Wann wird ETSI EN 303 645 als harmonisierte Norm unter dem CRA anerkannt?
Der genaue Zeitplan ist noch nicht abschließend festgelegt. Die EU-Kommission hat Standardisierungsmandate erteilt, und ETSI arbeitet an der Überarbeitung der Norm. Harmonisierte Normen werden typischerweise vor dem Geltungsbeginn der Verordnung veröffentlicht, also idealerweise vor Dezember 2027. Hersteller sollten den Prozess über ETSI TC CYBER und die Veröffentlichungen im EU-Amtsblatt verfolgen.
Gilt ETSI EN 303 645 auch für Industrieprodukte oder Enterprise-IoT?
Nein. ETSI EN 303 645 ist ausdrücklich auf Consumer IoT beschränkt — also verbraucherorientierte vernetzte Geräte. Industrielle IoT-Systeme, Enterprise-Netzwerkgeräte oder eingebettete Steuerungen fallen nicht unter den Anwendungsbereich der Norm. Für diese Produktkategorien werden unter dem CRA andere harmonisierte Normen entwickelt, beispielsweise auf Basis der IEC 62443-Reihe für industrielle Automatisierungssysteme.
Wie verhält sich ETSI TS 103 701 zum CRA-Konformitätsbewertungsprozess?
ETSI TS 103 701 ist die Konformitätsbewertungsmethodik zu ETSI EN 303 645 — sie beschreibt, wie die Einhaltung der 13 Bestimmungen geprüft wird. Diese Bewertungsmethodik kann als Grundlage für die CRA-Selbstbewertung (Modul A) für Consumer-IoT-Produkte dienen, die nicht in CRA Anhang III oder IV als Klasse I oder II gelistet sind. Für Klasse-I- oder Klasse-II-Produkte ist jedoch eine weitergehende Konformitätsbewertung durch benannte Stellen erforderlich, die über den Rahmen von ETSI TS 103 701 hinausgeht.
Wie ist der aktuelle Stand der harmonisierten Normen für den CRA?
Stand März 2026 sind die harmonisierten europäischen Normen für den CRA noch in Entwicklung. CEN/CENELEC und ETSI wurden mit der Erarbeitung beauftragt. Bis zur Veröffentlichung im Amtsblatt der EU können bestehende Normen wie ETSI EN 303 645 die Konformität unterstützen, begründen jedoch keine Konformitätsvermutung.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA — Verordnung (EU) 2024/2847 im Volltext

Offizieller Verordnungstext des Cyber Resilience Act im EUR-Lex-Portal

ETSI EN 303 645 v2.1.1 (PDF)

Volltext der europäischen Norm für Cybersicherheit im Consumer-IoT-Bereich

ETSI — Consumer IoT Security

ETSI-Übersichtsseite zu Consumer-IoT-Sicherheit mit allen zugehörigen Standards und Berichten

Mehr auf Kunnus

CRA-Wissensportal

Vollständiger Verordnungstext und Kommentierungen zum CRA

Kunnus für Consumer IoT

CRA-Compliance-Lösung für Consumer-IoT-Hersteller

Kunnus für Smart Home

CRA-Compliance für Smart-Home-Gerätehersteller

CRA-Compliance-Check

Kostenlose Ersteinschätzung Ihres CRA-Compliance-Status

CRA vs. Funkgeräterichtlinie (RED)

Wie der CRA die Cybersicherheitsanforderungen der Funkgeräterichtlinie ablöst

CRA vs. IEC 62443

Vergleich zwischen CRA und dem Industriestandard IEC 62443 für industrielle Cybersicherheit

Von ETSI EN 303 645 zum CRA — nahtlos

Kunnus überführt Ihre bestehende ETSI-Konformität in vollständige CRA-Compliance: SBOM-Management, ENISA-Meldeprozesse und CE-Dokumentation — alles in einer Plattform.

Mehr erfahren