Alle Vergleiche

Cyber Resilience Act (CRA)

VS

IEC 62443

CRA vs. IEC 62443

Verbindliches EU-Recht trifft etablierten Industriestandard für industrielle Cybersicherheit

Verbindliches EU-Gesetz

Gesetzliche Pflicht mit CE-Kennzeichnung, Marktüberwachung und Bußgeld bis 15 Mio. EUR — Nichtkonformität bedeutet Marktverbot

Freiwillige internationale Industrienorm

Best Practice für industrielle Cybersicherheit — wertvoll, aber keine Konformitatsvermutung zum CRA ohne harmonisierte europaische Norm

IEC 62443 ist ein exzellenter Startpunkt, aber kein CRA-Ersatz. Die EU-Kommission hat klargestellt: Bestehende IEC-62443-Zertifizierungen führen nicht automatisch zur CRA-Konformität.

2 Abgedeckt2 Teilweise6 Nicht abgedeckt

Sie haben IEC 62443 — was fehlt noch für den CRA?

Eine IEC-62443-Zertifizierung bietet die stärkste Ausgangsbasis aller Standards für die CRA-Konformität. Insbesondere IEC 62443-4-1 (Secure Development Lifecycle) und IEC 62443-4-2 (Technische Anforderungen) decken 60–70 % der CRA-Anforderungen ab. Die verbleibenden Lücken sind jedoch EU-spezifisch und müssen gezielt geschlossen werden.

226
CRA-AnforderungAbdeckung durch IEC 62443
Sicherer Entwicklungslebenszyklus (IEC 62443-4-1)
Abgedeckt

IEC 62443-4-1 definiert detaillierte Anforderungen an den sicheren Entwicklungsprozess — Bedrohungsmodellierung, sichere Codierung, Sicherheitstests. Dies deckt die CRA-Anforderung an Security by Design umfassend ab.

Technische Sicherheitsanforderungen (IEC 62443-4-2)
Abgedeckt

IEC 62443-4-2 definiert technische Sicherheitsanforderungen für Komponenten (Identifikation, Zugriffskontrolle, Datenintegrität), die sich weitgehend mit CRA Anhang I Teil I decken.

Security-Level-Konzept
Teilweise

Die IEC-62443-Security-Levels (SL 1–4) lassen sich teilweise auf die CRA-Produktklassifizierung (Standard, Klasse I, Klasse II) abbilden — die Zuordnung ist jedoch nicht 1:1.

Konformitätsvermutung durch IEC-62443-Zertifizierung
Teilweise

Eine IEC-62443-Zertifizierung begründet keine automatische CRA-Konformitätsvermutung. Nur harmonisierte europäische Normen (hEN), die im EU-Amtsblatt veröffentlicht werden, begründen eine solche Vermutung gemäß Art. 27 CRA. Die ENISA hat bereits bestätigt, dass IEC 62443 keine Konformitätsvermutung zum CRA begründen wird. IEC 62443 deckt dennoch einen erheblichen Teil der CRA-Anforderungen ab und bleibt ein wertvoller Ausgangspunkt.

SBOM-Pflicht
Nicht abgedeckt

IEC 62443 enthält keine SBOM-Anforderung. Der CRA verlangt eine maschinenlesbare Software Bill of Materials für jedes Produkt (Anhang I Teil II i.V.m. Art. 13).

ENISA-Schwachstellenmeldung (24h/72h)
Nicht abgedeckt

IEC 62443 kennt keine externe Meldepflicht. Der CRA fordert die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden — ein EU-spezifischer Prozess.

EU-Konformitätserklärung
Nicht abgedeckt

IEC 62443 kennt keine EU-Konformitätserklärung. Der CRA verlangt eine formale Erklärung gemäß Anhang V als Marktzugangsvoraussetzung.

CE-Kennzeichnung
Nicht abgedeckt

Die CE-Kennzeichnung ist ein EU-regulatorisches Erfordernis ohne Entsprechung in IEC 62443.

Supportzeitraum-Deklaration
Nicht abgedeckt

IEC 62443 kennt keine explizite Supportzeitraum-Pflicht. Der CRA verpflichtet Hersteller, einen Supportzeitraum festzulegen und zu kommunizieren (mindestens 5 Jahre).

CRA-spezifische Produktklassifizierung (Anhang III/IV)
Nicht abgedeckt

Die CRA-Produktklassifizierung (Standard, Klasse I, Klasse II, kritisch) bestimmt den Konformitätsbewertungspfad und hat keine direkte Entsprechung in IEC 62443.

01

Rechtsnatur: Pflicht vs. Freiwilligkeit

Der CRA ist verbindliches EU-Recht mit Sanktionen bis 15 Mio. EUR. IEC 62443 ist freiwillig. Diese Unterscheidung wird sich teilweise auflösen, sobald IEC-62443-basierte harmonisierte Normen erscheinen.

  • CRA: Nichteinhaltung = Bußgelder, Produktrückrufe, Vertriebsverbote
  • IEC 62443: Vertraglich oder branchenspezifisch motiviert, nicht gesetzlich vorgeschrieben
  • Ausblick: IEC-62443-basierte hEN begründen Konformitätsvermutung zum CRA
02

Anwendungsbereich und Branchenfokus

IEC 62443 ist auf industrielle Automatisierung (IACS) fokussiert. Der CRA ist horizontal und erfasst alle Produkte mit digitalen Elementen branchenübergreifend.

  • IEC 62443: Betreiber (-2-x), Systemintegratoren (-3-x), Komponentenhersteller (-4-x)
  • CRA: Consumer-IoT, Software, Medizintechnik, Industrie — branchenübergreifend
  • Größte Überschneidung: IEC 62443-4-1 (Secure Development Lifecycle) und -4-2 (technische Sicherheitsanforderungen)
03

Detailvergleich der Anforderungen

Erhebliche Überschneidungen bei Security by Design und technischen Anforderungen. IEC 62443 geht mit Security Levels sogar über den CRA hinaus — es fehlen aber EU-spezifische CRA-Pflichten.

  • Übereinstimmung: IEC 62443-4-1 (Bedrohungsmodellierung, sichere Codierung, Penetrationstests) entspricht CRA Security by Design
  • IEC 62443 geht weiter: Security Levels SL1–SL4 bieten granulare Abstufung, die der CRA nicht kennt
  • CRA-Lücken in IEC 62443: SBOM, ENISA-Meldung (24h/72h), EU-Konformitätserklärung, Produktklassifizierung (Standard/Klasse I/II/Kritisch)
04

IEC 62443 und die CRA-Konformitätsvermutung

CEN und CENELEC entwickeln CRA-harmonisierte Normen, die voraussichtlich auf IEC 62443 aufbauen. Bis zur Veröffentlichung (frühestens Ende 2026) gilt der direkte Nachweis gegen Anhang I.

  • Konformitätsvermutung: Anwendung der hEN begründet die Vermutung, dass CRA-Anforderungen erfüllt sind
  • Bis dahin: CRA-Konformität direkt gegen Anhang I nachweisen
  • Vorteil: Unternehmen mit IEC-62443-Zertifizierung starten mit erheblichem Vorsprung
05

Keine automatische Konformitätsvermutung durch IEC 62443

Die EU-Kommission hat klargestellt: IEC 62443 führt nicht automatisch zur CRA-Konformitätsvermutung. Nur harmonisierte europäische Normen (hEN) im EU-Amtsblatt begründen diese gemäß Art. 27 CRA.

  • Aktuell: IEC 62443 ist eine internationale Norm (IEC/ISO), keine europäische hEN
  • In Entwicklung: CEN/CENELEC arbeiten an hEN auf Basis von IEC 62443, ISO 27001 und ETSI EN 303 645
  • Bis dahin: CRA-Konformität direkt gegen Anhang I nachweisen — IEC 62443 als wertvolle Grundlage, aber nicht ausreichend allein
06

Strategische Empfehlung für Unternehmen

IEC-62443-zertifizierte Unternehmen decken schätzungsweise 60–70 % der CRA-Anforderungen bereits ab. Die verbleibenden Lücken lassen sich systematisch schließen.

  • Schritt 1: Gap-Analyse zwischen IEC-62443-Implementierung und CRA Anhang I
  • Schritt 2: SBOM-Prozesse implementieren (keine IEC-62443-Entsprechung)
  • Schritt 3: ENISA-Meldeprozesse aufbauen (24h/72h-Fristen)
  • Schritt 4: EU-Konformitätserklärung und CRA-Produktklassifizierung vorbereiten

Synergien zwischen CRA und IEC 62443

IEC 62443 bietet eine exzellente Grundlage für CRA-Konformität — mit gezielten Ergänzungen lässt sich die Lücke effizient schließen.

60–70 % Abdeckung

Eine umfassende IEC-62443-Implementierung deckt bereits den Großteil der CRA-Anforderungen ab.

Konformitätsvermutung

IEC-62443-basierte harmonisierte Normen werden voraussichtlich eine CRA-Konformitätsvermutung begründen.

Globaler Vorteil

IEC 62443 ist weltweit anerkannt — Unternehmen profitieren über den EU-Markt hinaus von der Zertifizierung.

Ihre nächsten Schritte

1Hohe Priorität

SBOM in bestehende Prozesse integrieren

Ergänzen Sie Ihren IEC-62443-4-1-konformen Entwicklungsprozess um automatisierte SBOM-Generierung. Die vorhandene Softwarekonfigurationsverwaltung bildet eine gute Basis.

2Hohe Priorität

ENISA-Meldeprozess implementieren

Erweitern Sie Ihre bestehende Schwachstellenbehandlung (IEC 62443-4-1 SM-6/SM-13) um den CRA-spezifischen Meldeweg an ENISA mit 24h/72h-Fristen.

3Mittlere Priorität

EU-Konformitätserklärung vorbereiten

Erstellen Sie die CRA-Konformitätserklärung gemäß Anhang V. Nutzen Sie Ihre vorhandene IEC-62443-Dokumentation als Nachweis für die technischen Anforderungen.

4Mittlere Priorität

CRA-Produktklassifizierung bestimmen

Prüfen Sie, ob Ihre Produkte unter CRA Anhang III (Klasse I/II) oder Anhang IV (kritisch) fallen, und planen Sie den entsprechenden Konformitätsbewertungspfad.

Häufig gestellte Fragen

Ersetzt IEC 62443 die CRA-Konformität?
Nein. IEC 62443 ist ein freiwilliger internationaler Standard und kann die verbindliche EU-Verordnung nicht ersetzen. Die ENISA hat bereits bestätigt, dass IEC 62443 keine Konformitätsvermutung zum CRA begründen wird. IEC 62443 bleibt dennoch ein wertvoller Ausgangspunkt, da die Norm einen erheblichen Teil der CRA-Anforderungen abdeckt. Bis harmonisierte europäische Normen (hEN) veröffentlicht werden, reicht IEC-62443-Konformität allein nicht als CRA-Nachweis.
Reicht eine bestehende IEC-62443-Zertifizierung für den CRA aus?
Nicht vollständig, aber sie bietet einen sehr guten Ausgangspunkt. IEC 62443-4-1 (Secure Development Lifecycle) und IEC 62443-4-2 (Technische Sicherheitsanforderungen) decken schätzungsweise 60–70 % der CRA-Anforderungen ab. Es bestehen jedoch spezifische Lücken: Der CRA verlangt zusätzlich eine maschinenlesbare SBOM, Meldepflichten an die ENISA (24h/72h), eine EU-Konformitätserklärung mit CE-Kennzeichnung sowie die Produktklassifizierung nach CRA Anhang III/IV. Diese Lücken müssen durch ergänzende Maßnahmen geschlossen werden.
Welche CRA-Anforderungen deckt IEC 62443 nicht ab?
Vier zentrale CRA-Anforderungen sind in IEC 62443 nicht enthalten: (1) Maschinenlesbare SBOM — IEC 62443 fordert keine formale Software-Stückliste. (2) ENISA-Meldepflichten — der CRA verlangt die Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden und schwerer Vorfälle innerhalb von 72 Stunden; IEC 62443 kennt keine solche Meldepflicht. (3) EU-Konformitätserklärung mit CE-Kennzeichnung — als regulatorisches Instrument existiert dies nur im CRA-Kontext. (4) CRA-Produktklassifizierung — die Einteilung in Standard/Klasse I/Klasse II/Kritisch mit unterschiedlichen Konformitätsanforderungen hat kein Äquivalent in IEC 62443.
Wann werden harmonisierte CRA-Normen auf Basis von IEC 62443 verfügbar sein?
CEN und CENELEC arbeiten an harmonisierten Normen für den CRA, wobei IEC 62443 als wichtige Grundlage für den Industriebereich dient. Die Veröffentlichung der ersten harmonisierten Normen wird voraussichtlich nicht vor Ende 2026 erwartet. Die Referenzierung im EU-Amtsblatt — notwendig für die Konformitätsvermutung — kann zusätzliche Monate in Anspruch nehmen. Hersteller sollten nicht auf die harmonisierten Normen warten, sondern die CRA-Anforderungen aus Anhang I bereits jetzt umsetzen. Eine bestehende IEC-62443-Implementierung erleichtert diesen Prozess erheblich.
Welche Vorteile hat IEC 62443 gegenüber dem CRA?
IEC 62443 bietet in bestimmten Bereichen eine größere Detailtiefe als der CRA: Das Security-Level-Konzept (SL1–SL4) ermöglicht eine granulare Abstufung der Sicherheitsanforderungen je nach Bedrohungslage — der CRA kennt keine vergleichbare Abstufung. Die Normenreihe adressiert das gesamte IACS-Ökosystem (Betreiber, Integratoren, Komponentenhersteller) mit jeweils spezifischen Anforderungen. IEC 62443-4-1 bietet einen detaillierten Prozessrahmen für die sichere Produktentwicklung, der über die allgemeinen CRA-Anforderungen hinausgeht. Zudem ist IEC 62443 international anerkannt — auch außerhalb der EU, was für global agierende Hersteller einen Vorteil darstellt.
Wie sollten Unternehmen ohne IEC-62443-Erfahrung vorgehen?
Auch Unternehmen ohne bisherige IEC-62443-Erfahrung können die Normenreihe strategisch nutzen. Empfohlener Ansatz: IEC 62443-4-1 als praktischen Leitfaden für die Implementierung eines sicheren Entwicklungsprozesses (Secure Development Lifecycle) verwenden — dies deckt gleichzeitig die CRA-Anforderung 'Security by Design' ab. IEC 62443-4-2 als Referenz für technische Sicherheitsanforderungen an Komponenten heranziehen. Parallel dazu die CRA-spezifischen Anforderungen implementieren: SBOM-Prozesse aufbauen, ENISA-Meldewege vorbereiten, Produktklassifizierung durchführen und EU-Konformitätserklärung vorbereiten. Eine formale IEC-62443-Zertifizierung ist für die CRA-Konformität nicht erforderlich, kann aber die Marktposition stärken.
Wie ist der aktuelle Stand der harmonisierten Normen für den CRA?
Stand März 2026 sind die harmonisierten europäischen Normen für den CRA noch in Entwicklung. CEN/CENELEC und ETSI wurden mit der Erarbeitung beauftragt. Bis zur Veröffentlichung im Amtsblatt der EU können bestehende Normen wie IEC 62443 die Konformität unterstützen, begründen jedoch keine Konformitätsvermutung.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der EU

IEC 62443 — Normenreihe

IEC-Übersichtsseite zur Cybersicherheitsnormenreihe IEC 62443 für industrielle Automatisierung

ISA/IEC 62443 Standards

ISA-Übersicht zur IEC 62443 Normenreihe mit Beschreibung aller Teilnormen

Mehr auf Kunnus

CRA-Wissensportal

Alle CRA-Artikel, Erwägungsgründe und Anhänge im Volltext mit Suchfunktion

Industriemaschinen & Automatisierung

CRA-Anforderungen für SPSen, CNC-Maschinen und Robotik mit Embedded Software

Industrielle Komponenten

CRA-Compliance für eingebettete Steuerungen, Sensoren und Antriebssysteme

CRA Anhang I — Wesentliche Anforderungen

Volltext der wesentlichen Cybersicherheitsanforderungen des CRA

CRA vs. ISO 27001

Gesetzliche Pflicht vs. freiwilliger Standard: Wie CRA und ISO 27001 zusammenwirken

CRA vs. Funkgeräterichtlinie (RED)

Wie der CRA die Cybersicherheitsanforderungen der Funkgeräterichtlinie ablöst

Von IEC 62443 zur CRA-Konformität

Kunnus schließt die Lücke zwischen IEC-62443-Zertifizierung und CRA-Compliance. SBOM-Management, ENISA-Meldeprozesse und Konformitätsdokumentation — alles in einer Plattform.

Mehr erfahren