CRA für Industrieautomation: IEC 62443 und OT-Sicherheit

Wie der CRA für Industrieautomation und OT gilt: IEC-62443-Abstimmung, warum SPS und SCADA meist Standardkategorie sind und wann die Klasse steigt.

CRA Evidence-Team Veröffentlicht 8. Januar 2026 Aktualisiert 19. April 2026
CRA für Industrieautomation: IEC 62443 und OT-Sicherheit
In diesem Artikel

Produkte der Industrieautomation stehen wegen ihrer kritischen Rolle in Fertigung, Energie und Infrastruktur vor spezifischen CRA-Anforderungen. Viele fallen in die Important Klasse II und erfordern eine Konformitätsbewertung durch Dritte. Der etablierte Standard IEC 62443 bietet eine tragfähige Grundlage für die CRA-Compliance.

Dieser Leitfaden behandelt die CRA-Compliance für Hersteller von Industrieautomation.

Zusammenfassung

  • Viele Industrieautomationsprodukte sind Important Klasse II (Konformitätsbewertung durch Dritte erforderlich).
  • Eine IEC 62443-Zertifizierung stützt die CRA-Compliance erheblich (keine automatische Gleichwertigkeit).
  • OT-Umgebungen haben besondere Update- und Lebenszyklus-Herausforderungen.
  • Nach CRA Artikel 13 Absatz 8 gilt ein Mindestsupportzeitraum von fünf Jahren, daher planen Sie Produktlebenszyklen entsprechend.
  • SBOM-Anforderungen gelten für industrielle Steuerungssysteme.
  • Die Integration von Safety und Security ist kritisch (IEC 62443 mit IEC 61508 / ISO 13849).
5 Jahre
Mindestsupportzeitraum
CRA Artikel 13 Absatz 8
24 Stunden
Frühwarnung
an CSIRT und ENISA
72 Stunden
Schwachstellenmeldung
CRA Artikel 14 Absatz 2 Buchstabe b
14 Tage
Abschlussbericht
nach Behebung

Quelle: Verordnung (EU) 2024/2847, Artikel 13 Absatz 8 (Supportzeitraum) und Artikel 14 Absatz 2 Buchstaben a, b und c (Meldekadenz).

Welche Industrieprodukte sind erfasst?

CRA-Geltungsbereich für Industrieautomation

Der CRA gilt für „Produkte mit digitalen Elementen", die auf dem EU-Markt bereitgestellt werden. Für die Industrieautomation zählt dazu:

Eindeutig im Geltungsbereich:

  • SPS (speicherprogrammierbare Steuerungen)
  • Industrie-PCs und HMIs
  • SCADA-Software
  • Prozessleitsysteme (DCS)
  • Industrial-IoT-Sensoren und -Gateways
  • Industrierouter und -Switches
  • Fernzugriffslösungen
  • Engineering-Arbeitsplätze und -Software

Ausnahmen können gelten:

  • Produkte ausschließlich für die nationale Sicherheit
  • Produkte für militärische Verwendung
  • Kundenspezifische Einzelanfertigungen (können als „Ersatzteile" gelten)

CRA-Klassifizierung für Industrieprodukte

Die meisten Industrieautomationsprodukte fallen in Important Klasse I oder II.

Important Klasse II

Konformitätsbewertung durch eine notifizierte Stelle (Modul B+C oder Modul H) oder ein verfügbares und anwendbares Zertifizierungsschema erforderlich. Einige Industrieprodukte haben die Kernfunktionalität einer Anhang-IV-Kategorie, etwa Hardware-Sicherheitsmodule und Smart-Meter-Gateways; diese sind kritische Produkte, eine höhere Stufe, die ebenfalls eine Drittbewertung erfordert.

Beispiele
  • Firewalls für industrielle Nutzung
  • Industrielle IDS-/IPS-Systeme
  • Manipulationssichere Mikroprozessoren und Mikrocontroller
Important Klasse I

Selbstbewertung möglich, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema die Anforderungen des Produkts vollständig abdecken.

Beispiele
  • SPS und Industriesteuerungen
  • SCADA-/DCS-Software
  • Industrial-IoT-Gateways
  • Fernzugriffs- und VPN-Lösungen
  • Industrielle Router, Modems und Switches
  • Mikrocontroller und Mikroprozessoren mit sicherheitsbezogenen Funktionen
Default

Selbstbewertung.

Beispiele
  • Einfache Sensoren ohne Netzwerkfähigkeit
  • Einfache industrielle Peripheriegeräte
  • Nicht vernetzte Ausrüstung
Mit der Primärquelle abgleichen

Die Klassifizierung hängt von den konkreten Produktfähigkeiten ab. Konsultieren Sie die CRA-Anhänge III und IV für die definitive Einstufung.

IEC 62443 und CRA-Abstimmung

Was ist IEC 62443?

IEC 62443 ist die internationale Normenreihe für die Sicherheit von Industrial Automation and Control Systems (IACS). Sie umfasst:

  • IEC 62443-4-1: sicherer Entwicklungslebenszyklus.
  • IEC 62443-4-2: Komponenten-Sicherheitsanforderungen (4 Security Level, SL 1 bis SL 4).
  • IEC 62443-3-3: System-Sicherheitsanforderungen.
  • IEC 62443-2-4: Dienstleisteranforderungen.

IEC 62443 ↔ CRA-Abdeckung auf einen Blick

Gut durch IEC 62443 abgedeckt
  • Schwachstellenbehandlungsprozess
  • Zugangskontrolle
  • Kryptografie
  • Audit-Protokollierung
  • Update-Fähigkeit
Teilweise abgedeckt
  • Secure by Default
  • Datenschutz
  • Nachweis ohne bekannte Schwachstellen
CRA-Zusätze
  • SBOM
  • CE-Kennzeichnung / EU-Konformitätserklärung
  • Artikel-14-Meldung
  • Supportzeitraum-Erklärung

Wo IEC 62443-Nachweise direkt auf CRA-Anforderungen passen, wo sie nur einen Teil der Pflicht abdecken und wo der CRA neue Pflichten ergänzt.

IEC 62443 ↔ CRA-Zuordnung

CRA-AnforderungIEC 62443-AbdeckungStatus
Standardmäßig sicherSL-Anforderungen (4-2)Teilweise, CRA-Default strenger
Schwachstellenbehandlung4-1 (SDL), 2-4 (Wartung)Gute Abstimmung
Sicherheitsupdates4-1, 2-4Prozessabstimmung
Keine bekannten Schwachstellen4-1 (Schwachstellenmanagement)Prozess abgestimmt
Datenschutz4-2 (Vertraulichkeit)Teilweise
Zugangskontrolle4-2 (Authentifizierung, Autorisierung)Starke Abstimmung
Kryptografie4-2 (Verschlüsselungsanforderungen)Gute Abstimmung
Audit-Protokollierung4-2 (Audit-Logs)Gute Abstimmung
Update-Fähigkeit4-2 (Firmware-Update)Abstimmung
SBOMNicht in IEC 62443Lücke
CE-KennzeichnungNicht in IEC 62443Lücke
Fünfjähriger SupportNicht spezifiziertLücke

IEC 62443 als Grundlage, nicht als Gleichwertigkeit

Wichtig

Eine IEC 62443-Zertifizierung bedeutet NICHT automatisch CRA-Compliance. Nutzen Sie sie als Grundlage und Nachweis, nicht als Gleichwertigkeit.

Was IEC 62443 bietet:

  • Starke technische Sicherheitsgrundlage.
  • Ausgereifter sicherer Entwicklungslebenszyklus.
  • Gut dokumentierte Sicherheitsfähigkeiten.
  • Nachweise für die Konformitätsbewertung.

Was der CRA über IEC 62443 hinaus ergänzt:

  • SBOM-Anforderungen (neu).
  • Spezifische Schwachstellenmeldung an das als Koordinator benannte CSIRT und ENISA (Frühwarnung binnen 24 Stunden, Schwachstellenmeldung binnen 72 Stunden und Abschlussbericht binnen 14 Tagen gemäß CRA Artikel 14 Absatz 2).
  • CE-Kennzeichnung und EU-Konformitätserklärung.
  • Zusage eines Mindestsupportzeitraums von fünf Jahren gemäß CRA Artikel 13 Absatz 8.
  • Spezifische Anforderungen an das Dokumentationsformat.
  • Koordinierung der Marktüberwachung.

IEC 62443 für den CRA nutzen

  1. Wenn Sie eine IEC 62443-4-1-Zertifizierung haben. Verwenden Sie die SDL-Dokumentation für die technische Dokumentation nach CRA wieder, weisen Sie Ihren sicheren Entwicklungslebenszyklus nach und nutzen Sie sie als Nachweis für den Ansatz der Risikobewertung.
  2. Wenn Sie eine IEC 62443-4-2-Zertifizierung haben. Verwenden Sie die Dokumentation der Sicherheitsfähigkeiten wieder, bilden Sie jedes erreichte Security Level auf die grundlegenden Anforderungen des CRA ab und legen Sie sie als Nachweis für die Umsetzung der Sicherheitsfunktionen vor.
  3. Ergänzen Sie die CRA-spezifischen Punkte. Erzeugen Sie eine SBOM, richten Sie die Meldefähigkeit an ENISA ein, dokumentieren Sie die Zusage zum fünfjährigen Supportzeitraum, bereiten Sie die EU-Konformitätserklärung vor und bringen Sie die CE-Kennzeichnung an.

OT-spezifische Compliance-Herausforderungen

Update- und Patching-Herausforderungen

Industrieumgebungen unterliegen besonderen Einschränkungen bei Updates.

Herausforderungen:

  • 24/7-Betrieb ohne Wartungsfenster.
  • Revalidierung sicherheitsbezogener Systeme nach Updates.
  • Integration von Legacy-Systemen.
  • Air-Gapped- oder teilvernetzte Umgebungen.
  • Lange Qualifizierungszyklen.

CRA-Anforderungen gelten weiterhin:

  • Sicherheitsupdates müssen mindestens fünf Jahre bereitgestellt werden (CRA Artikel 13 Absatz 8).
  • Es muss ein Mechanismus zur Bereitstellung von Updates vorhanden sein.
  • Schwachstellen müssen in angemessener Zeit behoben werden.
  1. Gestufter Rollout. Zuerst Testumgebungen, dann Pilot-Produktionslinien, danach der volle Rollout mit Überwachung.
  2. Update-Planung. Koordinieren Sie mit geplanter Wartung, informieren Sie Wochen oder Monate im Voraus und unterstützen Sie kundenseitig geplante Update-Zyklen.
  3. Offline-Bereitstellung. USB-basierte Update-Pakete, Update-Server innerhalb des OT-Netzwerks oder sichere Dateiübertragungsmechanismen für Air-Gapped-Standorte.
  4. Safety-Revalidierung. Dokumentieren Sie die Update-Auswirkung auf Sicherheitsfunktionen, stellen Sie eine Revalidierungsanleitung bereit und erwägen Sie Safety-Security-Co-Engineering.

Lange Produktlebenszyklen

Industrieprodukte haben oft Lebenszyklen von 15 bis 20+ Jahren, der CRA verlangt jedoch nur mindestens fünf Jahre.

Jahr 1 bis 5

Aktiver Verkauf und CRA-Supportzeitraum (Minimum). Sicherheitsupdates und Schwachstellenbehandlung gelten verbindlich.

Jahr 5 bis 10

Erweiterter Support. Der Hersteller kann Sicherheitsupdates über den CRA-Mindestzeitraum hinaus bereitstellen, insbesondere wenn das Produkt weiterhin im Einsatz ist.

Jahr 10 bis 15

Legacy-Support. Begrenzte Updates, ein größerer Teil des Betriebsrisikos geht auf den Kunden über.

Ab Jahr 15

End of Life. Kundenverantwortung, End-of-Support-Daten sind beim Verkauf klar zu kommunizieren.

CRA-Regel zum Supportzeitraum

Mindestens fünf Jahre ab dem Inverkehrbringen des Produkts, oder länger, sofern die zu erwartende Produktlebensdauer fünf Jahre übersteigt (Artikel 13(8)). Planen Sie den Supportzeitraum nach der angemessenen Produktlebensdauer, nicht nur nach dem CRA-Mindestwert.

Dokumentationsbedarf:

  • Kommunizieren Sie den Supportzeitraum beim Kauf klar.
  • Geben Sie ein End-of-Support-Datum an.
  • Dokumentieren Sie die Kundenverantwortlichkeiten nach Supportende.

Integration von Safety und Security

Industrieprodukte haben häufig Safety-Anforderungen (SIL-Stufen nach IEC 61508 / ISO 13849). Der CRA ergänzt Security-Anforderungen.

1
Risikobewertung

Kombinierte Safety- und Security-Bedrohungsmodellierung. Behandeln Sie Security-Bedrohungen für Safety-Funktionen als eigenständigen Fehlermodus.

2
Anforderungen

Safety-Anforderungen (SIL 1 bis SIL 4) und Security-Anforderungen (SL 1 bis SL 4) stehen nebeneinander. Keine Security-Maßnahme darf Safety gefährden.

3
Validierung

Safety-Validierung, Security-Tests und kombinierte Szenariotests laufen vor dem Release. Jede Disziplin gibt unabhängig frei.

4
Änderungsmanagement

Safety-Revalidierung bei Security-Patches. Security-Bewertung bei Safety-Änderungen. Beide Schleifen sind verpflichtend, nicht optional.

Kernprinzip

Keine Security-Maßnahme darf Safety gefährden. Wenn beide Disziplinen in Konflikt geraten, hat Safety Vorrang und das Security-Design wird angepasst.

SBOM für Industriesysteme

Herausforderungen bei der Komponentenidentifikation

Industrieprodukte enthalten oft:

  • Echtzeit-Betriebssysteme (RTOS).
  • Proprietäre Firmware.
  • Drittanbieter-Bibliotheken (OPC UA, MQTT, Modbus-Stacks).
  • Hardware-Komponenten mit Firmware.
  1. Software-Komponenten. RTOS und Kernel, Protokoll-Stacks (OPC UA, Modbus, EtherNet/IP, PROFINET), Sicherheitsbibliotheken (TLS, Krypto), Drittanbieter-Middleware und Anwendungssoftware.
  2. Firmware. Bootloader, Geräte-Firmware und feldprogrammierbare Komponenten.
  3. Tiefe. Primärkomponenten sind herstellerkontrolliert, fordern Sie SBOMs von Lieferanten für Drittanbieter-Komponenten an und gehen Sie so tief wie praktisch möglich in verschachtelte Komponenten.
Format
CycloneDX oder SPDX. Beide sind akzeptabel.
Identifikatoren
PURL-Identifikatoren einschließen, sofern verfügbar.
Kundenspezifische Komponenten
Kundenspezifische und proprietäre Komponenten ausdrücklich dokumentieren.

Komplexität der Lieferkette

Industrieprodukte haben häufig komplexe Lieferketten.

Tier 1
Ihr Produkt

Ihre Software und Firmware. Vollständige SBOM erforderlich.

Tier 2
Direkte Lieferanten

Drittanbieter-Komponenten. Fordern Sie von jedem Lieferanten eine SBOM an und binden Sie sie in Ihre eigene SBOM ein.

Tier 3
Unterlieferanten

Komponenten innerhalb von Komponenten. Einschluss nach bestem Bemühen. Bekannte Einschränkungen dokumentieren.

Maßnahmen:

  • Aktualisieren Sie Lieferantenvereinbarungen um SBOM-Anforderungen.
  • Etablieren Sie ein SBOM-Austauschformat mit Lieferanten.
  • Richten Sie einen Prozess zur SBOM-Integration ein.
  • Dokumentieren Sie Einschränkungen der Lieferkette.

Konformitätsbewertung für Industrieprodukte

Modul B+C (EU-Baumusterprüfung)

Für Important Klasse II-Industrieprodukte:

  1. Modul B, Baumusterprüfung. Die notifizierte Stelle prüft Vollständigkeit der technischen Dokumentation, Angemessenheit der Risikobewertung, Abdeckung der Sicherheitsanforderungen, eine als Nachweis vorgelegte IEC 62443-Zertifizierung, SBOM-Qualität und Testergebnisse. Ergebnis: EU-Baumusterprüfbescheinigung.
  2. Modul C, Konformität mit dem Baumuster. Der Hersteller stellt sicher, dass die Produktion dem geprüften Baumuster entspricht, führt die interne Qualitätssicherung in der Produktion durch und hält die Dokumentation aktuell. Ergebnis: Eigenerklärung der Konformität mit dem Baumuster.

IEC 62443-Zertifizierung nutzen

Wenn Sie eine IEC 62443-4-2-Zertifizierung haben:

  1. Der notifizierten Stelle vorlegen. Reichen Sie das IEC 62443-4-2-Zertifikat, das erreichte Security Level (SL 1 bis SL 4), gegebenenfalls das ISASecure-Zertifikat und den Bewertungsbericht ein.
  2. Bewertung durch die notifizierte Stelle. Die notifizierte Stelle erkennt IEC 62443 als Nachweis an, verifiziert die Abdeckung der CRA-Anforderungen, identifiziert etwaige Lücken und kann den Testumfang reduzieren.
  3. Zusätzliche Nachweise weiterhin erforderlich. SBOM (nicht durch IEC 62443 abgedeckt), ENISA-Meldefähigkeit, dokumentierte Zusage zum fünfjährigen Supportzeitraum und Benutzerdokumentation.

Branchenspezifische Anleitung

SPS und Steuerungen

Üblicherweise Important Klasse I oder II.

Wesentliche Anforderungen. Secure-Boot-Fähigkeit, verschlüsselte Kommunikation (optional, Richtung Default), starke Authentifizierung, Audit-Protokollierung, Firmware-Update-Mechanismus, SBOM für Firmware und Runtime.

IEC 62443-Abstimmung. IEC 62443-4-2 SL2+ als Baseline, Sicherheitsfähigkeiten dokumentieren, Sicherheitsfunktionen testen.

Fallstricke. Echtzeitbeschränkungen gegenüber Security-Verarbeitung, Schutz von Safety-Funktionen, Unterstützung von Legacy-Protokollen (Modbus und weitere).

SCADA- / DCS-Software

Üblicherweise Important Klasse I.

Wesentliche Anforderungen. Sichere Architektur, rollenbasierte Zugangskontrolle, verschlüsselte Kommunikation, Audit-Trail, Update-Mechanismus, SBOM für alle Komponenten.

Fallstricke. Datenbanksicherheit, OPC-UA-Sicherheitskonfiguration, Historian-Datenschutz, Fernzugriffssicherheit.

Industrial-IoT-Gateways

Üblicherweise Important Klasse I.

Wesentliche Anforderungen. Secure Boot, Unterstützung der Netzwerksegmentierung, verschlüsselte Protokolle (MQTT-TLS und ähnliche), Geräteauthentifizierung, Firmware-Update-Mechanismus, SBOM.

Fallstricke. Edge-Computing-Sicherheit, Cloud-Konnektivitätssicherheit, Sicherheit bei Protokollübersetzung, Datenfilterung und Validierung.

Praktische Compliance-Roadmap

Phase 1: Bewertung

Produktinventar.

  • Alle Produkte mit digitalen Elementen auflisten.
  • Nach CRA-Kategorien klassifizieren.
  • Important Klasse II-Produkte identifizieren.

Bestehende Zertifizierungen.

  • IEC 62443-Zertifizierungen auflisten.
  • Auf CRA-Anforderungen abbilden.
  • Lücken identifizieren.

Lückenanalyse.

  • SBOM-Fähigkeit.
  • Bereitschaft zur Schwachstellenmeldung.
  • Planung des fünfjährigen Supports.
  • Dokumentationslücken.

Phase 2: Vorbereitung

Technisch.

Dokumentation.

  • Struktur der technischen Dokumentation.
  • Aktualisierung der Sicherheitsdokumentation.
  • Benutzeranleitung für sichere Bereitstellung.
  • Kommunikation des Supportzeitraums.

Kommerziell.

  • Definitionen des Supportzeitraums.
  • Vertragsanpassungen für Kunden.
  • Preisüberprüfung bei signifikanten Compliance-Kosten.

Phase 3: Compliance

Ab 11. September 2026.

  • Schwachstellenmeldung betriebsbereit.
  • Einheitliche Meldeplattform im Einsatz.

Im Verlauf 2027.

  • Konformitätsbewertungen abschließen.
  • Notifizierte Stellen einbinden (Important Klasse II).
  • EU-Baumusterprüfbescheinigungen erhalten.
  • Alle Produktdokumentationen aktualisieren.

Bis 11. Dezember 2027.

  • Alle erfassten Produkte CRA-konform.
  • CE-Kennzeichnung angebracht.
  • Kundenkommunikation abgeschlossen.

Branchenressourcen

Normungsorganisationen

  • IEC (Internationale Elektrotechnische Kommission). IEC 62443-Normenreihe. iec.ch
  • ISA (International Society of Automation). Entwicklung ISA/IEC 62443, ISASecure-Zertifizierungsprogramm. isa.org
  • NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie). NE-Empfehlungen für OT-Sicherheit. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (OT-Sicherheitsleitfaden). nist.gov

Branchenverbände

Verband Schwerpunkt Website
ZVEI (Deutschland) Elektroindustrie zvei.org
ORGALIM Europäischer Maschinenbau orgalim.eu
VDMA (Deutschland) Maschinenbau vdma.org
GAMBICA (UK) Industrieautomation gambica.org.uk
ODVA Industrienetzwerke odva.org

Wenn Sie Maschinen mit digitalen Elementen herstellen, lesen Sie unseren Leitfaden für Maschinenhersteller mit konkreten Hinweisen zur Doppel-Compliance nach CRA und EU-Maschinenverordnung.

Checkliste für Industrieautomation

Produktklassifizierung

  • Klassifizierung bestimmt (Default / Important I / Important II).
  • Konformitätsbewertungsweg gewählt.
  • Notifizierte Stelle identifiziert, falls erforderlich.

Bestehende Zertifizierungen

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (Komponentensicherheit).
  • ISASecure-Zertifizierung.
  • Auf CRA-Anforderungen abgebildet.

Technische Compliance

  • Security-by-Default-Konfiguration.
  • Sicherer Update-Mechanismus.
  • SBOM-Generierungsfähigkeit.
  • Prozess zur Schwachstellenbehandlung.
  • ENISA-Meldefähigkeit.

Dokumentation

  • Technische Dokumentation vorbereitet.
  • Risikobewertung dokumentiert.
  • Sicherheitsarchitektur dokumentiert.
  • Benutzer-Sicherheitsanleitung vorbereitet.

Lebenszyklus

  • Fünfjähriger Supportzeitraum definiert.
  • Mechanismus zur Update-Bereitstellung.
  • End-of-Life-Planung.
  • Safety-Revalidierungsprozess für Updates.

Lieferkette

  • SBOM-Anforderungen an Lieferanten.
  • Bewertung der Komponentensicherheit.
  • Lieferketten-Dokumentation.
NIS 2-wesentliche Einrichtungen

Die Produktklasse hängt von der Kernfunktionalität des Produkts nach Anhang III/IV ab (Artikel 7(1)). Der Sektor des Käufers allein ändert die Klasse nicht. Überprüfen Sie die Klassifizierung anhand der spezifischen Produktfunktionen.

Vorsprung durch IEC 62443

Eine IEC 62443-Abstimmung verschafft Ihnen einen Vorsprung bei der CRA-Compliance. Viele Anforderungen überschneiden sich, was Ihre zusätzliche Compliance-Last verringert.

Häufig gestellte Fragen

Ist eine IEC 62443-Zertifizierung gleichwertig mit CRA-Compliance?

Nein. Eine IEC 62443-Zertifizierung bedeutet nicht automatisch CRA-Compliance. Sie liefert eine starke technische Sicherheitsgrundlage und Nachweise, die eine notifizierte Stelle weiterverwenden kann, der CRA ergänzt jedoch Pflichten, die IEC 62443 nicht abdeckt: SBOM-Anforderungen, ENISA-Vorfallsmeldung nach Artikel 14, CE-Kennzeichnung und Konformitätserklärung sowie die Zusage eines Mindestsupportzeitraums von fünf Jahren nach Artikel 13 Absatz 8.

Welche Industrieautomationsprodukte fallen in Important Klasse II?

Industrielle Firewalls, industrielle IDS-/IPS-Systeme und manipulationssichere Mikroprozessoren und Mikrocontroller fallen typischerweise in Wichtige Klasse II. Hinweis: HSMs und Smart-Meter-Gateways haben die Kernfunktionalität einer Anhang-IV-Kategorie (Kritisch) und folgen Artikel 32(4). Important Klasse II-Produkte benötigen eine notifizierte Stelle (Modul B+C oder Modul H) oder ein verfügbares und anwendbares Zertifizierungsschema. Siehe den Leitfaden zur Produktklassifizierung für den vollständigen Entscheidungsweg.

Gilt der CRA-Mindestsupportzeitraum von fünf Jahren auch für Produkte mit industriellen Lebenszyklen von 15 bis 20 Jahren?

Ja. Fünf Jahre ist der Mindestwert nach CRA Artikel 13 Absatz 8. Ist realistischerweise von einer längeren Nutzungsdauer auszugehen, muss der Hersteller einen längeren Supportzeitraum festlegen, der diese Lebensdauer widerspiegelt. Industrieprodukte mit Lebenszyklen von 15 bis 20 Jahren müssen den Support in der Regel deutlich über den Mindestwert hinaus planen und das End-of-Support-Datum beim Verkauf klar kommunizieren.

Wie handhaben wir CRA-Sicherheitsupdates in OT-Umgebungen ohne Wartungsfenster?

Mit einer Kombination aus gestuftem Rollout (Test, Pilot, vollständige Produktion), geplanten Update-Fenstern in Abstimmung mit der geplanten Wartung, Offline-Bereitstellung wie USB-Paketen oder Update-Servern innerhalb des OT-Netzwerks sowie einer dokumentierten Safety-Revalidierung für jedes Update. Der CRA verlangt keine durchgehende Online-Konnektivität, aber es muss ein Mechanismus zur Bereitstellung von Updates vorhanden sein und Schwachstellen müssen in angemessener Zeit behoben werden.

Welche CRA-Anforderungen sind nicht durch IEC 62443 abgedeckt?

SBOM-Erstellung und -Pflege, Meldung von Schwachstellen und schwerwiegenden Vorfällen an das als Koordinator benannte CSIRT und ENISA in der 24 Stunden / 72 Stunden / 14 Tage-Kadenz nach CRA Artikel 14 Absatz 2, CE-Kennzeichnung mit EU-Konformitätserklärung, die Zusage des fünfjährigen Mindestsupportzeitraums und die Koordinierung der Marktüberwachung. IEC 62443-Nachweise helfen bei den technischen Anforderungen, entbinden aber nicht von diesen Pflichten.

Kann eine IEC 62443-4-2-Zertifizierung den Testumfang der notifizierten Stelle reduzieren?

Ja. Eine notifizierte Stelle, die IEC 62443-4-2 als Nachweis anerkennt, verifiziert die Abdeckung der CRA-Anforderungen, identifiziert etwaige Lücken und kann den Testumfang entsprechend reduzieren. Legen Sie das Zertifikat, das erreichte Security Level (SL 1 bis SL 4), ein etwaiges ISASecure-Zertifikat und den Bewertungsbericht vor. Zusätzlich müssen Sie SBOM-Nachweise, ENISA-Meldefähigkeit, eine dokumentierte Zusage zum fünfjährigen Supportzeitraum und Benutzerdokumentation bereitstellen. Siehe den Entscheidungsleitfaden zur Konformitätsbewertung für den vollständigen Modulvergleich.

Nächste Schritte

  1. Klassifizieren Sie jedes Produkt (Default / Important I / Important II) mit dem Leitfaden zur CRA-Produktklassifizierung.
  2. Ordnen Sie Ihre IEC 62443-Nachweise in die Struktur der technischen Dokumentation ein, die im Leitfaden zur technischen Dokumentation nach Anhang VII beschrieben ist.
  3. Ergänzen Sie Ihre Build-Pipeline um die SBOM-Erstellung. IEC 62443 deckt dies nicht ab. Siehe den Leitfaden zur SBOM-Erstellung.
  4. Richten Sie die ENISA-Meldung nach 24 Stunden / 72 Stunden / 14 Tagen vor dem 11. September 2026 ein, mit dem Meldeleitfaden.
  5. Legen Sie den Supportzeitraum fest und kommunizieren Sie ihn beim Verkauf, mit dem Leitfaden zur Planung des Supportzeitraums.
  6. Wählen Sie bei einem Important Klasse II-Produkt das Modul der Konformitätsbewertung mit dem Entscheidungsleitfaden Modul A / B+C / H.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.

CRA Sicherheitsstandards Industrie
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
View full CRA compliance guide