CRA-Compliance für Industrieautomation: IEC 62443-Abstimmung und OT-Sicherheitsleitfaden

Industrieautomationsprodukte stehen vor spezifischen CRA-Herausforderungen aufgrund ihrer kritischen Rolle in Fertigung, Energie und Infrastruktur. Viele fallen in Important Klasse II und erfordern eine Drittzertifizierung. Glücklicherweise bietet der etablierte Standard IEC 62443 eine starke Grundlage für CRA-Compliance.

Dieser Leitfaden behandelt CRA-Compliance für Hersteller von Industrieautomation.

Welche Industrieprodukte sind erfasst?

CRA-Geltungsbereich für Industrieautomation

Der CRA gilt für "Produkte mit digitalen Elementen", die auf dem EU-Markt bereitgestellt werden. Für Industrieautomation umfasst dies:

Eindeutig im Geltungsbereich:

• SPS (Speicherprogrammierbare Steuerungen)
• Industrie-PCs und HMIs
• SCADA-Software
• Prozessleitsysteme (DCS)
• Industrial-IoT-Sensoren und -Gateways
• Industrierouter und -Switches
• Fernzugriffslösungen
• Engineering-Arbeitsplätze und -Software

Ausnahmen können gelten:

• Produkte ausschließlich für nationale Sicherheit
• Produkte für militärische Verwendung
• Kundenspezifische Einzelanfertigungen (können als "Ersatzteile" qualifizieren)

CRA-Klassifizierung für Industrieprodukte

Die meisten Industrieautomationsprodukte fallen in Important Klasse I oder II:

INDUSTRIEAUTOMATION CRA-KLASSIFIZIERUNG

IMPORTANT KLASSE II (Drittzertifizierung erforderlich):
- Firewalls für industrielle Nutzung
- Industrielle IDS/IPS-Systeme
- Mikrocontroller mit Sicherheitsfunktionen
- HSMs für industrielle Anwendungen
- Smart Meter (Energieinfrastruktur)
- Industrierouter in kritischer Infrastruktur

IMPORTANT KLASSE I (Selbstbewertung mit harmonisierten Standards möglich):
- SPS und Industriesteuerungen
- SCADA/DCS-Software
- Industrial-IoT-Gateways
- Fernzugriffs-/VPN-Lösungen
- Industrielle Netzwerkausrüstung

DEFAULT-KATEGORIE (Selbstbewertung):
- Einfache Sensoren (ohne Netzwerkfähigkeit)
- Einfache industrielle Peripheriegeräte
- Nicht vernetzte Ausrüstung

PRIMÄRQUELLE PRÜFEN: Die Klassifizierung hängt von den spezifischen Produktfähigkeiten ab. Konsultieren Sie die CRA-Anhänge III und IV für definitive Klassifizierung.

IEC 62443 und CRA-Abstimmung

Was ist IEC 62443?

IEC 62443 ist die internationale Normenreihe für Sicherheit von Industrial Automation and Control Systems (IACS). Sie umfasst:

• IEC 62443-4-1: Sicherer Entwicklungslebenszyklus
• IEC 62443-4-2: Komponenten-Sicherheitsanforderungen (4 Security Level)
• IEC 62443-3-3: System-Sicherheitsanforderungen
• IEC 62443-2-4: Dienstleisteranforderungen

IEC 62443 ↔ CRA-Zuordnung

IEC 62443 als Grundlage, nicht als Gleichwertigkeit

Wichtig: IEC 62443-Zertifizierung bedeutet NICHT automatisch CRA-Compliance.

Was IEC 62443 bietet:

• Starke technische Sicherheitsgrundlage
• Ausgereifter sicherer Entwicklungslebenszyklus
• Gut dokumentierte Sicherheitsfähigkeiten
• Nachweise für Konformitätsbewertung

Was CRA über IEC 62443 hinaus hinzufügt:

• SBOM-Anforderungen (neu)
• Spezifische Schwachstellenmeldung an ENISA (24h/72h)
• CE-Kennzeichnung und Konformitätserklärung
• Mindestens 5 Jahre Support-Zusage
• Spezifische Dokumentationsformatanforderungen
• Marktüberwachungskoordinierung

IEC 62443 für CRA nutzen

IEC 62443 → CRA-COMPLIANCE-ANSATZ

WENN Sie IEC 62443-4-1-Zertifizierung haben:
→ SDL-Dokumentation für CRA-Technische Dokumentation wiederverwenden
→ "Sicheren Entwicklungslebenszyklus" nachweisen
→ Nachweis für Risikobewertungsansatz

WENN Sie IEC 62443-4-2-Zertifizierung haben:
→ Sicherheitsfähigkeits-Dokumentation wiederverwenden
→ Security Level auf CRA-Grundlegende Anforderungen mappen
→ Nachweis für Sicherheitsfunktionsimplementierung

ZUSÄTZLICH FÜR CRA:
[ ] SBOM-Generierung zu Ihrem Prozess hinzufügen
[ ] ENISA-Meldefähigkeit implementieren
[ ] 5-Jahre-Support-Zusage dokumentieren
[ ] EU-Konformitätserklärung vorbereiten
[ ] CE-Kennzeichnung anbringen

OT-spezifische Compliance-Herausforderungen

Update- und Patching-Herausforderungen

Industrieumgebungen haben einzigartige Update-Einschränkungen:

Herausforderungen:

• 24/7-Betrieb, keine Wartungsfenster
• Sicherheits-Systemrevalidierung nach Updates
• Legacy-System-Integration
• Air-Gapped oder semi-verbundene Umgebungen
• Lange Qualifizierungszyklen

CRA-Anforderungen gelten weiterhin:

• Sicherheitsupdates für 5+ Jahre bereitstellen
• Mechanismus zur Update-Bereitstellung haben
• Schwachstellen in angemessener Zeit beheben

Praktische Ansätze:

OT-UPDATE-STRATEGIE FÜR CRA

1. GESTUFTER ROLLOUT:
   - Testumgebungen zuerst
   - Pilot-Produktionslinien
   - Voller Rollout mit Überwachung

2. UPDATE-PLANUNG:
   - Mit geplanter Wartung koordinieren
   - Vorankündigung geben (Wochen/Monate)
   - Geplante Update-Zyklen unterstützen

3. OFFLINE-BEREITSTELLUNG:
   - USB-basierte Update-Pakete
   - Update-Server im OT-Netzwerk
   - Sichere Dateiübertragungsmechanismen

4. SICHERHEITS-REVALIDIERUNG:
   - Update-Auswirkung auf Sicherheitsfunktionen dokumentieren
   - Revalidierungsanleitung bereitstellen
   - Safety-Security-Co-Engineering erwägen

Lange Produktlebenszyklen

Industrieprodukte haben oft 15-20+ Jahre Lebenszyklen, aber CRA verlangt nur mindestens 5 Jahre.

Lebenszyklusplanung:

INDUSTRIEPRODUKT-LEBENSZYKLUS + CRA

Jahr 1-5:   Aktiver Verkauf + CRA-Supportzeitraum (Minimum)
Jahr 5-10:  Erweiterter Support (kann Sicherheitsupdates fortsetzen)
Jahr 10-15: Legacy-Support (begrenzte Updates, Kundenrisiko)
Jahr 15+:   End-of-Life (Kundenverantwortung)

CRA-ANFORDERUNGEN:
- Mindestens 5 Jahre ab Verkaufsdatum jeder Einheit
- Oder länger, wenn Produktlebensdauer-Erwartung 5 Jahre übersteigt
- Supportzeitraum basierend auf vernünftiger Produktlebensdauer planen

Dokumentationsanforderungen:

• Supportzeitraum beim Kauf klar kommunizieren
• End-of-Support-Datum angeben
• Kundenverantwortlichkeiten nach Support dokumentieren

Safety-Security-Integration

Industrieprodukte haben oft Safety-Anforderungen (SIL-Level gemäß IEC 61508/ISO 13849). CRA fügt Security-Anforderungen hinzu.

Integrationsansatz:

SAFETY + SECURITY CO-ENGINEERING

Safety-Standards:           Security-Standards:
IEC 61508 (Funktional)      IEC 62443 (Industriell)
ISO 13849 (Maschinen)       CRA (EU-Verordnung)

INTEGRATIONSPUNKTE:
1. Risikobewertung:
   - Kombiniertes Safety/Security-Bedrohungsmodell
   - Security-Bedrohungen für Safety-Funktionen

2. Anforderungen:
   - Safety-Anforderungen (SIL 1-4)
   - Security-Anforderungen (SL 1-4)
   - Keine Security-Maßnahme darf Safety gefährden

3. Validierung:
   - Safety-Validierung
   - Security-Tests
   - Kombinierte Szenariotests

4. Änderungsmanagement:
   - Safety-Revalidierung für Security-Patches
   - Security-Bewertung für Safety-Änderungen

SBOM für Industriesysteme

Herausforderungen bei der Komponentenidentifikation

Industrieprodukte enthalten oft:

• Echtzeit-Betriebssysteme (RTOS)
• Proprietäre Firmware
• Drittanbieter-Bibliotheken (OPC UA, MQTT, Modbus-Stacks)
• Hardware-Komponenten mit Firmware

SBOM-Strategie:

INDUSTRIELLER SBOM-ANSATZ

SOFTWARE-KOMPONENTEN:
- RTOS und Kernel
- Protokoll-Stacks (OPC UA, Modbus, EtherNet/IP, PROFINET)
- Sicherheitsbibliotheken (TLS, Krypto)
- Drittanbieter-Middleware
- Anwendungssoftware

FIRMWARE:
- Bootloader
- Geräte-Firmware
- Feldprogrammierbare Komponenten

TIEFENERWÄGUNGEN:
- Primäre Komponenten: Herstellerkontrolliert
- Drittanbieter: SBOMs von Lieferanten anfordern
- Verschachtelt: So tief wie praktisch möglich gehen

FORMAT:
- CycloneDX oder SPDX (beide akzeptabel)
- PURL-Identifikatoren einschließen, wo verfügbar
- Kundenspezifische/proprietäre Komponenten dokumentieren

Lieferkettenkomplexität

Industrieprodukte haben oft komplexe Lieferketten:

INDUSTRIELLE LIEFERKETTEN-SBOM

TIER 1 (Ihr Produkt):
- Ihre Software/Firmware
- Vollständige SBOM erforderlich

TIER 2 (Direkte Lieferanten):
- Drittanbieter-Komponenten
- SBOM von Lieferanten anfordern
- In Ihre SBOM einschließen

TIER 3 (Unterlieferanten):
- Komponenten innerhalb von Komponenten
- Einschluss nach bestem Bemühen
- Bekannte Einschränkungen dokumentieren

MASSNAHMEN:
[ ] Lieferantenvereinbarungen für SBOM-Anforderungen aktualisieren
[ ] SBOM-Austauschformat mit Lieferanten etablieren
[ ] Prozess für SBOM-Integration erstellen
[ ] Lieferketten-Einschränkungen dokumentieren

Konformitätsbewertung für Industrieprodukte

Modul B+C (EU-Baumusterprüfung)

Für Important Klasse II Industrieprodukte:

MODUL B+C FÜR INDUSTRIEPRODUKTE

SCHRITT 1: MODUL B (Baumusterprüfung)
Benannte Stelle prüft:
- Vollständigkeit der Technischen Dokumentation
- Angemessenheit der Risikobewertung
- Abdeckung der Sicherheitsanforderungen
- IEC 62443-Zertifizierung (falls vorhanden)
- SBOM-Qualität
- Testergebnisse

ERGEBNIS: EU-Baumusterprüfbescheinigung

SCHRITT 2: MODUL C (Konformität mit dem Baumuster)
Hersteller stellt sicher:
- Produktion entspricht geprüftem Baumuster
- Interne QS für Produktion
- Dokumentation gepflegt

ERGEBNIS: Eigenerklärung der Konformität mit dem Baumuster

Nutzung der IEC 62443-Zertifizierung

Wenn Sie IEC 62443-4-2-Zertifizierung haben:

IEC 62443-ZERTIFIZIERUNG → CRA-PROZESS

DER BENANNTEN STELLE VORLEGEN:
- IEC 62443-4-2-Zertifikat
- Erreichtes Security Level (SL 1-4)
- ISASecure-Zertifikat (falls zutreffend)
- Bewertungsbericht

BEWERTUNG DURCH BENANNTE STELLE:
- Erkennt IEC 62443 als Nachweis an
- Verifiziert Abdeckung der CRA-Anforderungen
- Identifiziert eventuelle Lücken
- Kann Testumfang reduzieren

ZUSÄTZLICHE NACHWEISE ERFORDERLICH:
- SBOM (nicht durch IEC 62443 abgedeckt)
- ENISA-Meldefähigkeit
- 5-Jahre-Support-Zusage
- Benutzerdokumentation

Branchenspezifische Anleitung

SPS und Steuerungen

SPS/STEUERUNGEN CRA-COMPLIANCE

KLASSIFIZIERUNG: Üblicherweise Important Klasse I oder II

WESENTLICHE ANFORDERUNGEN:
- Secure-Boot-Fähigkeit
- Verschlüsselte Kommunikation (optional → default)
- Starke Authentifizierung
- Audit-Protokollierung
- Firmware-Update-Mechanismus
- SBOM für Firmware und Runtime

IEC 62443-ABSTIMMUNG:
- IEC 62443-4-2 SL2+ als Baseline verwenden
- Sicherheitsfähigkeiten dokumentieren
- Sicherheitsfunktionen testen

BESONDERE ERWÄGUNGEN:
- Echtzeitbeschränkungen vs. Sicherheitsverarbeitung
- Schutz von Safety-Funktionen
- Legacy-Protokoll-Unterstützung (Modbus usw.)

SCADA/DCS-Software

SCADA/DCS-SOFTWARE CRA-COMPLIANCE

KLASSIFIZIERUNG: Üblicherweise Important Klasse I

WESENTLICHE ANFORDERUNGEN:
- Sichere Architektur
- Rollenbasierte Zugangskontrolle
- Verschlüsselte Kommunikation
- Audit-Trail
- Update-Mechanismus
- SBOM für alle Komponenten

BESONDERE ERWÄGUNGEN:
- Datenbanksicherheit
- OPC-UA-Sicherheitskonfiguration
- Historian-Datenschutz
- Fernzugriffssicherheit

Industrial-IoT-Gateways

INDUSTRIAL-IoT-GATEWAY CRA-COMPLIANCE

KLASSIFIZIERUNG: Üblicherweise Important Klasse I

WESENTLICHE ANFORDERUNGEN:
- Secure Boot
- Netzwerksegmentierungsunterstützung
- Verschlüsselte Protokolle (MQTT-TLS usw.)
- Geräteauthentifizierung
- Firmware-Update-Mechanismus
- SBOM

BESONDERE ERWÄGUNGEN:
- Edge-Computing-Sicherheit
- Cloud-Konnektivitätssicherheit
- Protokollübersetzungssicherheit
- Datenfilterung/-validierung

Praktische Compliance-Roadmap

Phase 1: Bewertung (Jetzt - Mitte 2026)

INDUSTRIEHERSTELLER-BEWERTUNG

PRODUKTINVENTAR:
[ ] Alle Produkte mit digitalen Elementen auflisten
[ ] Nach CRA-Kategorien klassifizieren
[ ] Important Klasse II-Produkte identifizieren

BESTEHENDE ZERTIFIZIERUNGEN:
[ ] IEC 62443-Zertifizierungen auflisten
[ ] Auf CRA-Anforderungen mappen
[ ] Lücken identifizieren

LÜCKENANALYSE:
[ ] SBOM-Fähigkeit
[ ] Bereitschaft zur Schwachstellenmeldung
[ ] 5-Jahre-Support-Planung
[ ] Dokumentationslücken

LIEFERANTENBEWERTUNG:
[ ] Kritische Komponentenlieferanten
[ ] SBOM-Verfügbarkeit von Lieferanten
[ ] CRA-Bereitschaft der Lieferkette

Phase 2: Vorbereitung (Mitte 2026 - Sept 2026)

VORBEREITUNGSPHASE

TECHNISCH:
[ ] SBOM-Generierung implementieren
[ ] Schwachstellenbehandlungsprozess etablieren
[ ] ENISA-Meldefähigkeit vorbereiten
[ ] Produkt-Sicherheitsbaselines aktualisieren

DOKUMENTATION:
[ ] Struktur der Technischen Dokumentation
[ ] Aktualisierung der Sicherheitsdokumentation
[ ] Benutzeranleitung für sichere Bereitstellung
[ ] Kommunikation des Supportzeitraums

KOMMERZIELL:
[ ] Supportzeitraum-Definitionen
[ ] Vertragsanpassungen für Kunden
[ ] Preisüberprüfung (bei signifikanten Compliance-Kosten)

Phase 3: Compliance (Sept 2026 - Dez 2027)

COMPLIANCE-PHASE

SEPTEMBER 2026:
[ ] Schwachstellenmeldung betriebsbereit
[ ] ENISA-SRP-Registrierung

DURCH 2027:
[ ] Konformitätsbewertungen abschließen
[ ] Benannte Stellen einbinden (Important Klasse II)
[ ] EU-Baumusterprüfbescheinigungen erhalten
[ ] Alle Produktdokumentationen aktualisieren

DEZEMBER 2027:
[ ] Alle Produkte CRA-konform
[ ] CE-Kennzeichnung angebracht
[ ] Kundenkommunikation abgeschlossen

Branchenressourcen

Normungsorganisationen

RELEVANTE NORMUNGSORGANISATIONEN

IEC (Internationale Elektrotechnische Kommission):
IEC 62443-Normenreihe
https://www.iec.ch

ISA (International Society of Automation):
ISA/IEC 62443-Entwicklung
ISASecure-Zertifizierungsprogramm
https://www.isa.org

NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie):
NE-Empfehlungen für OT-Sicherheit
https://www.namur.net

NIST:
Cybersecurity Framework
SP 800-82 (OT-Sicherheitsleitfaden)
https://www.nist.gov

Branchenverbände

Checkliste für Industrieautomation

INDUSTRIEAUTOMATION CRA-CHECKLISTE

PRODUKTKLASSIFIZIERUNG:
[ ] Klassifizierung bestimmt (Default/Important I/Important II)
[ ] Konformitätsbewertungsweg gewählt
[ ] Benannte Stelle identifiziert (falls erforderlich)

BESTEHENDE ZERTIFIZIERUNGEN:
[ ] IEC 62443-4-1 (SDL)
[ ] IEC 62443-4-2 (Komponentensicherheit)
[ ] ISASecure-Zertifizierung
[ ] Auf CRA-Anforderungen gemappt

TECHNISCHE COMPLIANCE:
[ ] Security-by-Default-Konfiguration
[ ] Sicherer Update-Mechanismus
[ ] SBOM-Generierungsfähigkeit
[ ] Schwachstellenbehandlungsprozess
[ ] ENISA-Meldefähigkeit

DOKUMENTATION:
[ ] Technische Dokumentation vorbereitet
[ ] Risikobewertung dokumentiert
[ ] Sicherheitsarchitektur dokumentiert
[ ] Benutzer-Sicherheitsanleitung vorbereitet

LEBENSZYKLUS:
[ ] 5-Jahre-Supportzeitraum definiert
[ ] Update-Bereitstellungsmechanismus
[ ] End-of-Life-Planung
[ ] Safety-Revalidierungsprozess für Updates

LIEFERKETTE:
[ ] Lieferanten-SBOM-Anforderungen
[ ] Komponenten-Sicherheitsbewertung
[ ] Lieferketten-Dokumentation

Verwandte Leitfäden:

• CRA-Produktklassifizierung: Ist Ihr Produkt Default, Important oder Critical?
• CRA-Konformitätsbewertung: Modul A vs. B+C vs. H Entscheidungsleitfaden

Wie CRA Evidence hilft

CRA Evidence unterstützt Hersteller von Industrieautomation:

• IEC 62443-Zuordnung: Vorlagen abgestimmt auf IEC 62443-Struktur
• SBOM-Management: Unterstützung für industrielle Komponentenverfolgung
• Langlebigkeitsunterstützung: Dokumentationsaufbewahrung für industrielle Zeitrahmen
• Schwachstellenverfolgung: Industrieprodukt-Schwachstellenmanagement
• Compliance-Nachweis: Nachweissammlung für Einreichung bei Benannten Stellen

Starten Sie Ihre CRA-Compliance bei app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.