Harmonisierte Normen sind die technischen Spezifikationen, die die breiten Anforderungen aus Anhang I des Cyber Resilience Act in konkrete, prüfbare Vorgaben übersetzen. Diese Seite erklärt, was sie sind, und verfolgt jeden Entwurf unter dem Normungsantrag M/606 der Europäischen Kommission: die Produktkategorie, das erarbeitende Gremium, den aktuellen Status und einen Link zu jedem öffentlichen Entwurf.
Kurzüberblick
- Bisher ist keine harmonisierte CRA-Norm im Amtsblatt veröffentlicht (Stand 4. Juni 2026), deshalb steht die Konformitätsvermutung nach Artikel 27 für keine Produktkategorie zur Verfügung.
- Die ETSI-Produktentwürfe und die ersten CEN-Normen sind am weitesten. Die Entwürfe der Reihe EN 304 6xx sind jetzt öffentlich lesbar, und mehrere CEN-Normen (das horizontale Vokabular EN 40000, die Teile zu Grundsätzen und zur Schwachstellenbehandlung sowie die Secure-Element-Normen EN 50764/50765/50766 und prEN 18330) haben ihre öffentliche Umfrage abgeschlossen und stehen vor der Annahme.
- Der Rest steht früher: die OT-Profile der Reihe EN 50770, der Teil der EN 40000 zu generischen Sicherheitsanforderungen, EN 50767 sowie die noch nicht nummerierte Arbeit von CEN/TC 224 zu Identität und kritischer Hardware befinden sich noch vor der Umfrage.
- Sie müssen nicht warten. Lesen Sie den passenden Entwurf, um die Anforderungen vorwegzunehmen, und erstellen Sie die Nachweise nach Anhang I, die der CRA verlangt, unabhängig davon, welche Norm gilt.
Was eine harmonisierte Norm ist
Der Cyber Resilience Act legt seine grundlegenden Cybersicherheitsanforderungen in allgemeinen rechtlichen Begriffen fest. Eine harmonisierte Norm ist eine technische Spezifikation, die eine europäische Normungsorganisation auf Anfrage der Europäischen Kommission erarbeitet und die diese Anforderungen in konkrete, prüfbare Vorgaben übersetzt. Manche Normen gelten für einen bestimmten Produkttyp (etwa Router oder Antivirensoftware), andere sind horizontal und gelten über Kategorien hinweg.
Eine harmonisierte Norm entfaltet ihre Rechtswirkung erst, wenn die Kommission ihre Fundstelle im Amtsblatt der Europäischen Union veröffentlicht. Ab diesem Zeitpunkt gilt für ein Produkt, das der Norm entspricht, die Vermutung, dass es die von der Norm abgedeckten Anforderungen erfüllt. In der Praxis bewirkt das zweierlei:
- Hersteller erhalten einen anerkannten, prüfbaren Weg, ihre Konformität nachzuweisen, und
- für wichtige Produkte der Klasse I ermöglicht eine veröffentlichte harmonisierte Norm dem Hersteller die Selbstbewertung durch interne Kontrolle, statt eine notifizierte Stelle einzuschalten. Sie ersetzt nicht die Drittbewertung, die Produkte der Klasse II und kritische Produkte benötigen, und gewöhnliche Produkte außerhalb dieser Stufen können ohnehin selbst bewerten.
Stand 4. Juni 2026: Bisher wurde keine harmonisierte CRA-Norm angenommen, und für keine ist eine Fundstelle im Amtsblatt veröffentlicht. Jede Norm in den Tabellen weiter unten ist noch ein Entwurf, deshalb steht die Konformitätsvermutung für keine Produktkategorie zur Verfügung. Die Annahme (Ratifizierung als EN) und die separate Fundstelle im Amtsblatt sind zwei spätere Meilensteine, und keinen davon hat eine Norm erreicht. Die ersten Normen werden in der zweiten Jahreshälfte 2026 erwartet, die Fundstelle folgt danach. Nutzen Sie die Entwürfe, um die Anforderungen vorwegzunehmen, nicht als fertige Grundlage für die Konformität.
Wie die Normen erarbeitet werden
Die Kommission hat die beiden europäischen Normungsorganisationen über den Normungsantrag M/606 gebeten, diese Normen zu erarbeiten:
- ETSI (Technisches Komitee CYBER, CYBER-EUSR) erarbeitet die Normen für die meisten Kategorien wichtiger Software und vernetzter Produkte. Diese tragen die Fundstellen EN 304 6xx und sind am weitesten fortgeschritten; ihre Entwürfe sind im öffentlichen ETSI-CYBER-EUSR-Konsultationsordner einsehbar, mit Projekthistorie in den ETSI-Labs-STAN4CRA-Repositories, und sind unten einzeln verlinkt.
- CEN und CENELEC erarbeiten die horizontalen Normen (die Reihe EN 40000), die Profile für die Betriebstechnik (Reihe EN 50770), die Halbleiternormen (EN 5076x) sowie die Arbeit zu Identität und Sicherheitselementen in CEN/TC 224. Für diese gibt es keinen einzelnen öffentlichen Ordner; der Status wird über die Matrix der DIN/DKE-CRA-Normungsprojekte, die Normensuche von CEN/CENELEC und die technische Arbeit von STAN4CRA verfolgt.
Ein Entwurf durchläuft mehrere Arbeitsgruppenversionen und eine öffentliche CEN-Umfrage (bei ETSI eine offene Konsultation und eine Abstimmung über die Annahme), danach die Ratifizierung als EN. CEN-CENELEC kann eine separate förmliche Abstimmung auslassen und nach einer positiven Umfrage direkt veröffentlichen. Die Ratifizierung ist noch nicht das Ziel: Die Kommission muss die Fundstelle anschließend im Amtsblatt zitieren, und erst diese Fundstelle löst die Konformitätsvermutung aus. Stand Juni 2026 haben mehrere CEN-Entwürfe ihre öffentliche Umfrage abgeschlossen (das Vokabular EN 40000, die Teile zu Grundsätzen und zur Schwachstellenbehandlung sowie die Secure-Element-Normen), und die EN 304 627 von ETSI steht im finalen Entwurf; keine ist ratifiziert oder zitiert. Die ersten Normen werden in der zweiten Jahreshälfte 2026 erwartet, die Fundstelle im Amtsblatt folgt nach einem Zeitplan, den die Kommission noch nicht bestätigt hat.
Wie der Status zu lesen ist
| Status | Bedeutung |
|---|---|
| In Entwicklung | Arbeitspunkt aktiv; in unseren Quellen kein öffentlicher Entwurf bestätigt. |
| Reifer Entwurf | Ein öffentlicher reifer Entwurf liegt vor (in der Tabelle verlinkt). |
| Finaler Entwurf | Ein finaler Entwurf liegt vor, kurz vor der förmlichen Abstimmung. |
| Umfrage abgeschlossen | Der Entwurf hat seine öffentliche CEN-Umfrage durchlaufen (eine Kommentar- und Abstimmungsrunde) und wird für die Annahme fertiggestellt. Der Text ist nicht frei verfügbar: Eine Entwurfskopie lässt sich meist bei einer nationalen Normungsorganisation wie DIN kaufen, ein frei zugängliches PDF gibt es aber nicht, weshalb diese Zeilen beim Entwurf „n/a" zeigen. |
| Angenommen (EN ratifiziert) | Von CEN-CENELEC oder ETSI als EN angenommen, aber noch nicht im Amtsblatt zitiert, deshalb noch keine Konformitätsvermutung. |
| Im Amtsblatt veröffentlicht | Fundstelle im Amtsblatt; die Konformitätsvermutung gilt. |
Die Tabellen weiter unten sind nach CRA-Konformitätsstufe gruppiert. Horizontale Normen gelten für jedes Produkt; die produktspezifischen Normen sind in wichtige Produkte Klasse I, wichtige Produkte Klasse II und kritische Produkte aufgeteilt, weil die Stufe über den Konformitätsweg entscheidet. Die Normfundstelle zeigt, wer sie erarbeitet: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = OT-Profile von CLC/TC 65X, die parallel zu den ETSI-Normen für dieselben Funktionen laufen; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Keine Norm hat „Angenommen (EN ratifiziert)" oder „Im Amtsblatt veröffentlicht" erreicht. Der Status spiegelt die aktuellsten öffentlichen Nachweise zum Datum oben auf dieser Seite wider.
Horizontale Normen
Die Reihe EN 40000, erarbeitet von CEN-CLC/JTC 13, gilt für jedes Produkt mit digitalen Elementen, zusätzlich zu jeder produktspezifischen Norm in den Abschnitten darunter.
| M/606 | Norm | Thema | Status |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vokabular und Terminologie | Umfrage abgeschlossen |
| 1 | EN 40000-1-2 | Grundsätze für Cyberresilienz | Umfrage abgeschlossen |
| 2-14 | EN 40000-1-4 | Generische Sicherheitsanforderungen | In Entwicklung |
| 15 | EN 40000-1-3 | Schwachstellenbehandlung | Umfrage abgeschlossen |
Wichtige Produkte: Klasse I
Diese decken die Kategorien der Klasse I aus Anhang III ab. Eine veröffentlichte harmonisierte Norm ermöglicht einem Hersteller der Klasse I die Selbstbewertung durch interne Kontrolle; ohne sie muss die Konformität auf andere Weise nachgewiesen werden.
| M/606 | Norm | Produktkategorie | Status | Aktuellster öffentlicher Entwurf |
|---|---|---|---|---|
| 16 | Fundstelle noch nicht vergeben | Identitätsmanagement, Verwaltung privilegierter Zugriffe, Authentifizierungslesegeräte | In Entwicklung | n/a |
| 17a/b | EN 304 617 | Eingebettete und eigenständige Browser | Reifer Entwurf | V0.1.1 · Apr. 2026 |
| 18 | EN 304 618 | Passwortmanager | In Entwicklung | Noch nicht öffentlich |
| 19 | EN 304 619 | Antivirus / Antimalware | Reifer Entwurf | V0.0.26 · Apr. 2026 |
| 20a | EN 304 620 | Virtuelle private Netze (VPN) | Reifer Entwurf | V0.1.9 · Apr. 2026 |
| 20b | prEN 50770-4 | OT-VPN | In Entwicklung | n/a |
| 21a | EN 304 621 | Netzmanagementsysteme | Reifer Entwurf | V0.1.3 · Apr. 2026 |
| 21b | prEN 50770-2 | OT-Netzmanagementsysteme | In Entwicklung | n/a |
| 22a | EN 304 622 | SIEM | In Entwicklung | Noch nicht öffentlich |
| 22b | prEN 50770-6 | OT-SIEM | In Entwicklung | n/a |
| 23 | EN 304 623 | Boot-Manager | Reifer Entwurf | V0.1.1 · Mai 2026 |
| 24 | EN 304 624 | PKI- / Zertifikatsausstellungssoftware | In Entwicklung | Noch nicht öffentlich |
| 25a | EN 304 625 | Physische und virtuelle Netzschnittstellen | Reifer Entwurf | V0.0.14 · Apr. 2026 |
| 25b | prEN 50770-3 | OT-physische und -virtuelle Netzschnittstellen | In Entwicklung | n/a |
| 26 | EN 304 626 | Betriebssysteme | Reifer Entwurf | V0.2.0 · Apr. 2026 |
| 27a | EN 304 627 | Router, Modems, Switches | Finaler Entwurf | V1.0.0 · Jun. 2026 |
| 27b | prEN 50770-5 | OT-Router, -Modems, -Switches | In Entwicklung | n/a |
| 28-29 | EN 50765 | Mikroprozessoren und Mikrocontroller mit Sicherheitsfunktionen | Umfrage abgeschlossen | n/a |
| 30 | EN 50767 | ASICs und FPGAs mit Sicherheitsfunktionen | In Entwicklung | n/a |
| 31 | EN 304 631 | Virtuelle Assistenten für das Smart Home | Reifer Entwurf | V0.2.1.4 · Apr. 2026 |
| 32 | EN 304 632 | Smart-Home-Produkte mit Sicherheitsfunktionen (z. B. Sicherheitskameras) | Reifer Entwurf | V0.2.1.4 · Apr. 2026 |
| 33 | EN 304 633 | Mit dem Internet verbundenes Spielzeug | Reifer Entwurf | V0.2.3.3 · Apr. 2026 |
| 34 | EN 304 634 | Persönliche Wearables | Reifer Entwurf | V0.2.6 · Apr. 2026 |
Wichtige Produkte: Klasse II
Produkte der Klasse II brauchen immer eine Drittbewertung (durch eine notifizierte Stelle); eine harmonisierte Norm schaltet für sie die Selbstbewertung nicht frei.
| M/606 | Norm | Produktkategorie | Status | Aktuellster öffentlicher Entwurf |
|---|---|---|---|---|
| 35 | EN 304 635 | Hypervisoren und Container-Laufzeitsysteme | Reifer Entwurf | V0.0.15 · Apr. 2026 |
| 36a | EN 304 636 | Firewalls / IDS / IPS | Reifer Entwurf | V0.1.0 · Apr. 2026 |
| 36b | prEN 50770-1 | OT-Firewalls / -IDS / -IPS | In Entwicklung | n/a |
| 37-38 | EN 50766 | Manipulationssichere Mikroprozessoren und Mikrocontroller | Umfrage abgeschlossen | n/a |
Kritische Produkte
Kritische Produkte (Anhang IV) müssen ein europäisches Schema für die Cybersicherheitszertifizierung nutzen, wo eines vorgeschrieben ist, oder sonst dieselben Drittbewertungswege wie Klasse II. Eine harmonisierte Norm hebt diese Pflicht nicht auf.
| M/606 | Norm | Produktkategorie | Status |
|---|---|---|---|
| 39 | Fundstelle noch nicht vergeben | Hardwaregeräte mit Sicherheitsboxen | In Entwicklung |
| 40 | Fundstelle noch nicht vergeben | Smart-Meter-Gateways (CEN-CLC/JTC 13 WG 6) | In Entwicklung |
| 41a | EN 50764 | Plattformen für Chipkarten und Sicherheitselemente | Umfrage abgeschlossen |
| 41b | EN 18330 / prEN 18330 | Chipkarten und Sicherheitselemente, Anwendungsschicht | Umfrage abgeschlossen |
Häufig gestellte Fragen
Ist schon eine harmonisierte CRA-Norm in Kraft?
Nein. Stand 4. Juni 2026 wurde keine harmonisierte CRA-Norm angenommen (als EN ratifiziert), und für keine ist eine Fundstelle im Amtsblatt veröffentlicht, deshalb steht die Konformitätsvermutung nach Artikel 27 für keine Produktkategorie zur Verfügung. Jede hier aufgeführte Norm ist noch ein Entwurf. Die horizontalen Entwürfe der EN 40000 (öffentliche Umfrage abgeschlossen) und die EN 304 6xx-Entwürfe von ETSI sind am weitesten, aber die Annahme und die separate Fundstelle im Amtsblatt sind spätere Schritte. Die ersten Normen werden in der zweiten Jahreshälfte 2026 erwartet, die Fundstelle folgt zu einem Termin, den die Kommission noch nicht bestätigt hat.
Muss ich auf eine harmonisierte Norm warten, um den CRA zu erfüllen?
Nein. Eine harmonisierte Norm ist ein Weg, die Konformität nachzuweisen, nicht der einzige. Die CRA-Pflichten gelten nach dem eigenen Zeitplan der Verordnung, ob eine Norm besteht oder nicht. Sie können die grundlegenden Anforderungen aus Anhang I direkt erfüllen und in Ihrer technischen Dokumentation festhalten, wie. Eine veröffentlichte Norm gibt Ihnen lediglich einen anerkannten, prüfbaren Weg, die Konformität mit den von ihr abgedeckten Anforderungen nachzuweisen, und für wichtige Produkte der Klasse I öffnet sie den Weg der Selbstbewertung durch interne Kontrolle.
Was bringt mir die „Konformitätsvermutung" konkret?
Nach Artikel 27 gilt für ein Produkt, das einer harmonisierten Norm entspricht, deren Fundstelle im Amtsblatt veröffentlicht ist, die Vermutung, dass es die von der Norm abgedeckten Anforderungen aus Anhang I erfüllt. In der Praxis gibt Ihnen das eine belastbare, anerkannte Grundlage für Ihre Konformitätsaussage, und für wichtige Produkte der Klasse I ermöglicht es die Selbstbewertung durch interne Kontrolle, statt eine notifizierte Stelle einzuschalten. An der Drittbewertung, die Produkte der Klasse II und kritische Produkte nach Artikel 32 brauchen, ändert es nichts.
Wo kann ich die Entwurfsnormen lesen?
Das hängt davon ab, wer sie erarbeitet. Die ETSI-Entwürfe der EN 304 6xx sind kostenlos im öffentlichen ETSI-CYBER-EUSR-Konsultationsordner veröffentlicht, in den Tabellen oben je Norm verlinkt. Bei den CEN/CENELEC-Entwürfen (EN 40000, EN 50770, EN 5076x und die Arbeit von CEN/TC 224) ist es anders: Es gibt keinen frei zugänglichen öffentlichen Ordner. Sie können sehen, dass ein Entwurf existiert, und eine Kopie bei einer nationalen Normungsorganisation kaufen (DIN, NEN, AFNOR, BSI und so weiter), aber der Text wird nicht kostenlos veröffentlicht, und sobald die öffentliche Umfrage eines Entwurfs schließt, endet auch der kostenlose Kommentarzugang. Deshalb zeigen diese Zeilen beim aktuellsten öffentlichen Entwurf „n/a".
Kann ich mich auf einen reifen oder finalen Entwurf verlassen, bevor er veröffentlicht ist?
Nutzen Sie ihn, um die Anforderungen vorwegzunehmen, nicht als fertige Rechtsgrundlage. Ein reifer oder finaler Entwurf liegt meist nah am endgültigen Wortlaut, kann sich aber bei der förmlichen Abstimmung oder in der Bewertung der Kommission noch ändern, und die Konformitätsvermutung gilt erst, wenn die Fundstelle im Amtsblatt erscheint. Ihn jetzt zu lesen, ist trotzdem der schnellste Weg, sich vorzubereiten.
Was ist der Unterschied zwischen den Normen EN 304 6xx und EN 40000?
Die von ETSI erarbeiteten Normen der EN 304 6xx sind produktspezifisch: Jede zielt auf eine Kategorie wie Browser, Betriebssysteme oder Router. Die von CEN-CLC/JTC 13 erarbeitete Reihe EN 40000 ist horizontal: Sie legt Grundsätze, generische Sicherheitsanforderungen und Regeln zur Schwachstellenbehandlung fest, die über Kategorien hinweg gelten. Ein einzelnes Produkt muss unter Umständen sowohl eine horizontale Norm als auch die für seine Kategorie lesen.
Decken einige dieser Normen kritische Produkte ab, nicht nur wichtige?
Ja. Die meisten der verfolgten Normen decken wichtige Produkte ab, einige aber kritische: die Plattformnorm für Sicherheitselemente (EN 50764) sowie die Arbeit zu Hardwaregeräten mit Sicherheitsboxen, Smart-Meter-Gateways und Chipkarten. Kritische Produkte müssen ein europäisches Schema für die Cybersicherheitszertifizierung nutzen, wo eines vorgeschrieben ist, oder sonst dieselben Drittbewertungswege wie Produkte der Klasse II. Der Abschnitt zu kritischen Produkten weist sie gesondert aus. Eine harmonisierte Norm lässt ein kritisches Produkt diese Bewertung nicht überspringen, so wie sie es bei einem wichtigen Produkt der Klasse I kann.
Wann werden die Normen im Amtsblatt veröffentlicht?
Für keine harmonisierte CRA-Norm gibt es ein bestätigtes Veröffentlichungsdatum. Die ETSI-Entwürfe der EN 304 6xx sind am nächsten dran, mehrere im Stadium reifer oder finaler Entwurf, aber jeder muss noch seine förmliche Abstimmung und die Bewertung der Kommission durchlaufen, bevor eine Fundstelle zitiert werden kann. Behandeln Sie die Statusspalte hier als den aktuellen Stand und prüfen Sie die oben verlinkten Tracker der Normungsorganisationen auf Bewegung.