CRA för industriell automation: IEC 62443 och OT-säkerhet

Hur CRA tillämpas på industriell automation och OT: IEC 62443, varför PLC och SCADA oftast är standardkategori och vad som höjer klassen.

CRA Evidence Team Publicerad 8 januari 2026 Uppdaterad 13 juni 2026
CRA för industriell automation: IEC 62443 och OT-säkerhet
I denna artikel

De flesta PLC:er, SCADA-system och DCS-produkter är standardprodukter inom tillämpningsområdet. De är inte automatiskt Viktig eller Kritisk klass. Klassificeringen följer produktens kärnfunktion, inte den sektor den används i. En produktions-PLC förblir Standard. En PLC som marknadsförs med inbyggd industriell brandvägg höjer klassen till Klass II. IEC 62443 ger dig en stark teknisk grund för CRA. Luckan att täppa till är SBOM: IEC 62443 har aldrig krävt en sådan.

Den här guiden täcker CRA-efterlevnad för tillverkare inom industriell automation.

Sammanfattning

  • De flesta PLC:er, SCADA och DCS-produkter är standardprodukter (Default). Produkter med VPN, brandvägg, IDS/IPS, routing eller säkerhetschipfunktion som sin marknadsförda kärnfunktion hamnar i Viktig-kategorierna.
  • IEC 62443-certifiering stöder CRA-efterlevnad avsevärt. Det är inte automatisk likvärdighet.
  • OT-miljöer har särskilda utmaningar kring uppdatering och livscykel.
  • Supportperioden måste spegla förväntad produktlivslängd (Artikel 13(8)). Fem år är golvet, inte ett standardantagande vid planering.
  • SBOM-krav gäller för industriella styrsystem. IEC 62443 har inget motsvarande krav.
  • Integration av safety och security är kritisk (IEC 62443 med IEC 61508 / ISO 13849).
5 år
Minsta supportperiod
CRA Artikel 13(8)
24 h
Tidig varning
till CSIRT och ENISA
72 h
Sårbarhetsrapport
CRA Artikel 14(2)(b)
14 d
Slutrapport för sårbarhet
efter åtgärd tillgänglig

Källa: Förordning (EU) 2024/2847, Artikel 13(8) (supportperiod) och Artikel 14(2)(a)(b)(c) (spåret för aktivt utnyttjade sårbarheter). Artikel 14 har två parallella rapporteringsspår: sårbarhetssspåret ovan, och ett spår för allvarliga incidenter med kadensen 24 h / 72 h / 1 månad (slutrapport senast en månad efter 72-timmarsanmälan om incidenten, per Artikel 14(4)(c)).

Vilka industriprodukter omfattas?

CRA:s tillämpningsområde för industriell automation

CRA gäller för "produkter med digitala element" som tillhandahålls på EU-marknaden. För industriell automation omfattar detta:

Tydligt inom tillämpningsområdet:

  • PLC (programmerbara logikstyrenheter)
  • Industri-PC och HMI
  • SCADA-programvara
  • DCS-system
  • Industriella IoT-sensorer och gateways
  • Industriella routrar och switchar
  • Fjärråtkomstlösningar
  • Engineering-arbetsstationer och programvara

Undantag kan gälla:

  • Produkter uteslutande för nationell säkerhet
  • Produkter avsedda för militär användning
  • Kundspecifika industriella engångssystem (kan klassas som "reservdelar")

CRA-klassificering för industriprodukter

Klassificeringen avgörs av marknadsförd kärnfunktion, inte var produkten är installerad (Artikel 7(1)). En PLC i ett kärnkraftverk är Standard om kärnfunktionen är industriell styrning. En router på ett kontor är Viktig klass I om den ansluter till internet. Sektor avgör inte klassen. Funktion avgör.

Klass Vad som utlöser den Väg för bedömning av överensstämmelse Industriella exempel
Kritisk Kärnfunktionen matchar Bilaga IV: Hårdvaruenheter med säkerhetsboxar (punkt 1); smarta mätargatewayer eller andra enheter för avancerade säkerhetsändamål inklusive säker kryptografisk behandling; smartkort och säkra element Europeiskt certifieringssystem; eller Modul B+C / Modul H där inget system finns (Art. 32(4)) En hårdvaruapparat i en manipuleringssäker säkerhetsbox; smart mätargateway enligt direktiv (EU) 2019/944; industriellt säkert element eller smartkort
Viktig klass II Kärnfunktionen är: brandvägg eller IDS/IPS (Bilaga III klass II punkt 2); manipuleringssäker mikroprocessor (punkt 3); manipuleringssäker mikrokontroller (punkt 4) Modul B+C eller Modul H. Anmält organ krävs. Eller ett certifieringssystem på "väsentlig" säkerhetsnivå (Art. 32(3)) Industriella brandväggar, industriella IDS/IPS; manipuleringssäkra mikroprocessorer och mikrokontrollers när enheten i sig är säkerhetsprodukten
Viktig klass I Kärnfunktionen är: VPN (punkt 5); nätverkshantering (punkt 6); SIEM (punkt 7); router, modem avsedd för internetanslutning, eller switch (punkt 12); säkerhetsrelaterad mikroprocessor (punkt 13) eller mikrokontroller (punkt 14) Modul A (självbedömning) endast om harmoniserade standarder eller gemensamma specifikationer tillämpas fullt ut. Annars krävs Modul B+C eller Modul H (Art. 32(2)) Produkter med VPN som kärnfunktion; industriella routrar och switchar som ansluter till internet; produkter byggda kring en säkerhetsrelaterad mikrokontroller
Standard Varje produkt med digitala element som inte matchar en högre kategori ovan. De flesta PLC:er, SCADA och DCS-produkter hamnar här. Modul A: intern kontroll, självbedömning PLC:er, SCADA-programvara, DCS, de flesta IIoT-gateways, industri-PC, HMI, engineering-arbetsstationer
En integrerad Bilaga III-komponent klassificerar inte värden

En PLC som innehåller en mikrokontroller med säkerhetsrelaterade funktioner blir inte själv Viktig klass I på grund av den komponenten. Artikel 7(1) är tydlig: integrering av en produkt med digitala element vars kärnfunktion matchar en kategori i Bilaga III gör inte i sig värden till föremål för de [Viktiga] bedömningsprocedurerna. Kontrollera vad produkten i sig marknadsförs och designats för att göra. Se guiden för produktklassificering för det fullständiga beslutsflödet.

IEC 62443 och CRA-samordning

Vad är IEC 62443?

IEC 62443 är den internationella standardserien för säkerhet i industriella automations- och styrsystem (IACS). Den omfattar:

  • IEC 62443-4-1: säker utvecklingslivscykel.
  • IEC 62443-4-2: säkerhetskrav för komponenter (4 Security Levels, SL 1 till SL 4).
  • IEC 62443-3-3: systemsäkerhetskrav.
  • IEC 62443-2-4: krav på tjänsteleverantörer.

IEC 62443 ↔ CRA-täckning i överblick

Väl täckt av IEC 62443
  • Process för sårbarhetshantering
  • Åtkomstkontroll
  • Kryptografi
  • Auditloggning
  • Uppdateringsförmåga
Delvis täckt
  • Säkert som standard
  • Dataskydd
  • Bevis på inga kända sårbarheter
Tillägg endast i CRA
  • SBOM
  • CE-märkning / EU-försäkran om överensstämmelse
  • Rapportering enligt Artikel 14
  • Uttalande om supportperiod

Där IEC 62443-underlag mappar direkt mot CRA-krav, där det bara täcker en del av skyldigheten och där CRA tillför nya skyldigheter.

IEC 62443 ↔ CRA-mappning

CRA-kravIEC 62443-täckningStatus
Säker som standardSL-krav (4-2)Delvis, CRA-standard strängare
Sårbarhetshantering4-1 (SDL), 2-4 (underhåll)God samordning
Säkerhetsuppdateringar4-1, 2-4Processamordning
Inga kända sårbarheter4-1 (sårbarhetshantering)Process samordnad
Dataskydd4-2 (konfidentialitet)Delvis
Åtkomstkontroll4-2 (autentisering, auktorisering)Stark samordning
Kryptografi4-2 (krypteringskrav)God samordning
Granskningsloggning4-2 (granskningsloggar)God samordning
Uppdateringsförmåga4-2 (firmware-uppdatering)Samordning
SBOMInte i IEC 62443Lucka
CE-märkningInte i IEC 62443Lucka
5 års supportEj specificeratLucka

IEC 62443 som grund, inte som likvärdighet

Viktigt

IEC 62443-certifiering betyder INTE automatiskt CRA-efterlevnad. Använd den som grund och bevis, inte som likvärdighet.

Vad IEC 62443 ger:

  • Stark teknisk säkerhetsgrund.
  • Mogen livscykel för säker utveckling.
  • Väldokumenterade säkerhetsfunktioner.
  • Bevis för bedömning av överensstämmelse.

Vad CRA lägger till utöver IEC 62443:

  • SBOM-krav. IEC 62443 har inget motsvarande krav.
  • Rapportering av aktivt utnyttjad sårbarhet: 24 h tidig varning, 72 h sårbarhetsrapport, slutrapport inom 14 dagar efter att en korrigerande eller begränsande åtgärd finns tillgänglig. Både det CSIRT som utsetts till samordnare och ENISA tar emot rapporterna samtidigt via den gemensamma rapporteringsplattformen (ENISA).
  • Rapportering av allvarlig incident: samma 24 h / 72 h inledande spår, men slutrapporten ska lämnas in inom en månad efter 72-timmarsanmälan om incidenten, inte 14 dagar. En incident är allvarlig när den negativt påverkar tillgänglighet, autenticitet, integritet eller konfidentialitet för viktiga funktioner, eller leder till exekvering av skadlig kod (Artikel 14(5)).
  • Användaravisering: efter att ha blivit medveten om en aktivt utnyttjad sårbarhet eller allvarlig incident ska tillverkare informera berörda användare, och där så är lämpligt alla användare, om sårbarheten eller incidenten och de begränsnings- eller korrigeringsåtgärder de kan vidta.
  • CE-märkning och EU-försäkran om överensstämmelse.
  • Supportperiod som speglar förväntad produktlivslängd, med fem år som absolut golv enligt CRA Artikel 13(8).
  • Särskilda krav på dokumentationsformat (Bilaga VII).
  • Samordning av marknadskontroll.

Utnyttja IEC 62443 för CRA

  1. Om du har IEC 62443-4-1-certifiering. Återanvänd SDL-dokumentationen för CRA:s tekniska dokumentation, visa din säkra utvecklingslivscykel och använd den som bevis för riskbedömningsansatsen.
  2. Om du har IEC 62443-4-2-certifiering. Återanvänd dokumentationen av säkerhetsfunktioner, mappa varje uppnådd Security Level till CRA:s väsentliga säkerhetskrav och lägg fram den som bevis för att säkerhetsfunktionerna är införda.
  3. Lägg till de CRA-specifika punkterna ovanpå. Ta fram en SBOM, implementera ENISA-rapporteringsförmåga för både sårbarhets- och incidentspåren, förbered EU-försäkran om överensstämmelse och anbringa CE-märkning.

OT-specifika efterlevnadsutmaningar

Utmaningar med uppdatering och patchning

Industriella miljöer har unika begränsningar för uppdateringar.

Utmaningar:

  • 24/7-drift utan underhållsfönster.
  • Revalidering av säkerhetssystem efter uppdateringar.
  • Integration med äldre system.
  • Air-gapped eller halvt anslutna miljöer.
  • Långa kvalificeringscykler.

CRA-kraven gäller fortfarande:

  • Säkerhetsuppdateringar måste tillhandahållas under hela supportperioden. Minimiperioden är fem år, och längre när produkten förväntas vara i bruk längre tid (CRA Artikel 13(8)).
  • En mekanism för att leverera uppdateringar måste finnas. Kontinuerlig online-anslutning krävs inte, men förmågan måste finnas.
  • Sårbarheter måste åtgärdas inom rimlig tid.
  1. Stegvis utrullning. Testmiljöer först, sedan pilotproduktionslinjer, därefter fullständig utrullning med övervakning.
  2. Uppdateringsplanering. Samordna med planerat underhåll, informera i förväg med veckor eller månaders varsel och stöd kundstyrda uppdateringscykler.
  3. Offline-leverans. USB-baserade uppdateringspaket, uppdateringsservrar inom OT-nätverket eller säkra filöverföringsmekanismer för air-gapped-platser.
  4. Safety-revalidering. Dokumentera uppdateringens påverkan på safety-funktioner, tillhandahåll revalideringsvägledning och överväg safety-security-samkonstruktion.

Långa produktlivscykler

Industriprodukter har ofta livscykler på 15 till 20+ år, men CRA kräver endast minst 5 år.

År 1 till 5
Aktiv försäljning och CRA-supportperiod

Säkerhetsuppdateringar och sårbarhetshantering gäller fullt ut under den minsta supportperioden.

År 5 till 10
Utökad support

Tillverkaren kan fortsätta tillhandahålla säkerhetsuppdateringar utöver CRA-golvet, särskilt när produkten fortfarande används.

År 10 till 15
Legacy-support

Begränsade uppdateringar. En större del av den operativa risken övergår till kunden.

År 15+
End of life

Kundens ansvar. Kommunicera end-of-support-datum tydligt vid försäljningstillfället.

CRA:s regel om supportperiod

Supportperioden måste spegla hur länge produkten förväntas användas, med hänsyn till rimliga användarförväntningar, produktens art och avsedda ändamål samt relevant unionsrätt. Fem år är det absoluta golvet. För industriprodukter med driftslivscykler på 15 till 20 år är fem år startpunkten, inte planen. Planera supportperioden utifrån kundens perspektiv, inte utifrån CRA-golvet.

Dokumentationsbehov:

  • Kommunicera supportperioden tydligt vid köp.
  • Ange ett end-of-support-datum.
  • Dokumentera kundens ansvar efter supportens slut.

Integration av safety och security

Industriprodukter har ofta safety-krav (SIL-nivåer enligt IEC 61508 / ISO 13849). CRA lägger till security-krav.

1
Riskbedömning

Kombinerad safety- och security-hotmodellering. Behandla security-hot mot safety-funktioner som ett eget felläge.

2
Krav

Safety-krav (SIL 1 till SIL 4) och security-krav (SL 1 till SL 4) finns sida vid sida. Ingen security-åtgärd får äventyra safety.

3
Validering

Safety-validering, security-tester och kombinerade scenariotester körs alla före release. Varje disciplin godkänner oberoende.

4
Ändringshantering

Safety-revalidering vid security-patchar. Security-bedömning vid safety-ändringar. Båda loopar är obligatoriska, inte valfria.

Kärnprincip

Ingen security-åtgärd får äventyra safety. Där disciplinerna står i konflikt har safety företräde och security-designen ändras.

SBOM för industriella system

Utmaningar med komponentidentifiering

Industriprodukter innehåller ofta:

  • Realtidsoperativsystem (RTOS).
  • Proprietär firmware.
  • Tredjepartsbibliotek (OPC UA, MQTT, Modbus-stackar).
  • Hårdvarukomponenter med firmware.
  1. Programvarukomponenter. RTOS och kärna, protokollstackar (OPC UA, Modbus, EtherNet/IP, PROFINET), säkerhetsbibliotek (TLS, krypto), tredjeparts-middleware och applikationsprogramvara.
  2. Firmware. Bootloader, enhetsfirmware och fältprogrammerbara komponenter.
  3. Djup. Primärkomponenter är tillverkarkontrollerade, begär SBOM från leverantörer för tredjepartskomponenter och gå så djupt som praktiskt möjligt i nästlade komponenter.
Format
CycloneDX eller SPDX. Båda är godtagbara.
Identifierare
Inkludera PURL-identifierare när de finns tillgängliga.
Kundspecifika komponenter
Dokumentera kundspecifika och proprietära komponenter uttryckligen.

Komplexitet i leverantörskedjan

Industriprodukter har ofta komplexa leverantörskedjor.

Nivå 1
Din produkt

Din programvara och firmware. Fullständig SBOM krävs.

Nivå 2
Direkta leverantörer

Tredjepartskomponenter. Begär SBOM från varje leverantör och inkludera den i din egen SBOM.

Nivå 3
Underleverantörer

Komponenter inuti komponenter. Inkludering efter bästa förmåga. Dokumentera kända begränsningar.

Åtgärder:

  • Uppdatera leverantörsavtalen med SBOM-krav.
  • Etablera ett SBOM-utbytesformat med leverantörer.
  • Skapa en process för SBOM-integration.
  • Dokumentera begränsningar i leverantörskedjan.

Bedömning av överensstämmelse för industriprodukter

Modul B+C (EU-typkontroll)

För viktig klass II-industriprodukter:

  1. Modul B, typkontroll. Det anmälda organet granskar den tekniska dokumentationens fullständighet, riskbedömningens tillräcklighet, täckningen av säkerhetskraven, eventuell IEC 62443-certifiering som lagts fram som bevis, SBOM-kvalitet och testresultat. Resultat: ett EU-typintyg.
  2. Modul C, överensstämmelse med typ. Tillverkaren säkerställer att produktionen stämmer överens med den granskade typen, upprätthåller intern kvalitetssäkring i produktionen och håller dokumentationen aktuell. Resultat: en egenförsäkran om överensstämmelse med typ.

Att använda IEC 62443-certifiering

Om du har IEC 62443-4-2-certifiering:

  1. Lägg fram för det anmälda organet. Lämna in IEC 62443-4-2-certifikatet, uppnådd Security Level (SL 1 till SL 4), ISASecure-certifikat om tillämpligt och utvärderingsrapporten.
  2. Det anmälda organets bedömning. Organet erkänner IEC 62443 som bevis, verifierar täckningen av CRA-kraven, identifierar eventuella luckor och kan minska testomfattningen.
  3. Ytterligare bevis krävs fortfarande. SBOM (inte täckt av IEC 62443), rapporteringsförmåga mot ENISA för båda rapporteringsspåren, ett dokumenterat åtagande om supportperiod som speglar förväntad produktlivslängd (femårsgolv per Artikel 13(8)) och användardokumentation.

Branschspecifik vägledning

ProdukttypTypisk CRA-klassViktiga kravIEC 62443-samordningAtt se upp med
ProdukttypPLC och styrenheter Typisk CRA-klassStandard (standard inom tillämpningsområdet) i de flesta fall. En PLC med inbyggt VPN, brandvägg eller IDS/IPS som sin marknadsförda kärnfunktion höjer klassen till Viktig. Viktiga kravSecure boot-förmåga, krypterad kommunikation, stark autentisering, granskningsloggning, mekanism för firmware-uppdatering, SBOM för firmware och runtime. IEC 62443-samordningIEC 62443-4-2 SL2+ mappar väl mot de väsentliga kraven. Dokumentera säkerhetsfunktioner och testa dem som bevis. Att se upp medRealtidsbegränsningar kontra security-bearbetning, skydd av safety-funktioner, stöd för äldre protokoll (Modbus och andra). Förväxla inte PLC:ns klass med en eventuell Bilaga III-komponent inuti den.
ProdukttypSCADA- / DCS-programvara Typisk CRA-klassStandard (standard inom tillämpningsområdet) i de flesta fall. SCADA och DCS finns inte listade i Bilaga III. Om produktens kärnfunktion är ett nätverkshanteringssystem eller SIEM-liknande säkerhetsövervakning är en analys av Viktig klass I motiverad. Viktiga kravSäker arkitektur, rollbaserad åtkomstkontroll, krypterad kommunikation, granskningsspår, uppdateringsmekanism, SBOM för alla komponenter. IEC 62443-samordningMappa rollbaserad åtkomstkontroll, granskningsloggning, uppdateringar och kommunikationskontroller mot IEC 62443 system- och komponentkrav. Att se upp medDatabassäkerhet, konfiguration av OPC UA-säkerhet, skydd av historian-data, säkerhet vid fjärråtkomst.
ProdukttypIndustriella IoT-gateways Typisk CRA-klassBeror på fallet. En gateway vars marknadsförda kärnfunktion är VPN, internetansluten routing eller nätverkshantering kan vara Viktig klass I. En gateway som i huvudsak samlar in och vidarebefordrar sensordata är troligen Standard. Viktiga kravSecure boot, stöd för nätverkssegmentering, krypterade protokoll (MQTT-TLS och liknande), enhetsautentisering, mekanism för firmware-uppdatering, SBOM. IEC 62443-samordningAnvänd IEC 62443-4-2 för komponentsäkerhetsfunktioner och dokumentera gateway-segmenteringsantaganden. Att se upp medSäkerhet för edge computing, säkerhet för molnanslutning, säkerhet vid protokollöversättning, datafiltrering och validering.

Praktisk efterlevnadsplan

Fas 1: Bedömning

Produktinventering.

  • Lista alla produkter med digitala element.
  • Klassificera enligt CRA-kategorier.
  • Identifiera viktig klass II-produkter.

Befintliga certifieringar.

  • Lista IEC 62443-certifieringar.
  • Mappa mot CRA-krav.
  • Identifiera luckor.

Gap-analys.

  • SBOM-förmåga.
  • Beredskap för sårbarhetsrapportering.
  • Planering av 5 års support.
  • Dokumentationsluckor.

Fas 2: Förberedelse

Tekniskt.

  • Införa SBOM-generering.
  • Etablera en process för sårbarhetshantering.
  • Förbereda rapporteringsförmåga mot ENISA.
  • Uppdatera produktsäkerhetsbaslinjer.

Dokumentation.

  • Struktur för teknisk dokumentation.
  • Uppdateringar av säkerhetsdokumentation.
  • Användarvägledning för säker driftsättning.
  • Kommunikation av supportperiod.

Kommersiellt.

  • Definitioner av supportperiod.
  • Avtalsuppdateringar för kunder.
  • Prisöversyn där efterlevnadskostnaderna är betydande.

Fas 3: Efterlevnad

Från 11 september 2026.

  • Sårbarhetsrapportering i drift.
  • Den gemensamma rapporteringsplattformen i bruk.

Under 2027.

  • Slutför bedömningar av överensstämmelse.
  • Engagera anmälda organ (viktig klass II).
  • Erhåll EU-typintyg.
  • Uppdatera all produktdokumentation.

Senast 11 december 2027.

  • Alla omfattade produkter CRA-förenliga.
  • CE-märkning anbringad.
  • Kundkommunikation slutförd.

Vad som gäller när

Produkter som redan finns på marknaden

Om din produkt placerades på EU-marknaden före 11 december 2027 behöver du inte retroaktivt genomföra en bedömning av överensstämmelse, teknisk dokumentation eller CE-märkning. Avgörande är när produkten placerades på marknaden, inte när den tillverkades. En enhet av en befintlig produktlinje som du placerar på EU-marknaden från och med 11 december 2027 måste vara fullt CRA-förenlig vid försäljningstillfället.

Rapporteringskravet gäller hela din portfölj från september 2026

Det övergångsmässiga undantaget täcker inte sårbarhetsrapportering. Från och med 11 september 2026 ska du rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter för varje produkt inom tillämpningsområdet som du får kännedom om, inklusive produkter som redan finns på marknaden. Du ska också avisera berörda användare om sårbarheter och de korrigeringsåtgärder de kan vidta. En stor installerad bas är inget undantag.

Att modifiera en befintlig produkt

En modifiering är väsentlig om den påverkar efterlevnaden av de väsentliga cybersäkerhetskraven eller ändrar det avsedda ändamål produkten bedömdes mot. En väsentligt modifierad produkt återinträder i full CRA-efterlevnad från den punkt då den placeras tillbaka på marknaden. Den person som gör modifieringen och placerar produkten tillbaka på marknaden blir tillverkare i CRA:s mening. Detta är relevant för OT-systemintegratörer som modifierar och återsäljer tredjepartsprodukter.

Definitionen finns i förordningen. Hur den tillämpas på specifika OT-modifieringar kräver fortfarande vägledning från kommissionen.

Klass II och kritiska produkter: börja hitta ett anmält organ nu

Medlemsstaterna förväntas ha tillräcklig kapacitet hos anmälda organ på plats i december 2026. Kapaciteten kan fortfarande vara begränsad under den tidiga övergångsperioden. En försening i att säkra ett anmält organ skjuter upp din CE-märkningstidslinje. Lämna inte detta till 2027.

Branschresurser

Standardiseringsorgan

  • IEC (Internationella elektrotekniska kommissionen). IEC 62443-serien. iec.ch
  • ISA (International Society of Automation). ISA/IEC 62443-utveckling, ISASecure-certifieringsprogram. isa.org
  • NAMUR (sammanslutning inom processindustrin). NE-rekommendationer för OT-säkerhet. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (OT-säkerhetsguide). nist.gov

Branschorganisationer

Organisation Fokus Webbplats
ZVEI (Tyskland) Elindustri zvei.org
ORGALIM Europeisk ingenjörsindustri orgalim.eu
VDMA (Tyskland) Maskinindustri vdma.org
GAMBICA (Storbritannien) Industriell automation gambica.org.uk
ODVA Industriella nätverk odva.org

Om du tillverkar maskiner med digitala element, läs vår guide för maskintillverkare för specifik vägledning om dubbel efterlevnad av CRA och EU:s maskinförordning.

Checklista för industriell automation

Produktklassificering

  • Klassificering fastställd (Standard / Viktig I / Viktig II).
  • Väg för bedömning av överensstämmelse vald.
  • Anmält organ identifierat, vid behov.

Befintliga certifieringar

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (komponentsäkerhet).
  • ISASecure-certifiering.
  • Mappade mot CRA-krav.

Teknisk efterlevnad

  • Säker standardkonfiguration.
  • Säker uppdateringsmekanism.
  • Förmåga att generera SBOM.
  • Process för sårbarhetshantering dokumenterad och i drift.
  • Policy för samordnad sårbarhetsupplysning (CVD) publicerad.
  • ENISA:s gemensamma rapporteringsplattform (SRP) registrerad och rapporteringsflöde testat. Täcker både spåret för aktivt utnyttjad sårbarhet (slutrapport inom 14 dagar) och spåret för allvarlig incident (slutrapport inom 1 månad).
  • Process för användaravisering på plats för sårbarheter och allvarliga incidenter (Artikel 14(8)).

Dokumentation

  • Teknisk dokumentation förberedd.
  • Riskbedömning dokumenterad.
  • Säkerhetsarkitektur dokumenterad.
  • Användarsäkerhetsvägledning förberedd.

Livscykel

  • Supportperiod definierad utifrån förväntad produktlivslängd.
  • Mekanism för uppdateringsleverans.
  • End-of-life-planering.
  • Process för safety-revalidering vid uppdateringar.

Leverantörskedja

  • SBOM-krav på leverantörer.
  • Bedömning av komponentsäkerhet.
  • Dokumentation av leverantörskedjan.
NIS 2 väsentliga enheter

Att sälja till NIS 2-väsentliga enheter kan höja förväntningarna på risk och bevis, men det ändrar inte en produkts CRA-klass. Klassen beror fortfarande på produktens kärnfunktion enligt Bilaga III/IV (Artikel 7(1)).

Försprång genom IEC 62443

Om du redan har IEC 62443-certifiering ligger du före de flesta programvarutillverkare som ställs inför CRA. SDL, åtkomstkontroller, granskningsloggning och processen för sårbarhetshantering översätts alla direkt. Det verkliga arbetet är de tre saker IEC 62443 aldrig behövde: en SBOM, en formell rapporteringskanal till ENISA och ett publicerat åtagande om supportperiod. Dessa luckor är verkliga, men hanterbara.

Vanliga frågor

Är IEC 62443-certifiering likvärdig med CRA-efterlevnad?

Nej. IEC 62443-certifiering betyder inte automatiskt CRA-efterlevnad. Den ger en stark teknisk säkerhetsgrund och bevis som ett anmält organ kan återanvända, men CRA lägger till skyldigheter som IEC 62443 inte täcker: SBOM-krav, ENISA-incidentrapportering enligt Artikel 14, CE-märkning och försäkran om överensstämmelse, och åtagande om minsta supportperiod på 5 år enligt Artikel 13(8).

Vilka industriella automationsprodukter faller i viktig klass II?

Industriella brandväggar, industriella IDS-/IPS-system och manipuleringssäkra mikroprocessorer och mikrokontrollers (när enheten i sig är säkerhetsprodukten) faller i Viktig klass II, vilket kräver tredjepartsbedömning av överensstämmelse (vanligtvis Modul B+C eller Modul H). Mikrokontrollers och mikroprocessorer med säkerhetsrelaterade funktioner, samt industriella routrar och switchar som ansluter till internet, är Viktig klass I. För Kritiska produkter täcker Bilaga IV tre kategorier: Hårdvaruenheter med säkerhetsboxar (punkt 1), smarta mätargatewayer och andra enheter för avancerade säkerhetsändamål inklusive säker kryptografisk behandling (punkt 2), samt smartkort och säkra element (punkt 3). Varje kategori kräver en egen Bilaga IV-analys. Se guiden för produktklassificering för det fullständiga beslutsflödet.

Gäller CRA:s minsta supportperiod på 5 år även för produkter med industriella livscykler på 15 till 20 år?

Ja. Fem år är golvet enligt CRA Artikel 13(8). När produkten rimligen förväntas vara i bruk längre måste tillverkaren fastställa en längre supportperiod som speglar den livslängden. Industriprodukter med livscykler på 15 till 20 år behöver vanligtvis planera support betydligt utöver 5-årsgolvet och kommunicera end-of-support-datumet tydligt vid försäljningstillfället.

Hur hanterar vi CRA-säkerhetsuppdateringar i OT-miljöer utan underhållsfönster?

Använd en kombination av stegvis utrullning (test, pilot, fullständig produktion), schemalagda uppdateringsfönster samordnade med planerat underhåll, offline-leveransmekanismer som USB-paket eller uppdateringsservrar inom OT-nätverket, samt dokumenterad safety-revalidering för varje uppdatering. CRA kräver inte kontinuerlig online-anslutning, men kräver att en mekanism för att leverera uppdateringar finns och att sårbarheter åtgärdas inom rimlig tid.

Vilka CRA-krav täcks inte av IEC 62443?

IEC 62443 kräver ingen SBOM. CRA gör det. Det täcker inte heller de två rapporteringsspåren i CRA Artikel 14: spåret för aktivt utnyttjad sårbarhet (24 h tidig varning, 72 h rapport, slutrapport inom 14 dagar efter att en åtgärd finns tillgänglig) och spåret för allvarlig incident (24 h tidig varning, 72 h rapport, slutrapport inom en månad efter 72-timmarsrapporten). Efter att ha blivit medveten om endera ska du avisera berörda användare, och där så är lämpligt alla användare, om sårbarheten eller incidenten och de korrigeringsåtgärder de kan vidta. CE-märkning med EU-försäkran om överensstämmelse och en dokumenterad supportperiod som speglar förväntad produktlivslängd krävs också. IEC 62443-bevis kan stödja din tekniska dokumentation, men ingen av dessa skyldigheter täcks av standarden.

Kan IEC 62443-4-2-certifiering minska det anmälda organets testomfattning?

Ja, det kan den. Ett anmält organ som erkänner IEC 62443-4-2 som bevis verifierar täckningen av CRA-kraven, identifierar eventuella luckor och kan minska testomfattningen därefter. Lägg fram certifikatet, uppnådd Security Level (SL 1 till SL 4), eventuellt ISASecure-certifikat och utvärderingsrapporten. Du måste fortfarande komplettera med SBOM-bevis, rapporteringsförmåga mot ENISA för båda rapporteringsspåren, ett åtagande om supportperiod som speglar förväntad produktlivslängd och användardokumentation. Se beslutsguiden för bedömning av överensstämmelse för den fullständiga moduljämförelsen.

Vår PLC har ingen internetanslutning. Omfattas den ändå?

De flesta air-gapped PLC:er omfattas ändå. Tillämpningsområdestestet i CRA bygger på produktens avsedda ändamål eller rimligt förutsebara användning, inte på hur den är ansluten vid drift. En PLC med en Ethernet-programmeringsport eller ett USB-gränssnitt omfattas även om den aldrig berör ett aktivt nätverk i drift. Mycket få industriprodukter saknar helt och hållet anslutningsförmåga.

Att vara air-gapped är en riskbegränsande åtgärd. Den hör hemma i din säkerhetsriskbedömning. Den tar inte bort CRA-skyldigheten.

Frågan om internetanslutning spelar bara roll för klassificeringen. Huruvida en router eller modem är Viktig klass I beror på om den är avsedd att ansluta till internet. Det är en klassificeringsregel. Den har ingen bäring på om din PLC omfattas.

Nästa steg

  1. Klassificera varje produkt (Standard / Viktig I / Viktig II) med guiden för CRA-produktklassificering.
  2. Mappa dina IEC 62443-bevis in i den tekniska dokumentationsstrukturen som beskrivs i guiden för teknisk dokumentation enligt Bilaga VII.
  3. Lägg till SBOM-generering i din build-pipeline. IEC 62443 täcker inte detta. Se guiden för SBOM-generering.
  4. Etablera båda CRA-rapporteringsspåren före 11 september 2026: sårbarhetssspåret (24 h / 72 h / 14 dagar efter åtgärd tillgänglig) och spåret för allvarlig incident (24 h / 72 h / 1 månad). Registrera dig på ENISA:s gemensamma rapporteringsplattform och testa inlämningsflödet före deadline.
  5. Definiera supportperioden och kommunicera den vid försäljningstillfället med guiden för planering av supportperioden.
  6. Om en produkt är viktig klass II, välj modul för bedömning av överensstämmelse med beslutsguiden Modul A / B+C / H.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

CRA Säkerhetsstandarder Produktklasser Industriell
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad