CRA Normung

CRA Normung

Was bedeutet „CRA Normung“?

Die CRA-Normung bezeichnet das europäische System harmonisierter technischer Normen zur Umsetzung des Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847.
Diese Normen übersetzen die rechtlich verbindlichen Cybersicherheitsanforderungen des CRA in konkrete technische und organisatorische Spezifikationen.

Produkte mit digitalen Elementen, die diese harmonisierten Normen einhalten, profitieren von der Konformitätsvermutung gemäß Art. 27 CRA. Das bedeutet:
Die Einhaltung der Norm gilt als Nachweis der Erfüllung der grundlegenden CRA-Anforderungen.

Ziel der CRA-Normung

Die CRA-Normung verfolgt vier zentrale Ziele:

  • Vereinheitlichung der Cybersicherheitsanforderungen in der EU
  • Reduktion regulatorischer Unsicherheit für Hersteller
  • Technische Operationalisierung der CRA-Pflichten
  • Effiziente und prüfbare Konformitätsbewertung

Rechtsgrundlage für die Normung ist die Normungsverordnung (EU) Nr. 1025/2012.

Normungstypen im Cyber Resilience Act

Die CRA-Normung ist in vier Normungstypen (Type A–C) gegliedert, die unterschiedliche Ebenen der Cybersicherheit abdecken.

Type A – Framework-Normen

Inhalt:
Übergreifende Rahmenwerke für CRA-Compliance, u. a.:

  • Begriffsdefinitionen
  • Governance-Strukturen
  • Grundlegende Sicherheitsprinzipien
  • Aufbau eines CRA-konformen Sicherheitsmanagements

Zuständigkeit: CEN und/oder CENELEC
Frist: 30.08.2026

Type-A-Normen bilden die architektonische Basis für alle weiteren CRA-Normen.

Type B – Horizontale Normen

Type B – Technische Maßnahmen (produktunabhängig)

Inhalt:
Allgemeine technische Sicherheitsanforderungen, z. B.:

  • Zugriffskontrollen und Authentifizierung
  • Kryptographie
  • Sichere Voreinstellungen
  • Update- und Patch-Mechanismen
  • Logging und Monitoring

Zuständigkeit: CEN / CENELEC
Frist: 30.10.2027

Type B – Schwachstellenmanagement

Inhalt:
Vorgaben für den sicheren Umgang mit Schwachstellen über den gesamten Produktlebenszyklus:

  • Vulnerability Disclosure Policies
  • Koordinierte Schwachstellenmeldung
  • Patch- und Fix-Prozesse
  • Kommunikation mit Nutzern und Behörden

Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.08.2026

Diese Normen sind für nahezu alle CRA-pflichtigen Produkte relevant.

Type C – Produktspezifische Normen

Type C – Wichtige Produkte (Anhang III CRA)

Inhalt:
Produktspezifische Sicherheitsanforderungen für „wichtige Produkte“, z. B.:

  • Betriebssysteme
  • Firewalls
  • Passwortmanager
  • Netzwerk- und Sicherheitssoftware

Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.10.2026

Type C – Kritische Produkte (Anhang IV CRA)

Inhalt:
Besonders strenge Sicherheitsanforderungen für „kritische Produkte“, u. a.:

  • Identitäts- und Zugriffsmanagement
  • Sicherheitskritische Netzwerkkomponenten
  • Zentrale Vertrauens- und Kontrollsysteme

Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.10.2026

Besonderheit:
Diese Normen entstehen teilweise in Restricted Settings mit erhöhten Vertraulichkeitsanforderungen.

Normungsauftrag M/606

Die Europäische Kommission hat mit dem Normungsauftrag M/606 (C(2025) 618) die Entwicklung von 41 harmonisierten Normen angestoßen:

  • Horizontale Normen (Framework, Prozesse, Maßnahmen)
  • Vertikale, produktspezifische Normen
  • Unterstützende Standards (Terminologie, Risikobewertung, Bedrohungskataloge)

Der Schwerpunkt liegt zunächst auf wichtigen und kritischen Produkten gemäß Anhang III und IV CRA.

Bedeutung der CRA-Normung für Hersteller

Für Hersteller von Produkten mit digitalen Elementen ist die CRA-Normung strategisch zentral:

  • Harmonisierten Normen folgen = vereinfachte Konformitätsbewertung
  • Reduziertes Haftungs- und Marktaufsichtsrisiko
  • Klare technische Umsetzungsvorgaben
  • Bessere Planbarkeit von Produktentwicklung und Wartung

Ohne Normenanwendung steigt der Aufwand für individuelle Nachweise, Prüfungen und behördliche Auseinandersetzungen erheblich.

CRA Normung im Zusammenspiel mit anderen EU-Vorgaben

Die CRA-Normung ergänzt bestehende EU-Regime, insbesondere:

  • NIS-2-Richtlinie (EU) 2022/2555 – organisatorische Cybersicherheit
  • DORA (EU) 2022/2554 – digitale operationale Resilienz im Finanzsektor

Der CRA adressiert dabei Produkte, nicht Organisationen – die Normung ist entsprechend produkt- und lebenszyklusorientiert.

CRA Normung als Schlüssel zur Compliance

Die CRA-Normung ist das operative Rückgrat des Cyber Resilience Act.
Für Hersteller ist sie kein optionales Zusatzthema, sondern der entscheidende Hebel für rechtssichere, effiziente und skalierbare CRA-Compliance.

Quelle: https://digital-strategy.ec.europa.eu/de/policies/cra-standardisation