ETSI-Konsultation zu vertikalen Standards für den Cyber Resilience Act (CRA)
Mit dem Cyber Resilience Act (CRA) schafft die EU erstmals ein einheitliches, verbindliches Cybersicherheitsregime für Produkte mit digitalen Elementen. Eine zentrale Rolle bei der technischen Konkretisierung dieser Anforderungen spielt das European Telecommunications Standards Institute (ETSI).
Aktuell führt ETSI eine informelle Open Consultation zu Entwürfen vertikaler Standards durch, die produktspezifische Anforderungen für besonders sicherheitsrelevante Kategorien definieren.
Hintergrund und Ziel der ETSI-Konsultation
Die vertikalen ETSI-Standards sollen die horizontalen CRA-Grundanforderungen (insbesondere aus Anhang I CRA) um produktspezifische Sicherheits-, Entwicklungs- und Schwachstellenmanagement-Vorgaben ergänzen.
Besonderheit der laufenden Konsultation:
- ungewöhnlich früher Zeitpunkt im Standardisierungsprozess
- Veröffentlichung als „Mature Drafts“, nicht als finale Normen
- Ziel: frühes Stakeholder-Feedback, bevor sich regulatorische Erwartungen verfestigen
Die finalen ETSI-Normen werden nach aktuellem Stand nicht vor der zweiten Jahreshälfte 2026 erwartet und können sich bis dahin inhaltlich erheblich verändern.
Betroffene Produktkategorien – Überblick
Die Entwürfe betreffen vor allem wichtige und kritische Produkte mit digitalen Elementen im Sinne des CRA. Dazu zählen insbesondere sicherheitskritische Software- und Infrastrukturbestandteile.
Tabelle: ETSI-Entwürfe vertikaler CRA-Standards (Auswahl)
| ETSI-Standard | Version | Datum | Produktkategorie | Status |
|---|---|---|---|---|
| EN 304 617 | V0.1.0 | 23.12.2025 | Browser | Mature Draft |
| EN 304 618 | V0.1.0 | 23.12.2025 | Passwort-Manager | Mature Draft |
| EN 304 619 | V0.0.12 | 11.12.2025 | Antivirus / Antimalware | Mature Draft |
| EN 304 620 | V0.1.0 | 23.12.2025 | VPN-Lösungen | Mature Draft |
| EN 304 621 | V0.1.2 | 23.12.2025 | Network-Management-Systeme | Mature Draft |
| EN 304 622 | V0.1.0 | 23.12.2025 | SIEM-Systeme | Mature Draft |
| EN 304 623 | V0.0.12 | 19.12.2025 | Boot-Manager | Mature Draft |
| EN 304 624 | V0.0.8 | 14.01.2026 | PKI & Zertifikatssoftware | Mature Draft |
| EN 304 626 | V0.1.0 | 23.12.2025 | Betriebssysteme | Mature Draft |
| EN 304 627 | V0.0.11 | 24.11.2025 | Router, Modems, Switches | Mature Draft |
| EN 304 636 | V0.0.9 | 15.12.2025 | Firewalls | Mature Draft |
Bedeutung für Hersteller und Anbieter
Auch wenn die ETSI-Entwürfe keine rechtlich verbindlichen Normen darstellen und keine Konformitätsvermutung nach dem CRA auslösen, haben sie erhebliche praktische Relevanz:
- Frühindikator für künftige technische Mindestanforderungen
- Orientierung für Secure-by-Design-Architekturen
- Grundlage für Roadmap-, Budget- und Ressourcenplanung
- Möglichkeit, unverhältnismäßige oder praxisferne Anforderungen frühzeitig zu adressieren
Gleichzeitig gilt klar:
Die Entwürfe sind nicht audit-, prüf- oder CE-fähig.
Einordnung im CRA-Konformitätssystem
Nach ihrer Finalisierung und einer möglichen Zitierung im Amtsblatt der EU können die vertikalen ETSI-Standards künftig:
- eine Konformitätsvermutung nach dem CRA begründen,
- den Konformitätsbewertungsweg (Selbstbewertung vs. Drittstelle) beeinflussen,
- maßgeblich bestimmen, welche technischen Nachweise von Herstellern verlangt werden.
Insbesondere für kritische Produkte mit digitalen Elementen ist davon auszugehen, dass diese Standards künftig prüfungsrelevant werden.
Früh informieren, aber richtig einordnen
Die ETSI-Konsultation zu den Entwürfen vertikaler Standards für den CRA markiert einen wichtigen Übergang:
von abstrakten gesetzlichen Vorgaben hin zu konkreten technischen Sicherheitsanforderungen.
Für Hersteller, Importeure und Anbieter bedeutet das:
- jetzt analysieren,
- gezielt Feedback einbringen,
- aber keine voreilige Compliance-Umsetzung auf Basis von Entwürfen starten.
Wer die Entwürfe strategisch nutzt, verschafft sich einen entscheidenden Vorbereitungsvorsprung für die spätere verbindliche CRA-Umsetzung.
Quellen: