Contents
CRA Normung
Was bedeutet „CRA Normung“?
Die CRA-Normung bezeichnet das europäische System harmonisierter technischer Normen zur Umsetzung des Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847.
Diese Normen übersetzen die rechtlich verbindlichen Cybersicherheitsanforderungen des CRA in konkrete technische und organisatorische Spezifikationen.
Produkte mit digitalen Elementen, die diese harmonisierten Normen einhalten, profitieren von der Konformitätsvermutung gemäß Art. 27 CRA. Das bedeutet:
Die Einhaltung der Norm gilt als Nachweis der Erfüllung der grundlegenden CRA-Anforderungen.
Ziel der CRA-Normung
Die CRA-Normung verfolgt vier zentrale Ziele:
- Vereinheitlichung der Cybersicherheitsanforderungen in der EU
- Reduktion regulatorischer Unsicherheit für Hersteller
- Technische Operationalisierung der CRA-Pflichten
- Effiziente und prüfbare Konformitätsbewertung
Rechtsgrundlage für die Normung ist die Normungsverordnung (EU) Nr. 1025/2012.
Normungstypen im Cyber Resilience Act
Die CRA-Normung ist in vier Normungstypen (Type A–C) gegliedert, die unterschiedliche Ebenen der Cybersicherheit abdecken.
Type A – Framework-Normen
Inhalt:
Übergreifende Rahmenwerke für CRA-Compliance, u. a.:
- Begriffsdefinitionen
- Governance-Strukturen
- Grundlegende Sicherheitsprinzipien
- Aufbau eines CRA-konformen Sicherheitsmanagements
Zuständigkeit: CEN und/oder CENELEC
Frist: 30.08.2026
Type-A-Normen bilden die architektonische Basis für alle weiteren CRA-Normen.
Type B – Horizontale Normen
Type B – Technische Maßnahmen (produktunabhängig)
Inhalt:
Allgemeine technische Sicherheitsanforderungen, z. B.:
- Zugriffskontrollen und Authentifizierung
- Kryptographie
- Sichere Voreinstellungen
- Update- und Patch-Mechanismen
- Logging und Monitoring
Zuständigkeit: CEN / CENELEC
Frist: 30.10.2027
Type B – Schwachstellenmanagement
Inhalt:
Vorgaben für den sicheren Umgang mit Schwachstellen über den gesamten Produktlebenszyklus:
- Vulnerability Disclosure Policies
- Koordinierte Schwachstellenmeldung
- Patch- und Fix-Prozesse
- Kommunikation mit Nutzern und Behörden
Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.08.2026
Diese Normen sind für nahezu alle CRA-pflichtigen Produkte relevant.
Type C – Produktspezifische Normen
Type C – Wichtige Produkte (Anhang III CRA)
Inhalt:
Produktspezifische Sicherheitsanforderungen für „wichtige Produkte“, z. B.:
- Betriebssysteme
- Firewalls
- Passwortmanager
- Netzwerk- und Sicherheitssoftware
Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.10.2026
Type C – Kritische Produkte (Anhang IV CRA)
Inhalt:
Besonders strenge Sicherheitsanforderungen für „kritische Produkte“, u. a.:
- Identitäts- und Zugriffsmanagement
- Sicherheitskritische Netzwerkkomponenten
- Zentrale Vertrauens- und Kontrollsysteme
Zuständigkeit: CEN, CENELEC und ETSI
Frist: 30.10.2026
Besonderheit:
Diese Normen entstehen teilweise in Restricted Settings mit erhöhten Vertraulichkeitsanforderungen.
Normungsauftrag M/606
Die Europäische Kommission hat mit dem Normungsauftrag M/606 (C(2025) 618) die Entwicklung von 41 harmonisierten Normen angestoßen:
- Horizontale Normen (Framework, Prozesse, Maßnahmen)
- Vertikale, produktspezifische Normen
- Unterstützende Standards (Terminologie, Risikobewertung, Bedrohungskataloge)
Der Schwerpunkt liegt zunächst auf wichtigen und kritischen Produkten gemäß Anhang III und IV CRA.
Bedeutung der CRA-Normung für Hersteller
Für Hersteller von Produkten mit digitalen Elementen ist die CRA-Normung strategisch zentral:
- Harmonisierten Normen folgen = vereinfachte Konformitätsbewertung
- Reduziertes Haftungs- und Marktaufsichtsrisiko
- Klare technische Umsetzungsvorgaben
- Bessere Planbarkeit von Produktentwicklung und Wartung
Ohne Normenanwendung steigt der Aufwand für individuelle Nachweise, Prüfungen und behördliche Auseinandersetzungen erheblich.
CRA Normung im Zusammenspiel mit anderen EU-Vorgaben
Die CRA-Normung ergänzt bestehende EU-Regime, insbesondere:
- NIS-2-Richtlinie (EU) 2022/2555 – organisatorische Cybersicherheit
- DORA (EU) 2022/2554 – digitale operationale Resilienz im Finanzsektor
Der CRA adressiert dabei Produkte, nicht Organisationen – die Normung ist entsprechend produkt- und lebenszyklusorientiert.
CRA Normung als Schlüssel zur Compliance
Die CRA-Normung ist das operative Rückgrat des Cyber Resilience Act.
Für Hersteller ist sie kein optionales Zusatzthema, sondern der entscheidende Hebel für rechtssichere, effiziente und skalierbare CRA-Compliance.
Quelle: https://digital-strategy.ec.europa.eu/de/policies/cra-standardisation