Lunaris Digital Solutions - Blog - Harmonisierte Standards für den CRA

Harmonisierte Standards für den Cyber Resilience Act (CRA) sind ein zentrales Element der Konformitätsbewertung, doch sie sind noch nicht vollständig veröffentlicht. Dieser Beitrag zeigt, wo die Normung heute steht, welche Quellen verlässlich Auskunft geben und wie du dich aktiv an der Entwicklung beteiligen kannst.

Harmonisierte Normen (Harmonised European Standards, kurz hEN) entstehen, wenn die Europäische Kommission die europäischen Normungsorganisationen CEN, CENELEC oder ETSI per Normungsauftrag beauftragt, konkrete Standards zu einem Rechtsakt zu erarbeiten. Sobald eine hEN im Amtsblatt der EU veröffentlicht ist, entsteht eine Konformitätsvermutung: Wer die Norm einhält, gilt als konform mit den entsprechenden gesetzlichen Anforderungen. Für den CRA bedeutet das: Hersteller können die Erfüllung der Cybersicherheitsanforderungen über eine harmonisierte Norm nachweisen, ohne jeden Einzelschritt gesondert begründen zu müssen. Aber nicht alle Hersteller stehen vor der gleichen Ausgangslage.

Assessment-Anforderungen je CRA-Produktkategorie

Für Produkte der Default-Kategorie ist ein Self-Assessment heute schon möglich, unabhängig davon, ob harmonisierte Normen veröffentlicht sind. Bei Important Products aus Annex III des CRA, etwa Routern, Firewalls oder Antivirensoftware, ist das anders: Wer die Konformitätsbewertung selbst durchführen möchte, benötigt harmonisierte Standards. Sind diese noch nicht verfügbar, ist eine akkreditierte Prüfstelle (Notified Body) verpflichtend. Bei Critical Products aus Annex IV ist die unabhängige Drittpartei ohnehin immer gesetzt.

Für Hersteller wichtiger Produkte lohnt sich also eine aktive Beobachtung der Normungsarbeit. Sobald passende Normen veröffentlicht sind, entfällt die Notwendigkeit einer externen Prüfstelle, was Zeit und Kosten spart. Und wer bereits andere EU-Vorschriften erfüllt, bringt oft eine gute Ausgangsbasis mit. Mehr dazu in unserem Beitrag Der Cyber Resilience Act und angrenzende EU-Vorschriften.

Normungsauftrag M/606

Die Europäische Kommission hat mit dem Normungsauftrag M/606 eine klare Richtung vorgegeben. Beauftragt sind CEN, CENELEC und ETSI (die europäischen Normungsorganisationen), insgesamt 41 Normen zu entwickeln, aufgeteilt in horizontale und vertikale Standards.

Horizontale Normen legen ein gemeinsames Framework fest: Schwachstellenmanagement, sichere Entwicklungsprozesse und grundlegende Sicherheitsanforderungen. Sie sind produktunabhängig und bilden das Fundament für alle Hersteller. Vertikale Normen ergänzen dies für die Produktkategorien aus Anhang III und IV, also für besonders sicherheitsrelevante Produktgruppen wie Smart-Meter-Gateways, Hypervisoren oder industrielle Firewall-Systeme. Ergänzend entstehen sogenannte Support-Deliverables zu Terminologie, Risikobewertungsmethodik und einem gemeinsamen Bedrohungskatalog. Eine gute Übersicht zum Gesamtauftrag bietet die CRA Normungs-Seite der EU-Kommission.

JRC/ENISA-Report als Brücke zu heute

Bis harmonisierte Normen veröffentlicht werden, ist der JRC137340-Report von JRC (Joint Research Centre der EU-Kommission) und ENISA (European Union Agency for Cybersecurity) das wichtigste Hilfsmittel. Die gemeinsame Analyse aus April 2024 ordnet bestehende Cybersicherheitsnormen den einzelnen CRA-Anforderungen zu und bewertet den jeweiligen Abdeckungsgrad.

Das ist für Hersteller unmittelbar praktisch: Der Report zeigt, welche Kombination bestehender Standards, etwa IEC 62443, EN 303 645 oder ISO 27001, heute schon eine belastbare Abdeckung bietet. Gleichzeitig benennt er Lücken, die durch neue oder überarbeitete Normen im Rahmen von M/606 geschlossen werden müssen. Wer also heute strukturiert vorgehen will, findet im Report eine solide Entscheidungsgrundlage.

Wo findet man den aktuellen Normungsstand?

Da die Normung ein laufender Prozess ist, hilft es, zuverlässige Quellen zu kennen.

stan4cra.eu ist die offizielle Informationsplattform von CEN, CENELEC und ETSI. Sie zeigt den Fortschritt aller Normungsaktivitäten, listet Technical Committees und Work Program Lines und richtet sich an Hersteller genauso wie an Marktüberwachungsbehörden.

Die DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik) bietet eine strukturierte Tabelle aller laufenden CRA-Normungsprojekte, inklusive Status und Zeitleiste für Drafting, Voting und den HAS-Prozess (abschließende Harmonisierungsprüfung durch EU-Konsultanten). Wer auf einen Blick sehen möchte, wo welche Norm steht, findet hier eine der übersichtlichsten Quellen.

Das BSI CRA Standardisation Dashboard gibt eine kompakte Übersicht über den Fortschritt der 17 Normen pro Normierungsorganisation. Es eignet sich gut als schneller Statuscheck.

Für einen praxisnahen Einstieg empfiehlt sich der LinkedIn-Artikel von Steffen Zimmermann, der erklärt, wie man als Nicht-Normungsexperte Zugang erhält und sogar kommentieren kann.

Stand März 2026: Zwei horizontale Normen haben die Enquiry-Vote-Phase (öffentliche Kommentierungsphase) erreicht, die übrigen sind noch in Entwicklung. Wer heute Produkte auf den Markt bringt, muss auf andere Nachweise setzen oder frühzeitig verfügbare Best-Available-Normen anwenden.

An der Normung mitwirken

Harmonisierte Normen entstehen nicht ohne Stakeholder-Input. Hersteller und Industrieverbände können aktiv mitgestalten, und das ist durchaus im eigenen Interesse: Wer heute mitgestaltet, hat morgen weniger Überraschungen bei der Konformitätsbewertung.

Der Weg zur Beteiligung führt über stan4cra.eu: Zunächst das relevante Technical Committee und die zugehörige Work Program Line identifizieren, dann das nationale Normungsgremium kontaktieren (in Deutschland DKE oder DIN) und sich registrieren. Wer finanzielle Unterstützung für die Beteiligung sucht, findet sie bei CYBERSTAND.eu.

Was Hersteller jetzt tun sollten

Die Normung läuft, aber eine fertige Lösung für alle Fälle gibt es Stand heute nicht. Für Hersteller von Standard-Produkten ist das weniger kritisch: Ein Self-Assessment ist bereits möglich, und der JRC-Report zeigt, welche bestehenden Normen zur Orientierung taugen.

Für Hersteller wichtiger Produkte aus Annex III lohnt es sich, frühzeitig zu prüfen, welche entstehenden harmonisierten Normen relevant sind. Sollten bis Dezember 2027 keine passenden Normen veröffentlicht sein, muss ein Assessment via Notified Body eingeplant werden. Der Stand lässt sich regelmäßig über DKE, BSI-Dashboard und stan4cra.eu verfolgen. Wer zudem bestehende Compliance mit anderen EU-Vorschriften mitbringt, sollte prüfen, welche Anforderungen sich bereits heute überschneiden. Mehr dazu in unserem Artikel Der Cyber Resilience Act und angrenzende EU-Vorschriften.

Wie gehst du mit den noch fehlenden harmonisierten Standards um? Schau gerne bei uns auf LinkedIn vorbei und diskutiere mit.

Suche

Harmonisierte Standards für den CRA – Stand der Dinge

Normungsauftrag M/606

JRC/ENISA-Report als Brücke zu heute

Wo findet man den aktuellen Normungsstand?

An der Normung mitwirken

Was Hersteller jetzt tun sollten

Autoren

Lars Roith

SBOM für Embedded Systeme: CRA-Anforderungen pragmatisch umsetzen

CRA kompakt: Standards und Normen

Microsoft Threat Modeling Tool vs. OWASP Threat Dragon: Ein Praxisvergleich entlang des Threat-Modeling-Ablaufs

CRA & Long-Term-Support: Warum Git und Code allein nicht reichen

CRAZY About Product Cybersecurity – Die wichtigsten Erkenntnisse für Hersteller im CRA-Zeitalter

Der Cyber Resilience Act und angrenzende EU-Vorschriften

Technische Dokumentation im Cyber Resilience Act: Was wirklich zählt.

Pflichtlektüre fürs Produkt: Welche Informationen müssen laut CRA mitgeliefert werden?

CRA umsetzen: Anforderungen an die Behandlung von Schwachstellen?

Suche

Harmonisierte Standards für den CRA – Stand der Dinge

Normungsauftrag M/606

JRC/ENISA-Report als Brücke zu heute

Wo findet man den aktuellen Normungsstand?

An der Normung mitwirken

Was Hersteller jetzt tun sollten

Autoren

Verwandte Beiträge