Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.
Skip to content

IEC 62443 & ISO-Normen vs. CRA

ERGÄNZUNG, KEINE KRITIK

IEC 62443 ist eine wertvolle Norm mit erheblicher Überschneidung zum CRA. Hersteller, die ihr folgen, machen etwas richtig. Zweck dieser Seite ist die Abgrenzung — was diese Normen im Verhältnis zum CRA abdecken und was nicht — kein Urteil, dass sie falsch wären.

Unter Herstellern industrieller Kommunikationshardware ist die Annahme verbreitet, ein IEC-62443-Zertifikat sei gleichbedeutend mit CRA-Konformität. Das ist es nicht. IEC 62443 ist eine starke Grundlage, die sich mit mehreren CRA-Anforderungen überschneidet, lässt aber die laufenden Betriebs- und Meldepflichten des CRA unabgedeckt.

Was IEC 62443-4-1 und -4-2 tatsächlich abdecken

NormGegenstandÜberschneidung mitWesentliche Grenze
IEC 62443-4-1Sicherer Produktentwicklungs-Lebenszyklus (SDLC): Security-Management, Design, Implementierung, Verifikation, Patch- & End-of-Life-ProzesseCRA Annex I Teil II (Schwachstellenbehandlung / Anforderungen an sichere Prozesse)Das Audit ist eine Momentaufnahme; es verifiziert keine laufenden Betriebsabläufe nach Markteinführung
IEC 62443-4-2Technische Sicherheitsanforderungen für Komponenten (Authentifizierung, Zugriffssteuerung, Datenintegrität, Kommunikationssicherheit), gestuft nach Security Level SL 1–4CRA Annex I Teil I (wesentliche Cybersicherheitsanforderungen an das Produkt)Sagt nichts über laufende Herstellerpflichten nach dem Inverkehrbringen

Beide sind echt und nützlich — und beide werden zu einem einzigen Zeitpunkt bewertet.

Hauptvergleich

DimensionIEC 62443-4-1IEC 62443-4-2ISO 9001CRA
BewertungsgegenstandEntwicklungsprozessProdukteigenschaftenQualitätsprozesseProzess + Produkt + laufender Betrieb
WannMomentaufnahmeMomentaufnahmeMomentaufnahme + jährliche ÜberwachungGesamter Produktlebenszyklus
Zertifikat vorhandenJaJaJaBewertungsweg hängt von der Klasse ab (siehe unten)
Laufende HerstellerpflichtKeine bis zur Re-ZertifizierungKeine bis zur Re-ZertifizierungQMS aufrechterhaltenCVE-Monitoring, Patching, SBOM-Pflege, ENISA-Meldung
Meldepflicht gegenüber einer BehördeKeineKeineKeineJa — ENISA: 24 h Frühwarnung, 72 h Meldung
Haftung nach MarkteinführungGeteilt mit ZertifiziererGeteilt mit ZertifiziererGeteilt mit ZertifiziererAusschließlich Hersteller
Mindest-SupportpflichtKeineKeineKeineSicherheitsupdates über den Supportzeitraum (≥ 5 Jahre / erwartete Lebensdauer)
Endet mitZertifikatsablaufZertifikatsablaufZertifikatsablaufEnde der Marktverfügbarkeit + Supportzeitraum

DER BEWERTUNGSWEG IST NICHT „KLASSE = ZERTIFIKAT"

Beim CRA hängt der Bewertungsweg von der Produktklasse und davon ab, ob harmonisierte Normen anwendbar sind: Standard → Modul A (Selbstbewertung); Klasse I → Modul A nur bei vollständiger Anwendung harmonisierter Normen, sonst Modul B+C; Klasse II → Modul B+C oder Modul H; Kritisch → EUCC. Siehe Produktklassifizierung und Harmonisierte Normen.

Was IEC 62443 NICHT ersetzt

Kein Audit-Zertifikat kann das Folgende ersetzen, weil es sich um Betriebsaufgaben handelt, nicht um Bewertungsaufgaben:

  • Die SBOM je Firmware-Version, laufend aktuell gehalten → SBOM & Signierung
  • Die ENISA-Meldepflicht — 24 h Frühwarnung bei aktiv ausgenutzter Schwachstelle, 72 h Meldung, 14-tägiger Abschlussbericht → ENISA-Meldung
  • Die laufende CVE-Monitoring-Infrastruktur (permanent, nicht zu einem Zeitpunkt auditierbar) → Schwachstellenmanagement
  • Die CVD-Richtlinie als funktionierender Kanal für Sicherheitsforschende → Disclosure Policy
  • Die Bereitstellung von Sicherheitsupdates über den gesamten SupportzeitraumSupport & Lifecycle

Kein Audit ersetzt eine Betriebsaufgabe. Ein Zertifikat bestätigt einen Zustand zu einem Zeitpunkt; dies sind Prozesse, die weiterlaufen müssen.

Wie Normen Ihnen dennoch helfen

IEC 62443 zu folgen oder ISO-Zertifikate zu besitzen ist echt nützlich — sofern Sie ihre Rolle verstehen:

  • Die Konformitätsvermutung entsteht ausschließlich aus harmonisierten Normen, deren Fundstellen im Amtsblatt der EU (OJEU) veröffentlicht sind. Bis dahin gewährt keine Norm — auch nicht IEC 62443 — automatische CRA-Konformität. IEC 62443 ist derzeit eine Referenz, keine harmonisierte CRA-Norm. → Harmonisierte Normen
  • Ein bestehendes QMS (ISO 9001 / ISO 27001) ist eine starke Basis für die Prozessanforderungen des CRA und lässt sich gut in den Weg über Modul H integrieren. → Modul H

Zurück zu: Zertifikat vs. CRA-Lebenszyklus

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT