CRA oder IEC 62443 – was gilt wann für welches Produkt?

Neue Sicherheitsanforderungen werfen wichtige Fragen auf: Zwischen dem EU Cyber Resilience Act und der internationalen Norm IEC 62443 ist vielen Unternehmen unklar, welche Vorgaben wirklich relevant sind und wie man sie eigentlich voneinander abgrenzt. Dieser Beitrag schafft Klarheit und zeigt praxisnah, wann CRA, IEC 62443 oder sogar beide Regelwerke greifen.

CRA vs. IEC 62443 auf einen Blick

Fragenkatalog: Welche Produkte sind betroffen? Und muss die IEC 62443 berücksichtigt werden?

Unser strukturierter Fragenkatalog hilft dabei, diese Entscheidung schneller zu treffen:

1. Handelt es sich um ein digitales Produkt? (z. B. Software, Firmware, vernetztes Gerät)

→ Nein: Weder CRA noch IEC 62443 relevant
→ Ja: Weiter mit Frage 2

2. Hat das Produkt eine direkte oder indirekte Verbindung zu einem Netzwerk oder anderen Systemen? (z. B. LAN, WLAN, Bluetooth, Cloud, API)

→ Nein: CRA vermutlich nicht relevant
→ Ja: Weiter mit Frage 3

3. Wird das Produkt in der EU in Verkehr gebracht oder bereitgestellt? (z. B. über Vertrieb, OEM, App Store, Download-Plattform)

→ Nein: CRA aktuell nicht relevant
→ Ja: CRA gilt
→ Weiter mit Frage 4 (für IEC 62443)

4. Wird das Produkt in einem industriellen oder sicherheitskritischen Umfeld eingesetzt? (z. B. Energieversorgung, Bahn, Chemie, Maschinensteuerung, Automatisierung)

→ Nein: IEC 62443 eher nicht relevant
→ Ja: Weiter mit Frage 5

5. Ist das Produkt Teil eines OT-Systems oder kommuniziert es mit OT-Komponenten? (z. B. SPS, Steuerung, Sensorik, IACS)

→ Nein: IEC 62443 evtl. optional, aber nicht vorrangig
→ Ja: IEC 62443 ist relevant

Beispiele aus der Praxis

Theorie ist gut, konkrete Anwendung besser. Die folgenden Beispiele zeigen typische Produktszenarien und wie CRA und IEC 62443 dabei jeweils ins Spiel kommen können.

Beispiel 1: Eingebaute Steuerungskomponente für ein Fahrzeug
Ein Hersteller entwickelt eine Steuerungseinheit für ein E-Fahrzeug. Die Komponente wird separat verkauft und kommuniziert über CAN-Bus oder Funk mit anderen Systemen.

• CRA: Ja – da es sich um ein vernetztes digitales Produkt handelt
• IEC 62443: Ja – wenn die Komponente sicherheitsrelevant ist und in eine kritische Infrastruktur eingebunden wird

Beispiel 2: White-Label-Software für ein OEM-Produkt
Ein Unternehmen liefert eine Software, die von einem OEM unter eigenem Namen weiterverkauft wird. Die Software hat Update-Funktion und verbindet sich mit einer Cloud.

• CRA: Ja – weil es sich um ein digitales Produkt handelt, das öffentlich vertrieben wird
• IEC 62443: Nur relevant, wenn die Software in einem industriellen Steuerungssystem eingesetzt wird

Beispiel 3: Maschinensteuerung in der Fertigung
Ein Maschinenbauer integriert eine digitale Steuerung in seine Produktionsanlage, die per Fernzugriff gewartet werden kann.

• CRA: Ja – wegen der Internetverbindung und Funktionalität
• IEC 62443: Ja – wegen der OT-Umgebung und potenziellen Angriffspunkte

Beispiel 4: App zur Fernwartung eines medizinischen Geräts
Eine App erlaubt Pflegepersonal, ein vernetztes Medizingerät aus der Ferne zu konfigurieren oder zu überwachen.

• CRA: Ja – als vernetztes Produkt mit Steuerfunktion
• IEC 62443: Nein – es sei denn, die App ist Teil eines industriellen Netzwerks

Beispiel 5: Cloud-Service zur Anlagenüberwachung
Ein Cloud-Dashboard zeigt Sensordaten einer Industrieanlage in Echtzeit.

• CRA: Ja – da der Service öffentlich zugänglich ist und über Schnittstellen kommuniziert
• IEC 62443: Ja – wenn die Daten aus sicherheitsrelevanten OT-Systemen stammen

Also CRA oder IEC 62443? In vielen Fällen beides.

Der CRA ist für viele digitale Produkte verpflichtend. Die IEC 62443 kommt oft zusätzlich ins Spiel, vor allem, wenn Ihre Produkte in industrielle oder sicherheitskritische Systeme integriert werden.

Sie sind sich nicht sicher, was für Ihr Produkt gilt? Unsere GAP-Analyse zeigt, ob CRA, IEC 62443 oder beides – und wie Sie effizient einsteigen.