Blog rund um IT/ OT Security, Safety und Software | ICS GmbH

CRA oder IEC 62443 – was gilt wann für welches Produkt?

Geschrieben von Anika Görtz | Jul 25, 2025 9:34:20 AM

Neue Sicherheitsanforderungen werfen wichtige Fragen auf: Zwischen dem EU Cyber Resilience Act und der internationalen Norm IEC 62443 ist vielen Unternehmen unklar, welche Vorgaben wirklich relevant sind und wie man sie eigentlich voneinander abgrenzt. Dieser Beitrag ist zwar keine Rechtsberatung, schafft aber Klarheit und zeigt praxisnah, wann CRA, IEC 62443 oder sogar beide Regelwerke greifen.

CRA vs. IEC 62443 auf einen Blick

 

CRA (Cyber Resilience Act)

IEC 62443

Was ist das?

EU-Verordnung, gilt ab 2027

Internationale Normenreihe, Stand der Technik

Für wen?

Hersteller, Händler, Importeure digitaler Produkte

Betreiber, Entwickler, Integratoren industrieller Systeme

Was fordert es?

Risikoanalyse, Schwachstellenmanagement, Dokumentation, CE-Kennzeichnung

IT/OT-Security-Prozesse & technische Anforderungen für industrielle Anlagen

Worauf bezogen?

Software, vernetzte Geräte, IoT-Produkte,  Software- oder Hardwareprodukte, die Daten mit anderen Geräten oder einem Netzwerk austauschen

Industrieanlagen, Maschinensteuerungen (IACS), OT-Systeme

Wann relevant?

Vor dem Inverkehrbringen und während der gesamten Lebensdauer des Produkts

Während Planung, Entwicklung und Betrieb

Fragenkatalog: Welche Produkte sind betroffen? Und muss die IEC 62443 berücksichtigt werden?

Unser strukturierter Fragenkatalog hilft dabei, diese Entscheidung schneller zu treffen:

  1. Handelt es sich um ein digitales Produkt? (z. B. Software, Firmware, vernetztes Gerät)

→ Nein: Weder CRA noch IEC 62443 relevant
→ Ja: Weiter mit Frage 2

  1. Hat das Produkt eine direkte oder indirekte Verbindung zu einem Netzwerk oder anderen Systemen? (z. B. RS485, CAN, LAN, WLAN, Bluetooth, Cloud, API)

→ Nein: CRA vermutlich nicht relevant
→ Ja: Weiter mit Frage 3

  1. Wird das Produkt in der EU in Verkehr gebracht oder bereitgestellt? (z. B. über Vertrieb, OEM, App Store, Download-Plattform, Import)

→ Nein: CRA aktuell nicht relevant
→ Ja: CRA gilt
→ Weiter mit Frage 4 (für IEC 62443)

  1. Wird das Produkt in einem industriellen oder sicherheitskritischen Umfeld eingesetzt? (z. B. Energieversorgung, Bahn, Chemie, Maschinensteuerung, Automatisierung)

→ Nein: IEC 62443 eher nicht relevant
→ Ja: Weiter mit Frage 5

  1. Ist das Produkt Teil eines OT-Systems oder kommuniziert es mit OT-Komponenten? (z. B. SPS, Steuerung, Sensorik, IACS)

→ Nein: IEC 62443 evtl. optional, aber nicht vorrangig
→ Ja: IEC 62443 ist relevant

Beispiele aus der Praxis

Theorie ist gut, konkrete Anwendung besser. Die folgenden Beispiele zeigen typische Produktszenarien und wie CRA und IEC 62443 dabei jeweils ins Spiel kommen können.

Beispiel 1: Eingebaute Steuerungskomponente für ein Fahrzeug
Ein Hersteller entwickelt eine Steuerungseinheit für ein E-Fahrzeug. Die Komponente wird separat verkauft und kommuniziert über CAN-Bus oder Funk mit anderen Systemen.

  • CRA: Ja, da es sich um ein vernetztes digitales Produkt handelt, das nicht durch Regulation (EU) 2019/2144 erfasst ist
  • IEC 62443: Ja, wenn die Komponente sicherheitsrelevant ist und in eine kritische Infrastruktur eingebunden wird

Beispiel 2: White-Label-Software für ein OEM-Produkt
Ein Unternehmen liefert eine Software, die von einem OEM unter eigenem Namen weiterverkauft wird. Die Software hat eine Update-Funktion und verbindet sich mit einer Cloud.

  • CRA: Ja, weil es sich um ein digitales Produkt handelt, das öffentlich vertrieben wird
  • IEC 62443: Nur relevant, wenn die Software in einem industriellen Steuerungssystem eingesetzt wird

Beispiel 3: Maschinensteuerung in der Fertigung
Ein Maschinenbauer integriert eine digitale Steuerung in seine Produktionsanlage, die per Fernzugriff gewartet werden kann.

  • CRA: Ja, wegen der Internetverbindung und Funktionalität
  • IEC 62443: Ja, wegen der OT-Umgebung und potenziellen Angriffspunkte

In diesem Beispiel muss übrigens eher der Hersteller der digitalen Steuerung den CRA umsetzen, weniger der Integrator (außer er baut für die Integration selbst Komponenten, die unter CRA fallen) - dies muss der Maschinenbauer in seinem Beschaffungsprozess berücksichtigen.

Beispiel 4: Cloud-Service zur Anlagenüberwachung
Ein Cloud-Dashboard zeigt Sensordaten einer Industrieanlage in Echtzeit. Dabei erfolgt die Erfassung der Sensordaten aber über eigene HW/SW.

  • CRA: Ja, da der Service öffentlich zugänglich ist und über Schnittstellen kommuniziert
  • IEC 62443: Ja, wenn die Daten aus sicherheitsrelevanten OT-Systemen stammen

Also CRA oder IEC 62443? In vielen Fällen beides.

Der CRA ist für viele digitale Produkte verpflichtend. Die IEC 62443 kommt oft zusätzlich ins Spiel, vor allem, wenn Ihre Produkte in industrielle oder sicherheitskritische Systeme integriert werden.

Sie sind sich nicht sicher, was für Ihr Produkt gilt? Unsere GAP-Analyse zeigt, ob CRA, IEC 62443 oder beides für Sie gilt und wie Sie effizient einsteigen.
Vollständigen Beitrag anzeigen