Cybersecurity wird ab 2027 zur Marktzugangsbedingung: Was zwei Normen für einen Wechselrichter bedeuten
Ab dem 11. Dezember 2027 darf in der EU kein Produkt mit digitalen Elementen mehr ohne CE-Kennzeichnung für Cybersecurity auf den Markt. Der Cyber Resilience Act ist seit Dezember 2024 in Kraft, die Pflichten greifen gestaffelt. Ein vernetzter Hybrid-Wechselrichter fällt klar darunter.
Viele unterschätzen, wie eng das Zeitfenster ist.
Der unbequeme Teil: Die harmonisierten Normen, die eine Konformitätsvermutung auslösen, werden erst gegen Ende 2026, teils 2027 erwartet. Wer dann erst anfängt, hat unter Umständen weniger als zwölf Monate, um die Konformität nachzuweisen. Cybersecurity lässt sich aber nicht nachträglich aufkleben. Sie ist eine Designentscheidung, die am Anfang der Entwicklung fällt, nicht am Ende.
Zwei Normen tragen die Hauptlast, und sie adressieren verschiedene Dinge.
IEC 62443-4-1 deckt den Prozess ab. Den sicheren Entwicklungslebenszyklus: Bedrohungsmodellierung, Anforderungsmanagement, sichere Implementierung, Verifikation, Umgang mit Schwachstellen. Das ist die Antwort auf die Frage, wie ein Produkt entsteht. Wer diesen Standard bereits anwendet, hat bei der CRA einen klaren Vorsprung. Eine Lücke bleibt: Die explizite SBOM-Pflicht der CRA verlangt 62443-4-1 nicht, auch wenn eine gründliche Umsetzung die nötigen Informationen meist ohnehin erzeugt.
EN 303 645 deckt Produkteigenschaften ab. Ursprünglich für Consumer-IoT gedacht, definiert sie konkrete technische Mindestanforderungen: keine universellen Default-Passwörter, sichere Update-Mechanismen, Schutz sensibler Daten, minimierte Angriffsfläche. Das ist die Antwort auf die Frage, was ein Produkt am Ende können muss.
Keine der beiden Normen allein deckt die CRA vollständig ab. 62443-4-1 schweigt zu Datenschutzeigenschaften, 303 645 schweigt zum Entwicklungsprozess. Erst die Kombination, oft ergänzt um die EN-18031-Reihe, ergibt eine belastbare Grundlage. Genau hier liegt der Denkfehler vieler Hersteller, die CRA als ein einzelnes Häkchen behandeln.
Aus 28 Jahren in sicherheitskritischer Embedded-Entwicklung, von Halbleitern über Automotive bis zu militärischen Funkplattformen, nehme ich eine Lehre mit: Der Aufwand entsteht nicht beim Bestehen der Prüfung, sondern beim Aufbau der Nachweiskette davor. Secure Boot, signierte Updates, eine durchdachte Chain of Trust, das sind keine Features, die man kurz vor dem Audit ergänzt. Sie müssen in der Architektur verankert sein.
Genau deshalb haben wir die Security-Architektur des ampareq Gen3 von Anfang an entlang dieses kombinierten Normenpfads aufgesetzt, nicht als nachgelagerte Compliance-Übung. Ein Gerät, das 20 Jahre im Feld stehen soll, muss über diese gesamte Zeit sicher aktualisierbar bleiben. Das ist weniger eine Frage einzelner Bauteile als eine Frage der Methodik.
Was auf dem Spiel steht, ist mehr als ein Etikett. Wer die wesentlichen Anforderungen verfehlt, riskiert Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Schwerer wiegt für die meisten aber der zweite Hebel: Ohne konforme CE-Kennzeichnung kein Marktzugang. Die Marktaufsicht kann nicht konforme Produkte vom Markt nehmen lassen.
Die ehrliche Botschaft an alle, die jetzt noch warten: Das Zeitfenster bis Dezember 2027 klingt großzügig. Gemessen am Aufwand einer sauberen Security-Architektur ist es das nicht.
Wie weit seid ihr mit eurer CRA-Vorbereitung?
(Quellen im ersten Kommentar)
#CyberResilienceAct #IEC62443 #EN303645 #Embedded #ampareq