Zuordnung von IEC 62443 zu NIS2 & CRA für EU-Hersteller 

Wenn Sie ein Original Equipment Manufacturer (OEM), ein Werksleiter oder ein CISO sind, der innerhalb der Europäischen Union tätig ist, verändert sich die regulatorische Landschaft derzeit grundlegend unter Ihren Füßen. Die Zeiten freiwilliger Cybersecurity-Leitlinien sind vorbei. Mit der Durchsetzung der NIS2-Richtlinie und dem bevorstehenden Cyber Resilience Act (CRA) schafft die EU eine strenge, rechtlich verbindliche Baseline für die industrielle Cybersicherheit. 

Für den Sektor Energy & Utilities sowie für die EU Hersteller, die deren kritische Hardware und Software liefern, bringen diese Regelwerke erhebliche Compliance-Herausforderungen mit sich. Sie sind nun rechtlich verpflichtet nachzuweisen, dass Ihre Produkte „secure-by-design“ sind und dass Ihre Betriebsumgebungen fortgeschrittenen Cyberbedrohungen standhalten. Ein Verstoß gegen die Vorgaben bedeutet nicht nur ein geringfügiges Bußgeld; er kann erhebliche finanzielle Sanktionen, persönliche Haftung der Geschäftsleitung und die potenzielle Unfähigkeit bedeuten, Ihre Produkte im europäischen Binnenmarkt zu verkaufen. 

Doch wie übersetzen Sie diese weitreichenden Rechtstexte in eine praktische, technische Realität auf dem Shopfloor? 

Die Antwort liegt im weltweit führenden Standard für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Wenn Sie das IEC 62443 NIS2 mapping und das IEC 62443 CRA mapping verstehen, können Sie abstrakte rechtliche Anforderungen in einen konkreten, umsetzbaren technischen Engineering-Plan überführen. Bei Shieldworkz unterstützen wir Unternehmen genau bei dieser Herausforderung. In diesem umfassenden Leitfaden zeigen wir Ihnen Schritt für Schritt, wie Sie das IEC-62443-Framework nutzen können, um vollständige Compliance zu erreichen, Ihre Lieferkette abzusichern und Ihre kritische Infrastruktur zu schützen. 

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Beitrag zu „The digital fog of war: When Hacktivism goes pro“ hier anzusehen 

Der perfekte Sturm: NIS2 und CRA verstehen 

Bevor wir in die technische Zuordnung einsteigen, müssen wir die beiden regulatorischen Säulen definieren, die die NIS2 cybersecurity compliance EU und den breiteren Fertigungsmarkt neu gestalten. Auch wenn beide dasselbe Ziel verfolgen – den Schutz europäischer Infrastrukturen – konzentrieren sie sich auf völlig unterschiedliche Seiten des industriellen Ökosystems. 

1. Die NIS2-Richtlinie: Den Prozess schützen 

Die NIS2-Richtlinie zur Netz- und Informationssicherheit ist strikt auf Organisationen und Prozesse ausgerichtet. Sie gilt für „wesentliche“ und „wichtige“ Einrichtungen und betrifft insbesondere den Sektor Energy & Utilities sowie Verkehr, Wasserwirtschaft und kritische Fertigung. 

NIS2 verpflichtet diese Organisationen zur Einführung belastbarer Governance-, technischer Risiko-, Incident-Reporting- und strenger Lieferkettensicherheitsmaßnahmen. Wenn Sie ein Stromnetz oder eine Produktionsanlage betreiben, macht NIS2 Sie für die Sicherheit Ihrer gesamten Betriebsumgebung verantwortlich. Sie legt fest, wie Sie Ihr Geschäft sicher betreiben. 

2. Der Cyber Resilience Act (CRA): Das Produkt absichern 

Der Cyber Resilience Act konzentriert sich ausschließlich auf die Produkte und die Hersteller, die sie entwickeln. Er gilt für alle Hardware- oder Softwareprodukte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. 

Der CRA verpflichtet Hersteller, einen „secure-by-design“-Ansatz zu verfolgen. Er verlangt von Ihnen, Schwachstellen aktiv zu managen, Sicherheitsupdates über die erwartete Lebensdauer des Produkts bereitzustellen und eine umfassende Software Bill of Materials (SBOM) vorzuhalten. Wenn Sie Programmable Logic Controllers (PLCs), Human-Machine Interfaces (HMIs) oder industrielle Sensoren entwickeln, legt der CRA fest, was Sie in Ihre Produkte integrieren müssen. 

Die Schnittstelle zur Lieferkette 

Diese beiden Regelwerke sind eng miteinander verflochten. Ein Energieversorger, der NIS2 einhält, kann seine Verpflichtungen zur Lieferkettensicherheit nur erfüllen, wenn er Ausrüstung von einem Hersteller bezieht, der den CRA einhält. Diese Verzahnung ist der Grund, warum ein einheitlicher Ansatz absolut entscheidend ist. 

Warum IEC 62443 Ihr einheitlicher Leitfaden ist 

Compliance lässt sich nicht direkt aus einem Rechtsdokument heraus entwickeln. Juristen schreiben Verordnungen; Ingenieure benötigen technische Standards. Genau hier wird die ISA/IEC 62443-Reihe zu Ihrem wertvollsten Instrument. 

IEC 62443 für EU-Hersteller bietet ein einheitliches, international anerkanntes Framework, das die Lücke zwischen den produktbezogenen Anforderungen des CRA und den betriebsbezogenen Anforderungen von NIS2 nahtlos schließt. 

Statt NIS2 und den CRA als zwei getrennte Herausforderungen mit zwei unterschiedlichen Kontrollsets zu behandeln, können Sie einen einzigen Standard einführen. 

• Für NIS2-Compliance: Sie nutzen die IEC-62443-2- und IEC-62443-3-Reihe, um Ihre Betriebsumgebung abzusichern und systemische Risiken zu steuern. 

• Für CRA-Compliance: Sie nutzen die IEC-62443-4-Reihe, um sicherzustellen, dass Ihr Produktentwicklungslebenszyklus und die Komponenten selbst mathematisch und strukturell sicher sind. 

Lassen Sie uns im Detail betrachten, wie diese Zuordnung in der Praxis umsetzbar funktioniert. 

IEC 62443 NIS2-Zuordnung: Betriebstechnologie absichern 

NIS2 verlangt von Betreibern kritischer Infrastrukturen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Steuerung von Cyberrisiken. Hier zeigen wir Ihnen, wie Sie diese rechtlichen Anforderungen den IEC-62443-2- und -3-Reihen zuordnen. 

Die NIS2-zu-IEC-62443-Querverweistabelle 

Umsetzbare Maßnahmen für NIS2-Compliance 

Um die in der obigen Tabelle aufgeführten Kontrollen zu erreichen, müssen Werksleiter und CISOs die folgenden taktischen Schritte umsetzen: 

1. Zones and Conduits einrichten (IEC 62443-3-2) 

Sie können ein flaches Netzwerk nicht wirksam schützen. NIS2 verlangt robuste Netzwerksicherheit. Sie müssen Ihre OT-Umgebung logisch in spezifische „Zones“ (Gruppen logischer oder physischer Assets mit gemeinsamen Sicherheitsanforderungen), verbunden durch „Conduits“ (die Kommunikationspfade zwischen den Zonen), unterteilen. 

• Maßnahme: Setzen Sie industrielle Firewalls oder unidirektionale Gateways (Data Diodes) an den Grenzen Ihrer kritischsten Zonen ein, etwa Ihrer Safety Instrumented Systems (SIS) oder zentralen SCADA-Server. Stellen Sie sicher, dass keine direkte Kommunikation zwischen dem Corporate-IT-Netzwerk und dem Shopfloor besteht. 

2. Fundamentale technische Kontrollen implementieren (IEC 62443-3-3) 

NIS2 verlangt grundlegende technische Schutzmaßnahmen. Der 3-3-Standard definiert konkrete System Requirements (SRs), die Sie konfigurieren müssen. 

• Maßnahme: Deaktivieren Sie alle nicht genutzten Ports und Dienste auf Ihren industriellen Switches und Routing-Komponenten. Implementieren Sie strenge Passwortrichtlinien und stellen Sie sicher, dass Standardzugangsdaten auf Legacy-Anlagen geändert oder durch kompensierende Maßnahmen abgesichert werden. Nutzen Sie Netzwerküberwachungstools, die industrielle Protokolle (wie Modbus oder DNP3) verstehen, um anomale laterale Bewegungen zu erkennen. 

3. Ihr Cyber Security Management System formalisieren (IEC 62443-2-1) 

NIS2 legt einen starken Fokus auf Governance und die Verantwortung der Geschäftsleitung. Sie müssen dokumentiert nachweisen können, dass Sie Risiken aktiv steuern. 

• Maßnahme: Bauen Sie ein CSMS auf, das Ihre Sicherheitsrichtlinien, Verfahren zur Asset-Inventarisierung, Patch-Management-Workflows und Incident-Response-Pläne beschreibt. Entscheidend ist, dass dieses System fortlaufend aktualisiert und auditiert wird; es darf kein statischer Ordner sein, der nur im Regal steht. 

IEC 62443 CRA-Zuordnung: Secure-by-Design-Produkte entwickeln 

Während sich Anlagenbetreiber auf NIS2 konzentrieren, müssen EU-Hersteller der Technologie den Fokus auf den CRA legen. Der CRA verlangt, dass Produkte ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden und über ihren gesamten Lebenszyklus hinweg sicher bleiben. Hier zeigen wir, wie Sie diese rechtlichen Produktanforderungen der IEC-62443-4-Reihe zuordnen. 

Die CRA-zu-IEC-62443-Querverweistabelle 

Umsetzbare Maßnahmen für CRA-Compliance 

Um die strengen Anforderungen des Cyber Resilience Act zu erfüllen, müssen OEMs und Gerätehersteller ihre Engineering-Workflows grundlegend verändern. 

1. Den Secure Development Lifecycle institutionalisieren (IEC 62443-4-1) 

Sicherheit darf nicht länger ein nachträglich angebauter Gedanke sein, der erst am Ende des Entwicklungszyklus getestet wird. Der CRA verlangt „secure-by-design“. 

• Maßnahme: Führen Sie einen formalen Secure Development Lifecycle (SDLC) ein. Dazu gehören obligatorisches Threat Modeling in der Architekturphase, sichere Programmierstandards (wie CERT C oder MISRA) während der Entwicklung sowie rigorose statische und dynamische Application Security Tests (SAST/DAST) vor der Freigabe. Sie müssen jeden Schritt dieses Prozesses dokumentieren, um EU-Prüfern die Compliance nachzuweisen. 

2. Die Integrität der Komponenten härten (IEC 62443-4-2)

Ihre physischen Geräte (PLCs, Sensoren, Gateways) müssen gegenüber Manipulation und Ausnutzung äußerst widerstandsfähig sein. 

• Maßnahme: Implementieren Sie hardwarebasierte Root-of-Trusts, beispielsweise Trusted Platform Modules (TPMs). Stellen Sie sicher, dass Ihre Geräte standardmäßig das Prinzip der geringsten Berechtigung durchsetzen. Wenn ein Gerät über eine webbasierte Verwaltungsoberfläche verfügt, muss es den Nutzer bei der ersten Inbetriebnahme zur Änderung des Standardpassworts zwingen. Alle Firmware-Updates müssen vor der Installation eine kryptografische Signaturprüfung erfordern, um bösartiges Flashen zu verhindern. 

3. Schwachstellenmanagement und SBOMs beherrschen 

Der CRA legt eine enorme Verantwortung auf die Marktüberwachung nach der Bereitstellung. Sie müssen exakt wissen, welche Open-Source-Bibliotheken in Ihrem Produkt enthalten sind, und Sie müssen aktiv ausgenutzte Schwachstellen innerhalb weniger Stunden melden. 

• Maßnahme: Integrieren Sie die SBOM-Erstellung direkt in Ihre Continuous-Integration-/Continuous-Deployment-(CI/CD)-Pipeline. Verwenden Sie automatisierte Tools, um Ihr SBOM kontinuierlich mit der National Vulnerability Database (NDB) abzugleichen und neue Zero-Day-Schwachstellen in von Ihnen genutzten Drittanbieterbibliotheken zu erkennen. Betreiben Sie ein öffentlich zugängliches Security-Portal, über das Forschende Fehler direkt an Ihr Engineering-Team melden können. 

Die Lücke schließen: Legacy-Umgebungen bewältigen 

Eine der größten Herausforderungen bei der Erreichung der NIS2 cybersecurity compliance EU ist der Umgang mit Legacy-Umgebungen. Der Sektor Energy & Utilities ist voll von jahrzehntealter Brownfield-Ausrüstung, die sich nicht einfach aktualisieren lässt, um CRA- oder IEC-62443-4-2-Standards zu erfüllen. 

Sie können eine 20 Jahre alte RTU (Remote Terminal Unit) nicht einfach patchen, wenn sie nicht über die notwendige Rechenleistung für Verschlüsselung verfügt. Wie bleiben Sie also compliant, wenn Sie den Endpunkt selbst nicht absichern können? 

Die Lösung im IEC-62443-Framework ist das Konzept der Compensating Controls. 

• Umsetzbare Maßnahme: Wenn ein Legacy-Gerät ein erforderliches Sicherheitsniveau nicht erreichen kann (z. B. keine Multi-Faktor-Authentifizierung unterstützt), müssen Sie eine kompensierende Maßnahme auf das Netzwerk um das Gerät herum anwenden. In der Regel bedeutet dies eine Hyper-Segmentierung. Sie platzieren die verwundbare Legacy-PLC hinter einer dedizierten, zustandsbehafteten industriellen Firewall. Sie beschränken den Zugriff auf diese spezifische Firewall auf nur eine einzige Engineering-Workstation und erzwingen MFA auf dieser Workstation. Indem Sie den Conduit absichern, schützen Sie die verwundbare Zone und erfüllen damit die Zielsetzung des NIS2-Risikomanagements, ohne einen Hardwareaustausch im Millionenbereich vornehmen zu müssen. 

Ihr Schritt-für-Schritt-Compliance-Aktionsplan 

Die schiere Anzahl an Anforderungen in NIS2, dem CRA und IEC 62443 kann zu Analyse-Paralyse führen. Bei Shieldworkz empfehlen wir, die Reise in einen phasenweisen, beherrschbaren Ansatz zu unterteilen. 

Phase 1: Die Basisbewertung (Monate 1-2) 

• [ ] Management-Alignment: Sichern Sie Budget und Unterstützung auf Vorstandsebene, indem Sie die rechtlichen und finanziellen Risiken einer Nichteinhaltung von NIS2 und CRA klar kommunizieren. 

• [ ] Asset-Ermittlung: Setzen Sie passive OT-Network-Scanning-Tools ein, um ein zu 100 % korrektes, Echtzeit-Inventar aller Hardware, Software und Firmware zu erstellen, die aktuell in Ihrer Umgebung betrieben werden. 

• [ ] Gap-Analyse: Führen Sie eine IEC-62443-Gap-Bewertung Ihrer aktuellen CSMS- und technischen Architektur durch, um unmittelbare blinde Flecken zu identifizieren. 

Phase 2: Strukturelle Härtung (Monate 3-6)

• [ ] Zones and Conduits: Überarbeiten Sie Ihre Netzwerkarchitektur unter Anwendung des Purdue Model und der IEC-62443-3-2-Prinzipien, um kritische Prozesse von der Corporate IT zu isolieren. 

• [ ] Sicherer Fernzugriff: Eliminieren Sie alle direkten VPN-Verbindungen zum Shopfloor. Implementieren Sie Zero Trust Network Access (ZTNA) und Privileged Access Management (PAM)-Lösungen, die MFA erfordern. 

• [ ] Lieferkettenprüfung: Senden Sie aktualisierte Sicherheitsanforderungen an alle Ihre Lieferanten. Fordern Sie SBOMs für jede neue Ausrüstung an, die in die Anlage eingebracht wird. 

Phase 3: Produktentwicklung (für OEMs) (Monate 1-8)

• [ ] SDLC-Überarbeitung: Integrieren Sie Threat Modeling und automatisierte Sicherheitstests in Ihre Engineering-Sprints. 

• [ ] Komponenten-Härtung: Aktualisieren Sie Ihre Hardwarespezifikationen um Secure Boot, hardwarebasierte Root-of-Trusts und verschlüsselten Speicher. 

• [ ] Schwachstellenoffenlegung: Richten Sie Ihr CVD-Programm ein und automatisieren Sie Ihr NVD-zu-SBOM-Schwachstellen-Tracking-System. 

Phase 4: Kontinuierliches Monitoring (Laufend)

• [ ] OT-Bedrohungserkennung: Implementieren Sie eine kontinuierliche, Echtzeit-Überwachung des industriellen Netzwerkverkehrs, um Anomalien und unautorisierte Protokollbefehle zu erkennen. 

• [ ] Incident-Übungen: Führen Sie halbjährlich Tabletop-Übungen durch, die einen Ransomware-Angriff auf Ihre OT-Umgebung simulieren, um Ihren Incident-Response-Plan zu testen. 

• [ ] Audit-Vorbereitung: Führen Sie eine akribische Dokumentation Ihrer Risikobewertungen, Patch-Logs und Zugriffskontrollrichtlinien für regulatorische Prüfungen. 

Compliance in einen Wettbewerbsvorteil verwandeln 

Das Inkrafttreten von NIS2 und CRA markiert einen Wendepunkt für den europäischen Industriesektor. Über lange Zeit wurde Cybersicherheit in der Operational Technology als optionaler, zusätzlicher Kostenfaktor betrachtet. Heute ist sie eine zwingende rechtliche Anforderung und ein fundamentaler Bestandteil der Betriebssicherheit. 

Indem Sie aktiv das IEC 62443 NIS2 mapping und das IEC 62443 CRA mapping anwenden, erfüllen Sie nicht nur Pflichten gegenüber Regulierungsbehörden. Sie verbessern grundlegend die Resilienz, Zuverlässigkeit und Sicherheit Ihrer Fertigungsprozesse und der kritischen Infrastruktur, die sie unterstützen. Für OEMs wird der Nachweis der Compliance mit diesen Frameworks schon bald zu einem wesentlichen Wettbewerbsdifferenzierungsmerkmal, da Betreiber kritischer Infrastrukturen gesetzlich keine nicht konformen, nicht zertifizierten Geräte mehr beschaffen werden. 

Allerdings erfordert die Transformation eines Unternehmens zur Einhaltung dieser komplexen Standards tiefes industrielles Fachwissen. IT-zentrierte Sicherheitsansätze funktionieren in der fragilen, latenzsensitiven Welt von PLCs und SCADA-Systemen schlicht nicht. 

Lassen Sie sich von Shieldworkz auf Ihrem Compliance-Weg begleiten 

Bei Shieldworkz sind wir darauf spezialisiert, die Lücke zwischen komplexen regulatorischen Vorgaben und umsetzbarer OT-Engineering-Praxis zu schließen. Wir unterstützen EU-Hersteller und Betreiber kritischer Infrastrukturen dabei, die rechtlichen Anforderungen zu entschlüsseln, sie dem IEC-62443-Standard zuzuordnen und die technischen Kontrollen zu implementieren, die erforderlich sind, um den Shopfloor abzusichern, ohne die Produktion zu beeinträchtigen. 

Bereit, Ihre Betriebsabläufe zu schützen? Demo anfordern mit unseren Shieldworkz OT-Sicherheitsexperten noch heute. Wir unterstützen Sie bei Ihrer ersten Gap-Analyse und beim Aufbau einer Infrastruktur, die nicht nur compliant, sondern wirklich secure-by-design ist. 

Zusätzliche Ressourcen      

2026 OT Cybersecurity Threat Landscape Analysis Report hier 
Ein herunterladbarer Bericht zum Stryker-Cybervorfall hier      
Remediation-Guides hier    
IEC 62443- und NIS2-Compliance-Checkliste hier 
Leitfaden zu OT Security Best Practices und Risikobewertung hier