Einordnung statt Schlagworte
CRA, NIS2, ISO 27001 und IEC 62443 verständlich zusammengefasst
Viele Unternehmen werden aktuell mit Begriffen wie CRA, NIS2, ISO 27001 oder IEC 62443 konfrontiert. Häufig bleibt dabei unklar, was genau verpflichtend ist, was lediglich einen anerkannten Rahmen beschreibt und welche Anforderungen das eigene Unternehmen tatsächlich betreffen.
Diese Seite ordnet die wichtigsten Regelwerke praxisnah ein – verständlich, ohne unnötige Schlagworte und mit Blick auf die Umsetzung in realen IT- und OT-Umgebungen.
Warum diese Einordnung wichtig ist
Die Anforderungen rund um Cybersicherheit nehmen zu, weil sich Risiken und Abhängigkeiten verändert haben. Systeme sind heute stärker vernetzt, Lieferketten komplexer und Ausfälle deutlich folgenreicher als früher. Gleichzeitig steigen regulatorische Vorgaben und Erwartungen an Betreiber, Integratoren und Hersteller.
Das Ziel der Regelwerke ist im Kern immer gleich: Risiken beherrschbar machen, Verantwortlichkeiten klären und Sicherheitsmaßnahmen nachvollziehbar in Produkte, Prozesse und Systeme integrieren.
CRA – Cyber Resilience Act
Der Cyber Resilience Act (CRA) ist ein europäischer Rechtsrahmen für Produkte mit digitalen Elementen. Im Mittelpunkt steht nicht in erster Linie der Betreiber eines Systems, sondern der Hersteller bzw. Inverkehrbringer eines Produkts.
Der CRA soll sicherstellen, dass digitale Produkte nicht erst nachträglich, sondern bereits bei Entwicklung, Bereitstellung und Pflege angemessen abgesichert werden. Dazu gehören unter anderem Anforderungen an Sicherheitsfunktionen, Schwachstellenmanagement, Updatefähigkeit und Dokumentation.
Praktisch bedeutet das: Wer Produkte entwickelt, integriert oder beschafft, muss sich stärker mit der Frage beschäftigen, ob Sicherheitsanforderungen bereits im Produkt selbst berücksichtigt wurden.
Einordnung:
Produktbezogen – Fokus auf Hersteller, Produktverantwortung und
Security-by-Design.
NIS2 – Sicherheitsanforderungen für betroffene Unternehmen
NIS2 ist eine europäische Richtlinie, die Unternehmen bestimmter Sektoren zu angemessenen Maßnahmen im Bereich der Cybersicherheit verpflichtet. Dazu gehören insbesondere Organisationen, deren Ausfall erhebliche Auswirkungen auf Versorgung, Wirtschaft oder öffentliche Funktionen haben kann.
Im Unterschied zum CRA steht hier nicht das Produkt, sondern die Organisation und deren Verantwortung im Mittelpunkt. Gefordert werden unter anderem Risikomanagement, angemessene technische und organisatorische Maßnahmen, ein geregelter Umgang mit Vorfällen sowie Meldeprozesse.
Besonders relevant ist, dass Cybersicherheit damit nicht nur ein IT-Thema bleibt. Verantwortung liegt ausdrücklich auch auf Ebene der Unternehmensleitung.
Einordnung:
Organisationsbezogen – Fokus auf Pflichten, Risikomanagement und
Vorfallsbehandlung.
ISO 27001 – strukturiertes Sicherheitsmanagement
ISO 27001 ist ein international anerkannter Standard für ein Informationssicherheits-Managementsystem (ISMS). Er beschreibt, wie Informationssicherheit systematisch geplant, umgesetzt, überwacht und fortlaufend verbessert werden kann.
Im Zentrum stehen dabei nicht einzelne technische Produkte, sondern ein nachvollziehbares Managementsystem: Verantwortlichkeiten, Risiken, Prozesse, Maßnahmen, Überprüfungen und Verbesserungen.
ISO 27001 ist oft dann relevant, wenn Sicherheit nicht nur praktisch, sondern auch strukturiert, dokumentiert und auditierbar nachgewiesen werden soll – etwa gegenüber Kunden, Partnern oder im Rahmen formaler Anforderungen.
Ein häufiger Irrtum besteht darin, ISO 27001 als alleinige technische Lösung zu verstehen. Tatsächlich liefert der Standard vor allem den organisatorischen Rahmen, nicht jedoch automatisch die konkrete technische Ausgestaltung komplexer OT-Umgebungen.
Einordnung:
Managementsystem – Fokus auf Struktur, Nachweisbarkeit und kontinuierliche Verbesserung.
IEC 62443 – Sicherheit in industriellen und OT-Systemen
Die IEC 62443 ist eine Normenreihe für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme. Sie ist besonders dort relevant, wo klassische IT-Sicherheitsansätze allein nicht ausreichen, etwa in Produktionsumgebungen, Infrastruktursystemen, Wasserwerken, Energieanlagen oder verfahrenstechnischen Anlagen.
Anders als allgemeine Managementstandards betrachtet die IEC 62443 sehr konkret die Anforderungen in OT-Umgebungen: Segmentierung, Zonen- und Kommunikationskonzepte, Rollen- und Rechtekonzepte, Härtung, sichere Fernzugriffe, Patch- und Änderungsprozesse sowie die Zusammenarbeit zwischen Betreiber, Integrator und Hersteller.
Gerade in Bestandsanlagen ist die IEC 62443 deshalb oft besonders hilfreich, weil sie technische und organisatorische Anforderungen enger an die reale Anlagenpraxis koppelt.
Einordnung:
OT-spezifisch – Fokus auf sichere Architektur und Betrieb industrieller Systeme.
Wie die Regelwerke zusammenhängen
Die Begriffe werden oft nebeneinander genannt, obwohl sie unterschiedliche Ebenen adressieren. Genau deshalb ist eine klare Einordnung wichtig:
CRA betrachtet die Sicherheit des Produkts.
NIS2 betrachtet die Pflichten des betroffenen Unternehmens.
ISO 27001 beschreibt den Rahmen für ein strukturiertes Sicherheitsmanagement.
IEC 62443 konkretisiert Sicherheitsanforderungen im industriellen und OT-nahen Umfeld.
Diese Regelwerke ersetzen sich also nicht gegenseitig. Sie greifen vielmehr ineinander und beleuchten unterschiedliche Aspekte derselben Gesamtaufgabe.
Was das in der Praxis bedeutet
Für viele Unternehmen ergibt sich daraus ein recht klares Bild:
Wer reguliert betroffen ist, muss Sicherheitsmaßnahmen nachweisbar
umsetzen und organisatorisch verankern.
Wer Systeme betreibt, muss technische Risiken realistisch bewerten und
beherrschbar machen.
Wer Produkte beschafft oder integriert, muss die Sicherheit der
eingesetzten Komponenten mit berücksichtigen.
Wer im OT-Umfeld arbeitet, benötigt mehr als allgemeine IT-Sicherheitsmaßnahmen.
Entscheidend ist daher nicht, möglichst viele Begriffe zu nennen, sondern die eigene Situation korrekt einzuordnen: Welche Pflichten gelten? Welche Standards helfen wirklich bei der Umsetzung? Und wo liegen die größten praktischen Risiken?
Fazit
CRA, NIS2, ISO 27001 und IEC 62443 stehen nicht für dasselbe – und genau das wird in der Praxis häufig verwechselt.
Der CRA betrifft vor allem die Sicherheit digitaler Produkte. NIS2 adressiert Pflichten von Unternehmen und Betreibern. ISO 27001 schafft den organisatorischen Rahmen für ein systematisches Sicherheitsmanagement. IEC 62443 unterstützt die konkrete Umsetzung in industriellen und betriebskritischen Umgebungen.
Wer diese Unterschiede versteht, kann Anforderungen gezielt priorisieren, technische und organisatorische Maßnahmen sinnvoll kombinieren und aus regulatorischem Druck eine belastbare Sicherheitsstruktur entwickeln.
Sie möchten wissen, welche Anforderungen für Ihre Umgebung
tatsächlich relevant sind?
orbit seal unterstützt bei der praxisnahen Einordnung, bei der
technischen Umsetzung und bei der Integration von Sicherheitsmaßnahmen
in bestehende IT- und OT-Strukturen.