Harmonisierte Norm
Eine europäische Norm, die von einer Europäischen Normungsorganisation (CEN, CENELEC oder ETSI) auf Ersuchen der Europäischen Kommission entwickelt wurde. Wendet ein Hersteller eine harmonisierte Norm an, die im Amtsblatt der EU veröffentlicht wurde, so wird vermutet, dass er die von dieser Norm erfassten wesentlichen Cybersicherheitsanforderungen ohne eigenständigen Nachweis erfüllt.
Quellenangaben
Regulierungstext
Artikel 27(1) der Verordnung (EU) 2024/2847:
„Produkte mit digitalen Elementen, die harmonisierten Normen oder Teilen davon entsprechen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, werden als konform mit den wesentlichen Cybersicherheitsanforderungen gemäß Anhang I angesehen, die von diesen Normen oder Teilen davon abgedeckt werden."
Rolle harmonisierter Normen im CRA
- Freiwillig — Hersteller sind nicht verpflichtet, harmonisierte Normen anzuwenden, müssen dann aber die Konformität anderweitig nachweisen
- Konformitätsvermutung — gilt nur für die spezifischen Anforderungen, die von der Norm abgedeckt werden
- Teilanwendung — ein Hersteller kann nur die relevanten Teile einer harmonisierten Norm anwenden
Aktuelle Lage
Zum Zeitpunkt des Inkrafttretens der Verordnung (EU) 2024/2847 existieren noch keine CRA-spezifischen harmonisierten Normen. Die Kommission hat CEN, CENELEC und ETSI mit der Entwicklung beauftragt. Bis zur Veröffentlichung im Amtsblatt:
- Können Gemeinsame Spezifikationen als Übergangsmaßnahme erlassen werden (Art. 27(3))
- Können Hersteller auf bestehende technische Normen zurückgreifen (z. B. ETSI EN 303 645, IEC 62443, ISO/IEC 27001), jedoch ohne formelle Konformitätsvermutung