Wie verhält sich der CRA im Vergleich zu anderen globalen IoT-Sicherheitsvorschriften?

Der Cyber Resilience Act (CRA) der EU enthält verbindlichere und detailliertere Anforderungen als das NIST Cybersecurity Framework, das freiwillige Leitlinien statt verpflichtender Standards vorgibt. Während NIST flexible Umsetzungsansätze ermöglicht, definiert der CRA konkrete Compliance-Mechanismen mit rechtlich durchsetzbaren Vorgaben. Unternehmen, die sich bereits an den NIST-Prinzipien orientieren, profitieren jedoch von inhaltlichen Überschneidungen, die die Vorbereitung auf die CRA-Compliance erleichtern.

Im Vergleich zum britischen Product Security and Telecommunications Infrastructure Act (PSTI) ist der Anwendungsbereich des CRA breiter und technisch detaillierter ausgestaltet. Die britische Regelung konzentriert sich hauptsächlich auf Consumer-IoT-Geräte, während der CRA auch industrielle Systeme und Unternehmenssoftware umfasst. Beide Regelwerke verfolgen das Prinzip „Security by Design“, unterscheiden sich jedoch in Zertifizierungsverfahren und Durchsetzungsstrukturen.

Branchenspezifische Normen wie IEC 62443 für industrielle Steuerungssysteme ergänzen den CRA inhaltlich. Diese Normen bieten detaillierte technische Leitlinien für Operational-Technology-Umgebungen, während der CRA den rechtlichen Rahmen vorgibt, der deren Umsetzung verbindlich macht. Hersteller, die IEC-62443-Anforderungen bereits implementiert haben, erfüllen damit viele CRA-Vorgaben, müssen jedoch zusätzliche Dokumentations- und Konformitätsnachweise erbringen.

Die internationale Regulierungslandschaft entwickelt sich kontinuierlich weiter, und eine stärkere Angleichung verschiedener Regelwerke ist möglich. Global tätige Unternehmen sollten CRA-Compliance strategisch nutzen, um auch künftige regulatorische Anforderungen in anderen Märkten effizient zu erfüllen und ein ganzheitliches, international ausgerichtetes Cybersicherheitsprogramm aufzubauen.