Am 7. Mai 2026 veröffentlichte die Internationale Elektrotechnische Kommission (IEC) eine überarbeitete Fassung der IEC 62443-4-2:2026. Diese verpflichtet Hersteller von industriellen Steuerungstechnikgeräten, auf ihren offiziellen Websites eine öffentlich zugängliche, maschinenlesbare Seite mit einem Protokoll für Firmware-Sicherheitsupdates einzurichten. Diese Anforderung betrifft unmittelbar Exporteure industrieller Steuerungstechnikgeräte, Systemintegratoren und Anbieter von Cybersicherheitsdiensten, die auf Märkte mit hohen Compliance-Anforderungen wie die EU und die USA abzielen. Sie markiert eine bedeutende Weiterentwicklung der industriellen Cybersicherheits-Compliance von der Produktzertifizierung hin zur kontinuierlichen Überprüfung der Reaktionsfähigkeit.

Veranstaltungsübersicht

Am 7. Mai 2026 veröffentlichte die Internationale Elektrotechnische Kommission (IEC) eine überarbeitete Fassung der IEC 62443-4-2:2026 mit einer zusätzlichen Pflichtklausel: Alle Hersteller von industriellen Steuerungsgeräten, die dieser Norm entsprechen, müssen auf ihrer offiziellen Website eine separate Seite einrichten, auf der sie Protokolle zu Firmware-Sicherheitsupdates im RFC-8639-Standardformat bereitstellen. Dieses Protokoll muss die CVE-Nummer, die betroffene Firmware-Versionsnummer, das Datum der Patch-Veröffentlichung und den Verifizierungs-Hashwert des entsprechenden Firmware-Images enthalten. Diese Anforderung ist explizit in die Prüfpunkte der technischen Dokumentation für die EU-CE-Zertifizierung und die Checkliste für die Konformitätsprüfung des US-amerikanischen NIST Cybersecurity Framework (CSF) aufgenommen worden. Ausländische Systemintegratoren werden diese API-Schnittstelle direkt nutzen, um die Reaktionsfähigkeit chinesischer Hersteller im Falle von Sicherheitsvorfällen während der Beschaffungsbewertungsphase zu überprüfen.

Welche Teilsektoren werden betroffen sein?

Direkthandelsunternehmen

Unternehmen, die industrielle Steuerungstechnik wie SPSen, Prozessleitsysteme (DCS), HMIs und RTUs in die EU und nach Nordamerika exportieren, müssen ihren CE- oder FCC-Konformitätsantragsunterlagen eine URL für die Protokollseite und eine Erklärung zur Formatkonformität hinzufügen. Dies führt zu einer längeren Vorbereitungszeit für die technische Dokumentation vor dem Export. Zudem prüfen Zertifizierungsstellen, ob die Protokollseite authentisch und zugänglich ist, ob die Inhalte vollständig sind und ob das Format RFC 8639 entspricht.

Verarbeitungs- und Fertigungsunternehmen

Hersteller von Hardware wie Industriesteuerungen, Edge-Gateways und Sicherheitsrelais müssen ihren Firmware-Release-Prozess umstrukturieren. Dies hat folgende Auswirkungen: Vor der Veröffentlichung der Firmware müssen standardmäßige Logeinträge mit CVE-Zuordnungen, Versionsbereichen und Hashwerten synchron generiert und in interne Fehlermanagementsysteme (wie Jira oder Bugzilla) integriert werden. Die bisherige unstrukturierte Aktualisierungsmethode, bei der Kunden lediglich per E-Mail oder FTP benachrichtigt wurden, genügt den aktuellen Anforderungen nicht mehr.

Systemintegrator

Systemintegratoren, die Automatisierungsprojekte für ausländische Kunden durchführen (insbesondere in den Bereichen Energie, Wasser und Schienenverkehr), müssen in ihren Ausschreibungsunterlagen und Lieferergebnissen Nachweise über die Verfügbarkeit und die historische Antwortzeit der Logseiten der Lieferanten vorlegen. Dies hat folgende Auswirkungen: Die „Gültigkeit der Logseite der offiziellen Website“ muss im Vergabeverfahren als Ausschlusskriterium festgelegt werden; zudem müssen Screenshots der Logseiten und Ergebnisse von API-Aufrufen als Nachweis für die Einhaltung der CSF-Vorgaben bei der Projektabnahme aufbewahrt werden.

Unternehmen für Lieferkettendienstleistungen

Drittanbieter, die Beratung zur CE-Zertifizierung, NIST-CSF-Gap-Analysen und Dienstleistungen im Bereich Schwachstellenmanagement für industrielle Steuerungssysteme anbieten, müssen ihr Leistungsspektrum um die Architektur von Protokollseiten, die Überprüfung des RFC-8639-Formats und die Unterstützung automatisierter Generierungstools erweitern. Das bestehende Servicemodell, das lediglich die Prüfung statischer Dokumente umfasst, erfüllt nicht die Anforderungen an die kontinuierliche Wartung dynamischer Protokolle und erfordert daher ein Modul zur Überwachung der Konformität während des Betriebs und der Wartung.

Auf welche Schlüsselbereiche sollten sich die betroffenen Unternehmen oder Fachleute konzentrieren und wie sollten sie aktuell reagieren?

Beachten Sie den Veröffentlichungszeitpunkt der nachfolgenden Implementierungsdetails durch die IEC und die nationalen Akkreditierungsstellen.

Aktuell hat die IEC lediglich den Standardtext veröffentlicht und noch keine Implementierungsdetails wie die Dauer der Übergangsfrist, die Mindestarchivierungsdauer für Protokollseiten und die obligatorischen Hash-Algorithmen (SHA-256/SHA-3) bekanntgegeben. Unternehmen sollten daher die Ankündigungen auf der IEC-Website und die Anwendungsrichtlinien der von der EU benannten Stellen (z. B. TÜV Rheinland und SGS) veröffentlichten Richtlinien regelmäßig überprüfen.

Identifizieren und organisieren Sie die Firmware-Lebenszyklusknoten der wichtigsten Produktlinien, die auf Europa und die Vereinigten Staaten abzielen.

Priorisieren Sie die Firmware-Versionszuordnung für Controller-Modelle, die noch im Handel erhältlich sind und sich in der Mainstream-Support-Phase befinden, um den CVE-Abdeckungsstatus und die Patch-Pläne für jede Version zu verdeutlichen; vermeiden Sie Compliance-Breakpoints, wie z. B. neu verkaufte Geräte ohne entsprechende Logeinträge oder Logseiten, die lange Zeit leer bleiben, nachdem ältere Versionen nicht mehr aktualisiert werden.

Unterscheidung zwischen politischen Signalen und dem tatsächlichen Tempo der Umsetzung in der Wirtschaft

Obwohl diese Anforderung in die CE/NIST-Audit-Checkliste aufgenommen wurde, werden die meisten Zertifizierungsstellen 2026 weiterhin den Ansatz „erste Benachrichtigung über Nichteinhaltung mit Frist zur Behebung“ anstelle einer direkten Ablehnung verfolgen. Unternehmen sollten die Erstellung der Protokollseite als wichtige Implementierungsaufgabe für das dritte und vierte Quartal 2026 betrachten. Bestehende Versandprozesse müssen nicht sofort unterbrochen werden, die grundlegende Funktionalität muss jedoch vor der Auslieferung neuer Bestellungen bereitgestellt sein.

Infrastruktur für Protokollseiten und abteilungsübergreifende Kollaborationsmechanismen vorkonfigurieren.

Es wird empfohlen, dass Produktmanagement, Embedded-Entwicklung, Informationssicherheit und IT-Betrieb gemeinsam ein dediziertes Team für die Protokollseite einrichten, um einen schlanken API-Dienst bereitzustellen, der RFC 8639 unterstützt (und auf Basis von OpenAPI 3.0 implementiert werden kann), und um einen automatisierten Auslöseprozess für Firmware-Releases und Protokollaktualisierungen (z. B. GitLab CI/CD-Integration) einzurichten, um Verzögerungen oder Fehler durch manuelle Dateneingabe zu vermeiden.

Standpunkt des Herausgebers / Branchenbeobachtung

Dieses IEC-Update stellt weniger einen plötzlichen regulatorischen Schock als vielmehr die Formalisierung einer sich abzeichnenden Branchenerwartung dar: Cybersicherheit in industriellen Umgebungen muss nachweislich kontinuierlich gewährleistet sein – und nicht nur bei der Inbetriebnahme zertifiziert werden. Analysen zeigen, dass sich die Verantwortung von der Frage „Haben Sie das Problem behoben?“ hin zu „Kann jemand überprüfen, ob Sie das Problem behoben haben – und wann?“ verlagert. Aus Branchensicht signalisiert dies, dass Maschinenlesbarkeit und die Überprüfbarkeit durch Dritte nun grundlegende Merkmale der Vertrauensinfrastruktur darstellen und keine optionalen Erweiterungen mehr sind. Der Zeitplan deutet darauf hin, dass es sich um eine Schlüsselphase handelt – die Implementierung bleibt flexibel –, die jedoch innerhalb von 12 bis 18 Monaten operative Einsatzbereitschaft erfordert.

Abschluss
Die Veröffentlichung des Patches IEC 62443-4-2:2026 verlagert die Verantwortung für die Cybersicherheit industrieller Steuerungstechnik von statischer Konformität hin zu dynamischer Überprüfbarkeit. Unternehmen müssen ihre IT-Systeme nicht sofort komplett umbauen, sondern definieren eine wichtige Hürde: die Fähigkeit, ihren Sicherheitsreaktionsprozess extern standardisiert und nachvollziehbar darzustellen. Aktuell ist es sinnvoller, dies als „Vorab-Bewertung der Fähigkeiten“ für Märkte mit hohen Compliance-Anforderungen zu verstehen, anstatt als sofort wirksame Eintrittsbarriere. Unternehmen sollten es als entscheidende Chance begreifen, die Reife ihres Produktlebenszyklus-Sicherheitsmanagements zu verbessern.

Erläuterung der Informationsquelle: Die Hauptquelle ist der Text der Norm IEC 62443-4-2:2026, veröffentlicht auf der offiziellen Website der Internationalen Elektrotechnischen Kommission (IEC) (Version vom 7. Mai 2026).
Folgende Aspekte bedürfen weiterer Beobachtung: die spezifischen Prüfkriterien der Benannten Stellen der EU für diese Klausel, die Akzeptanz des RFC 8639-Formats in CE-technischen Dokumenten und ob die offizielle Version des NIST CSF 2.0 gleichzeitig auf diese Protokollierungsanforderung verweist.