NIS2, Cyber Resilience Act, IEC 62443 und CLC/TS 50701 — welche Dokumentationspflichten auf Zulieferer zukommen und wie Sie sich vorbereiten.
Wer als Zulieferer Komponenten mit digitalen Elementen an einen Bahn-OEM liefert, steht vor einer neuen Realität: Cybersecurity ist kein optionaler Zusatz mehr, sondern ein integraler Bestandteil der technischen Dokumentation. Gleich mehrere Regulierungen — NIS2, der Cyber Resilience Act und bahnspezifische Normen — fordern lückenlose, nachweisbare Dokumentation über den gesamten Produktlebenszyklus.
Die Cybersecurity-Dokumentation im Bahnsektor wird nicht durch eine einzelne Norm bestimmt, sondern durch ein Zusammenspiel aus europäischen Verordnungen und internationalen Standards. Für Komponentenlieferanten sind vor allem vier Regelwerke relevant.
Gilt für alle Produkte mit digitalen Elementen. Fordert Security by Design, SBOM, Schwachstellenmanagement und technische Dokumentation als Voraussetzung für die CE-Kennzeichnung. Erste Meldepflichten ab September 2026, volle Konformität ab Dezember 2027.
Seit Dezember 2025 geltendes Recht. Verpflichtet Betreiber und deren Lieferkette zu dokumentiertem Risikomanagement. Bahnbetreiber geben diese Anforderungen direkt an ihre OEMs und Zulieferer weiter.
Das Standardwerk für industrielle Cybersecurity. Teil 4-1 regelt den sicheren Entwicklungsprozess, Teil 4-2 die technischen Sicherheitsanforderungen an Komponenten — jeweils mit umfangreichen Dokumentationspflichten.
Überträgt die IEC 62443 auf den Bahnsektor und verknüpft sie mit dem RAMS-Lebenszyklus nach EN 50126. Fordert einen „Cybersecurity Case" als integrierten Sicherheitsnachweis.
Die konkrete Ausgestaltung der Anforderungen variiert je nach Produkt, Security Level und Kundenvorgaben — die grundlegende Struktur ist aber normübergreifend konsistent.
Die Threat Analysis and Risk Assessment ist das Fundament der gesamten Cybersecurity-Dokumentation — für den CRA ebenso wie für die IEC 62443 und die CLC/TS 50701.
Die technische Dokumentation muss nachvollziehbar darlegen, wie Cybersecurity-Anforderungen in die Architektur und das Design der Komponente eingeflossen sind. Der CRA spricht hier vom Prinzip „Security by Design".
Die SBOM ist eine der sichtbarsten neuen Anforderungen des Cyber Resilience Act — vergleichbar mit einem Zutatenverzeichnis für Software.
Die IEC 62443-4-1 verlangt den Nachweis, dass Cybersecurity systematisch in den gesamten Entwicklungsprozess integriert wurde. Viele OEMs fordern inzwischen eine entsprechende Zertifizierung.
Cybersecurity endet nicht mit der Auslieferung. Der CRA und die NIS2 verpflichten zu aktivem Schwachstellenmanagement — mindestens fünf Jahre nach Markteinführung.
Die CLC/TS 50701 fordert für Bahnanwendungen einen „Cybersecurity Case" — einen strukturierten Beweiskorpus, der nachweist, dass alle relevanten Anforderungen erfüllt wurden.
Die regulatorischen Fristen sind gestaffelt — aber die Vorbereitung braucht Zeit. Ein realistischer Umsetzungszeitraum liegt bei sechs bis achtzehn Monaten, je nach Ausgangslage.
Im Bahnsektor bleiben Komponenten oft zwanzig bis dreißig Jahre im Einsatz. Für Komponenten, die nicht auf aktuelle Sicherheitsstandards nachgerüstet werden können, müssen sogenannte Kompensationsmaßnahmen dokumentiert werden — alternative Schutzkonzepte wie Netzwerksegmentierung, Datendioden oder verstärktes Monitoring, die das verbleibende Risiko auf ein akzeptables Niveau bringen.
Praxishinweis: Viele dieser Anforderungen überschneiden sich. Wer bereits ein Informationssicherheits-Managementsystem nach ISO 27001 betreibt, deckt einen erheblichen Teil der organisatorischen Anforderungen ab. Planen Sie die Dokumentation von Anfang an integriert — nicht als separate Silos pro Norm.
Die technische Dokumentation für Cybersecurity im Bahnsektor ist kein einmaliger Akt, sondern ein lebender Prozess über den gesamten Produktlebenszyklus. Sie umfasst sechs zentrale Bereiche: Risikoanalyse, Sicherheitsarchitektur, SBOM, Prozessnachweis, Schwachstellenmanagement und den Cybersecurity Case.
Die Anforderungen kommen aus mehreren Richtungen gleichzeitig — CRA, NIS2, IEC 62443 und CLC/TS 50701 —, sind aber bewusst aufeinander abgestimmt. Wer den Aufbau integriert angeht und frühzeitig in Prozesse und Werkzeuge investiert, schafft nicht nur regulatorische Konformität, sondern auch einen nachhaltigen Wettbewerbsvorteil.
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche oder technische Beratung. Die dargestellten regulatorischen Anforderungen können sich durch nationale Umsetzungsgesetze im Detail unterscheiden. Stand: Juni 2026.
Wir helfen Ihnen, die regulatorischen Anforderungen strukturiert umzusetzen — von der Risikoanalyse bis zur Konformitätserklärung.
Oder rufen Sie uns gerne persönlich an: +49 (0) 23 81 - 33917-0