CVD Portal
← Zurück zum BlogRead in English →
CRA-Konformität

Die vier Wege der Konformitätsbewertung unter dem EU Cyber Resilience Act

Von Das CVD-Portal-Team
12 Min. Lesezeit

Der EU Cyber Resilience Act (CRA) schreibt keinen einzigen Compliance-Weg vor. Er definiert ein gestuftes System von Konformitätsbewertungsverfahren, bei dem der Weg, den ein Hersteller einschlagen muss, davon abhängt, wie sein Produkt klassifiziert wird, und die Wahl der Klasse hat erhebliche rechtliche Folgen. Diese Klassifizierung falsch zu bestimmen oder das einschlägige Verfahren falsch anzuwenden, schafft eine rechtliche Exposition, die keine Konformitätserklärung angemessen abdecken kann.

Dieser Beitrag legt die vier Wege der Konformitätsbewertung dar, die Produktklassifizierungsstufen, die bestimmen, welcher gilt, und die praktischen Folgen für Hersteller, die sich auf die CRA-Konformität vorbereiten.

Die Grundlage: Konformitätsvermutung

Bevor wir die Bewertungswege untersuchen, muss ein Begriff klar verstanden werden: die Konformitätsvermutung.

Wenn die Europäische Kommission eine harmonisierte Norm im Amtsblatt der EU zitiert, vermittelt sie förmlich, dass ein Hersteller, der diese Norm vollständig anwendet, davon ausgehen kann, die entsprechenden Anforderungen des CRA zu erfüllen. Das ist eine rechtliche Brücke zwischen der Verordnung und dem Ökosystem der technischen Normen, keine Näherung und kein Schutz auf Basis bloßer Bemühung.

Nicht jede Norm erhält diesen Status. Für jene, die ihn erhalten, bietet er die stärkste verfügbare Grundlage für Selbstbewertung und Erklärung. Speziell für Produkte der wichtigen Klasse 1 ist die Anwendung einer harmonisierten Norm mit Konformitätsvermutung nicht optional: Sie ist eine Bedingung für die zulässige Selbstbewertung.

Produktklassifizierung: Vier Stufen, vier unterschiedliche Pflichten

Standardklasse

Jedes Produkt mit digitalen Elementen, das nicht als wichtige Klasse 1, wichtige Klasse 2 oder kritisch gilt, fällt in die Standardklasse. Diese deckt schätzungsweise etwa 80 % der Produkte mit digitalen Elementen ab. Die Selbstbewertung (Modul A oder interne Kontrolle) ist vollständig zulässig. Der Hersteller wählt relevante Normen nach eigenem Ermessen und trägt die volle Verantwortung für die Konformitätserklärung.

Wichtige Klasse 1

Die Selbstbewertung bleibt verfügbar, jedoch unter einer strengeren Bedingung: Der Hersteller muss eine harmonisierte Norm vollständig anwenden, die eine Konformitätsvermutung trägt. Eine teilweise Anwendung erfüllt die Anforderung nicht. Die Norm muss vollständig angewendet werden.

Wichtige Klasse 2

Eine Bewertung durch Dritte ist verpflichtend. Eine notifizierte Stelle (eine offiziell benannte externe Organisation) muss eine EU-Baumusterprüfung durchführen. Unter dem CRA reicht der Umfang der notifizierten Stelle über die Produkteigenschaften hinaus bis zu den Prozessanforderungen. Konkret muss der Prozess zur Schwachstellenbehandlung des Herstellers bewertet werden und unterliegt als Teil der laufenden Compliance regelmäßigen Audits. Das ist ein wesentlicher Unterschied zur Funkanlagenrichtlinie und den meisten anderen EU-Produktverordnungen, bei denen sich die Bewertung durch die notifizierte Stelle allein auf die Produkteigenschaften konzentriert.

Kritische Produkte

Eine Zertifizierung nach einem genehmigten EU-Cybersicherheitsschema ist erforderlich. Delegierte Verordnungen in bestimmten Mitgliedstaaten können zusätzliche Anforderungen auferlegen. Derzeit ist das einzige genehmigte Schema das EUCC (das europäische Cybersicherheitszertifizierungsschema auf Basis von Common Criteria), akzeptiert mindestens auf der Vertrauenswürdigkeitsstufe „substanziell“. ENISA ist mit der Entwicklung weiterer Schemata beauftragt; eine Überarbeitung des Cybersecurity Act wird erwartet, um die verfügbaren Optionen zu erweitern.

Die Bewertungsverfahren im Detail

Modul A: Interne Kontrolle (Selbstbewertung)

Der Hersteller weist in eigener Verantwortung nach, dass das Produkt die grundlegenden Cybersicherheitsanforderungen des CRA gemäß Anhang I, Teile 1 und 2, erfüllt. Eine Konformitätserklärung wird vom Hersteller ausgestellt. Für Produkte der Standardklasse liegt die Normenauswahl im Ermessen des Herstellers. Für die wichtige Klasse 1 muss eine harmonisierte Norm mit Konformitätsvermutung vollständig angewendet werden.

Modul B: EU-Baumusterprüfung (notifizierte Stelle)

Eine notifizierte Stelle prüft die technische Auslegung eines Produkttyps (nicht jedes einzelne Exemplar) und stellt ein EU-Baumusterprüfbescheinigung aus. Das ist der stärkste unabhängig geprüfte Konformitätsnachweis, den ein Hersteller halten kann. Die notifizierte Stelle bewertet sowohl Produkt- als auch Prozessanforderungen, mit regelmäßigen Audits der Schwachstellenbehandlung, die in den laufenden Compliance-Zyklus eingebaut sind. Diese Bescheinigung ist für Produkte der Standardklasse freiwillig verfügbar und für die wichtige Klasse 2 vorgeschrieben.

Modul C: Interne Fertigungskontrolle (Produktvarianten)

Neben Modul B verwendet, ist dieses Verfahren für Produktfamilien und -varianten gedacht. Wenn Produkte dieselbe Cybersicherheitsbasis teilen, sich aber in nichtdigitalen Merkmalen wie Gehäuse, Farbe, Leistungsklasse oder anderen physischen Attributen unterscheiden, kann eine Ähnlichkeitserklärung die Familie abdecken, ohne für jede Variante eine eigene Bewertung zu verlangen. Unter dem CRA, der sich auf den digitalen statt den analogen Bereich konzentriert, kann dies ein praktisches Werkzeug für Hersteller mit breiten Produktportfolios sein.

Modul H: Umfassende Qualitätssicherung

Statt einen bestimmten Produkttyp zu bewerten, bewertet die notifizierte Stelle das Qualitätsmanagementsystem des Herstellers. Ein bestätigtes Qualitätssicherungssystem erlaubt es dem Hersteller, Produkte über seine gesamte Reihe hinweg als konform zu erklären, auch in höheren Risikoklassen. Dieses Modul wird in der Praxis seltener verwendet; seine Inanspruchnahme unter der Funkanlagenrichtlinie war begrenzt, und es bleibt abzuwarten, wie attraktiv es sich unter dem CRA erweist.

Zertifizierungsschemata: EUCC

Für kritische Produkte ist eine Zertifizierung nach einem von ENISA unter dem Cybersecurity Act genehmigten Schema erforderlich. Das EUCC ist derzeit das einzige genehmigte Schema. Eine Überarbeitung des Cybersecurity Act ist im Gange, die die Zahl der verfügbaren Schemata in den kommenden Jahren erweitern dürfte.

Open-Source-Software

Open-Source-Software ist nicht von der CRA-Konformitätsbewertung ausgenommen. Ihre verfügbaren Verfahren sind jedoch analog zu denen der Standardklasse und spiegeln die besondere Natur der Entwicklungs- und Vertriebsmodelle von Open Source wider.

Warum manche Hersteller eine freiwillige Bewertung durch Dritte anstreben

Selbst dort, wo die Selbstbewertung rechtlich ausreicht (zum Beispiel bei Produkten der Standardklasse), wächst das Interesse der Hersteller, freiwillig eine EU-Baumusterprüfung anzustreben. Die daraus resultierende Bescheinigung liefert einen unabhängig prüfbaren Konformitätsnachweis. In Beschaffungsprozessen von Kunden, regulierten Lieferketten und öffentlichen Ausschreibungen kann dieses Maß an Vertrauenswürdigkeit erhebliches praktisches Gewicht haben, auch wenn es keine regulatorische Anforderung ist.

Wesentliche Erkenntnisse für Hersteller

  • Bestimmen Sie, in welche Klassifizierungsstufe jedes Ihrer Produkte fällt, bevor Sie einen Weg der Konformitätsbewertung wählen.
  • Für die wichtige Klasse 1 reicht die Verwendung einer harmonisierten Norm nicht aus: Die Norm muss eine Konformitätsvermutung tragen und vollständig angewendet werden.
  • Für die wichtige Klasse 2 sollten Sie regelmäßige Audits Ihres Schwachstellenbehandlungsprozesses durch eine notifizierte Stelle einplanen. Das ist eine laufende Pflicht, keine einmalige Bewertung.
  • Die freiwillige EU-Baumusterprüfung für Produkte der Standardklasse liefert den stärksten verfügbaren Konformitätsnachweis und wird im B2B- und Beschaffungskontext zunehmend gefordert.
  • Open-Source-Software hat eine ähnliche Flexibilität wie die Standardklasse, ist aber nicht von den Konformitätspflichten ausgenommen.

Schwachstellenbehandlung: Die Prozessanforderung, die sich durch jede Stufe zieht

Ein roter Faden, der sich durch jede Klassifizierungsstufe zieht, ist die Schwachstellenbehandlung. Für die wichtige Klasse 2 und höher prüft die notifizierte Stelle sie direkt und regelmäßig. Für Produkte der Standardklasse ist sie Teil der grundlegenden Anforderungen, gegen die der Hersteller selbst erklärt. Durchgängig behandelt der CRA die Schwachstellenbehandlung nicht als optionale Best Practice, sondern als zentrale Anforderung an die Produktkonformität.

Die Meldepflichten, die auf diesem Prozess aufsitzen, nach Artikel 14, treten am 11. September 2026 in Kraft. Diese Frist gilt für Produkte, die bereits auf dem Markt sind, unabhängig davon, wo ein Hersteller auf dem breiteren Zeitplan der Konformitätsbewertung steht.

Mehr aus dem Blog
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

9 Min. LesezeitCRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

9 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten