Die Mehrheit der vom CRA erfassten Produkte mit digitalen Elementen ist für die Selbsterklärung berechtigt. Das bedeutet, dass der Hersteller eine Konformitätserklärung unterzeichnen kann, ohne eine notifizierte Stelle einzubeziehen, auf Basis einer internen Bewertung, dass das Produkt die grundlegenden Anforderungen der Verordnung erfüllt. Besonders für KMU ist dieser Weg für die meisten ihrer Produkte wahrscheinlich der praktischste Pfad zur Konformität.
Die Selbsterklärung ist jedoch keine leichtere Version der Compliance. Die Erklärung, die der Hersteller unterzeichnet, hat dasselbe rechtliche Gewicht wie eine, die nach einer Bewertung durch Dritte ausgestellt wird. Die dahinterstehenden Nachweise müssen ausreichen, um diese Behauptung zu stützen. Zu verstehen, wann die Selbsterklärung zulässig ist, was der Beweisstandard verlangt und wie man einen internen Prozess aufbaut, der belastbare Ergebnisse hervorbringt, ist der praktische Kern der CRA-Konformität für die meisten Hersteller.
Wann die Selbsterklärung zulässig ist
Der CRA teilt Produkte mit digitalen Elementen anhand der Risikoklassifizierung in drei Stufen ein:
- Standardprodukte (die Mehrheit): Die Selbsterklärung ist nach Modul A (interne Fertigungskontrolle) zulässig. Der Hersteller führt seine eigene Konformitätsbewertung durch und unterzeichnet die Konformitätserklärung.
- Wichtige Produkte (Anhang III, Klasse I): Die Selbsterklärung ist zulässig, wenn der Hersteller harmonisierte europäische Normen anwendet, die die relevanten grundlegenden Anforderungen abdecken. Ohne diese Normen ist eine notifizierte Stelle erforderlich.
- Wichtige Produkte (Anhang III, Klasse II) und kritische Produkte (Anhang IV): Eine Bewertung durch Dritte durch eine notifizierte Stelle ist erforderlich. Die Selbsterklärung ist für diese Produktklassen nicht verfügbar.
Anhang III Klasse I umfasst Produkte wie Identitätsmanagement-Software, Browser, Passwortmanager, VPNs, Netzwerkmanagement-Werkzeuge und Software zur Verwaltung mobiler Geräte. Klasse II umfasst sensiblere Kategorien, darunter Betriebssystemkernel, Hypervisoren, Firewalls und manipulationssichere Elemente. Produkte, die in diese Klassen fallen, sollten dies früh in ihrer Compliance-Planung erkennen, da der Bewertungsweg über eine notifizierte Stelle längere Vorlaufzeiten und andere Dokumentationsanforderungen hat.
Für die meisten Hersteller vernetzter Hardware, Geräte mit eingebetteter Firmware, IoT-Produkte und Industriekomponenten gilt die Stufe der Standardprodukte, und die Selbsterklärung ist der passende Weg.
Was „Selbsterklärung“ tatsächlich bedeutet
Die Selbsterklärung nach Modul A bedeutet nicht, dass der Hersteller das Produkt einfach für konform erklärt. Sie bedeutet, dass der Hersteller eine systematische interne Konformitätsbewertung durchgeführt, die nach Anhang VII erforderliche technische Dokumentation erstellt hat und bereit ist, diese Dokumentation einer Marktüberwachungsbehörde auf Anfrage vorzulegen.
Die Konformitätserklärung ist das Ergebnis dieses Prozesses, nicht der Prozess selbst. Eine Erklärung ohne die zugrunde liegenden Nachweise zu unterzeichnen, ist eine rechtliche Exposition, keine Compliance-Lösung.
Die erwarteten Nachweise
Eine Selbsterklärung, die einer Prüfung standhalten kann, wird von vier miteinander verbundenen Kategorien von Nachweisen gestützt.
Mit den grundlegenden Anforderungen verknüpfte Risikobewertung
Die nach Artikel 13 erforderliche Cybersicherheits-Risikobewertung muss so strukturiert sein, dass jedes identifizierte Risiko mit der grundlegenden Anforderung verknüpft ist, für die es relevant ist, und dass jede grundlegende Anforderung durch eine Kontrolle adressiert wird, die ihrerseits durch einen Nachweis der Umsetzung gestützt ist. Eine Risikobewertung, die Bedrohungen identifiziert, sie aber nicht auf die von ihnen adressierten Anhang-I-Anforderungen zurückführt, ist für CRA-Zwecke unvollständig.
Die grundlegenden Anforderungen decken sowohl Produktsicherheitseigenschaften (sichere Konfiguration, Verringerung der Angriffsfläche, Integritätsschutz, Datenvertraulichkeit) als auch Pflichten zur Schwachstellenbehandlung (Meldungen annehmen, Schwachstellen offenlegen, Sicherheitsupdates bereitstellen) ab. Beide Kategorien müssen bewertet und nachgewiesen werden.
Design- und Testdokumentation
Die technische Dokumentation muss zeigen, dass das Produkt so gestaltet wurde, dass es die grundlegenden Anforderungen erfüllt, nicht bloß, dass es Tests besteht. Die Designdokumentation sollte die getroffenen Entscheidungen der Sicherheitsarchitektur zeigen, einschließlich der Begründung dieser Entscheidungen im Licht der Risikobewertung. Die Testdokumentation sollte zeigen, dass das Produkt gegen Sicherheitsanforderungen getestet wurde und dass die Ergebnisse die Konformitätsbehauptung stützen.
Prozesse zur Schwachstellenbehandlung und Meldung
Artikel 13 verlangt von Herstellern, vor dem Inverkehrbringen eines Produkts einen dokumentierten Prozess zum Empfangen und Behandeln von Schwachstellenmeldungen zu haben. Dieser Prozess muss öffentlich zugänglich sein (das VDP), und die internen Behandlungsverfahren müssen dokumentiert und einsatzbereit sein.
Für die Selbsterklärung muss der Hersteller nachweisen können, dass dieser Prozess existiert und korrekt funktioniert. Die Dokumentation der VDP-Richtlinie, des Erfassungs- und Triage-Workflows und des Eskalationswegs für die Artikel-14-Meldung bilden allesamt einen Teil des Beweissatzes. Ein Hersteller ohne ein einsatzbereites VDP kann keine Konformitätserklärung rechtmäßig unterzeichnen, da eine der grundlegenden Anforderungen, die er erklärt, nicht erfüllt ist.
Software-Stückliste
Das nach Artikel 13 erforderliche SBOM ist Teil der technischen Dokumentation und muss Marktüberwachungsbehörden auf Anfrage zur Verfügung stehen. Für Zwecke der Selbsterklärung muss das SBOM zum Zeitpunkt der Unterzeichnung der Erklärung aktuell sein und über den Unterstützungszeitraum des Produkts hinweg gepflegt werden.
Eine klare, prüfbereite Selbsterklärungsmethodik aufbauen
Der Unterschied zwischen einem belastbaren Selbsterklärungsprozess und einem nicht belastbaren liegt meist eher in Struktur und Nachvollziehbarkeit als im Umfang der erstellten Dokumentation.
Eine prüfbereite Selbsterklärungsmethodik hat die folgenden Eigenschaften:
Abdeckung. Jede grundlegende Anforderung wird adressiert. Es gibt keine Lücken, in denen eine Anforderung anerkannt, aber nicht bewertet wird, und keine Anforderungen, die implizit als erfüllt angenommen werden, ohne Nachweis.
Nachvollziehbarkeit. Von jeder grundlegenden Anforderung aus lässt sich direkt zu der Kontrolle oder Designentscheidung navigieren, die sie adressiert, und von dieser Kontrolle zum Nachweis ihrer Umsetzung. Diese Navigation sollte in der Dokumentationsstruktur ausdrücklich sein, nicht etwas, das ein Prüfer rekonstruieren muss.
Aktualität. Die Dokumentation spiegelt das Produkt wider, wie es zum Zeitpunkt der Bewertung existiert, nicht eine frühere Version. Wo sich das Produkt seit einer früheren Bewertung geändert hat, spiegelt die Dokumentation wider, was überprüft wurde und wann.
Verhältnismäßigkeit. Die Tiefe der Dokumentation ist auf die Komplexität und das Risiko des Produkts abgestimmt. Verhältnismäßigkeit entschuldigt keine Lücken; sie prägt das Maß an Detail, das auf jedes Element angewandt wird.
Kontrollierter Zugriff und Versionshistorie. Die Dokumentation existiert in einem System, in dem Änderungen protokolliert werden, Versionen aufbewahrt werden und der Zugriff zum Ändern von Aufzeichnungen kontrolliert wird. Das unterscheidet Dokumentation, die durch einen echten Prozess entstanden ist, von Dokumentation, die für eine Compliance-Inspektion zusammengestellt wurde.
Die fortlaufende Pflicht
Eine Konformitätserklärung wird zu einem Zeitpunkt unterzeichnet, aber die Compliance-Pflichten, die sie verkörpert, sind kontinuierlich. Wird eine Schwachstelle entdeckt, die in der Risikobewertung nicht behandelt wurde, muss die Bewertung überprüft und aktualisiert werden. Wird das Produkt so aktualisiert, dass sich sein Risikoprofil ändert, muss die Dokumentation überarbeitet werden, und wenn die Änderungen erheblich sind, muss die Erklärung möglicherweise neu ausgestellt werden.
Die Selbsterklärung ist keine einmalige Einreichung. Sie ist eine Aussage, dass das Produkt die Anforderungen zum Datum der Unterzeichnung erfüllt, gestützt durch Dokumentation, die korrekt bleiben muss. Hersteller, die sie als abgeschlossene Aufgabe statt als fortlaufende Pflicht behandeln, werden sich beim ersten erheblichen Wandel ihres Produkts oder seiner Bedrohungsumgebung außerhalb der Konformität wiederfinden.
Die Frist im September 2026 für die Meldepflichten bedeutet, dass die für die Selbsterklärung erforderlichen internen Prozesse, insbesondere das VDP und die Dokumentation der Schwachstellenbehandlung, deutlich vor der Konformitätsfrist im Dezember 2027 etabliert sein müssen. Diese jetzt aufzubauen, als operative Infrastruktur statt als am Ende zu erstellende Dokumentation, ist der wirksamste Weg zu einem Selbsterklärungsprozess, der standhält.