Contents
- CRA Konformitätsbewertung
- Konformitätsbewertung nach dem Cyber Resilience Act (CRA)
- Ziel und Zweck der CRA‑Konformitätsbewertung
- Produktkategorien im Rahmen der CRA‑Konformitätsbewertung
- Konformitätsbewertungsverfahren nach Anhang VIII CRA
- Benannte Stellen (Notified Bodies)
- Technische Abgrenzung der Produktkategorien
- Verhältnis zur EU‑Cybersicherheitszertifizierung
- CRA‑Konformitätsbewertung nach Produktkategorie
CRA Konformitätsbewertung
Konformitätsbewertung nach dem Cyber Resilience Act (CRA)
Die CRA‑Konformitätsbewertung ist ein zentrales Element der Verordnung (EU) 2024/2847 („Cyber Resilience Act“, CRA). Sie legt fest, wie Hersteller von Produkten mit digitalen Elementen nachweisen müssen, dass ihre Produkte die grundlegenden Cybersicherheitsanforderungen erfüllen, bevor sie auf dem EU‑Markt bereitgestellt oder in Verkehr gebracht werden.
Der CRA verfolgt dabei einen risikobasierten Ansatz: Je höher die sicherheitsrelevante Bedeutung eines Produkts, desto strenger sind die Anforderungen an das Konformitätsbewertungsverfahren.
Ziel und Zweck der CRA‑Konformitätsbewertung
Die Konformitätsbewertung dient dazu,
- ein einheitliches Mindestniveau an Cybersicherheit für Hardware‑ und Softwareprodukte in der EU sicherzustellen,
- systemische Cyberrisiken entlang der Lieferkette zu reduzieren,
- Herstellern klare, überprüfbare Compliance‑Pflichten vor dem Inverkehrbringen vorzugeben,
- Marktüberwachungsbehörden eine belastbare Prüf‑ und Durchsetzungsgrundlage zu bieten.
Ohne erfolgreich durchgeführte Konformitätsbewertung darf ein Produkt nicht mit CE‑Kennzeichnung versehen und nicht rechtmäßig auf dem EU‑Markt angeboten werden.
Produktkategorien im Rahmen der CRA‑Konformitätsbewertung
Der Cyber Resilience Act unterscheidet drei Produktkategorien mit jeweils unterschiedlichen Konformitätsanforderungen:
Standardprodukte
Beispiele:
- Mobile Apps
- Computerspiele
- Smart Speaker
- Speicherchips
- Haushaltsgeräte mit digitalen Elementen
Konformitätsbewertung:
- Selbstbewertung durch den Hersteller zulässig
- Unabhängig davon, ob harmonisierte Normen angewendet werden
Der Hersteller erstellt die technische Dokumentation, führt die interne Kontrolle durch und erklärt die Konformität eigenverantwortlich.
Wichtige Produkte (Anhang III CRA)
Beispiele:
- Betriebssysteme
- Antivirensoftware
- Router
- Firewalls
- Netzwerk‑Management‑Systeme
- Bootmanager
Konformitätsbewertung:
- Selbstbewertung oder
- verpflichtende Einbindung einer Benannten Stelle, sofern keine harmonisierten Normen angewendet werden oder dies ausdrücklich vorgesehen ist
Hier greift das Prinzip der Vermutung der Konformität: Werden harmonisierte Normen vollständig angewendet, kann auf eine externe Stelle verzichtet werden.
Kritische Produkte (Anhang IV CRA)
Beispiele:
- Smartcards
- Sichere Elemente
- Smart‑Meter‑Gateways
- Hochkritische kryptografische Komponenten
Konformitätsbewertung:
- Zwingend durch eine Benannte Stelle
- Selbstbewertung ist ausgeschlossen
Diese Produkte gelten als besonders sicherheitskritisch und unterliegen daher stets einer unabhängigen Drittprüfung.
Konformitätsbewertungsverfahren nach Anhang VIII CRA
Die zulässigen Verfahren sind abschließend in Anhang VIII der CRA‑Verordnung geregelt. Sie umfassen u. a.:
- interne Fertigungskontrolle,
- EU‑Typprüfung,
- Konformität mit dem geprüften Typ,
- vollständige Qualitätssicherung.
Welches Verfahren anzuwenden ist, hängt von der jeweiligen Produktkategorie und vom regulatorischen Risiko ab.
Benannte Stellen (Notified Bodies)
Benannte Stellen sind private Konformitätsbewertungsstellen, die von einem EU‑Mitgliedstaat:
- geprüft,
- benannt,
- bei der Europäischen Kommission notifiziert und
- laufend überwacht werden.
Nach erfolgreicher Notifizierung werden sie in der NANDO‑Datenbank der Europäischen Kommission veröffentlicht und dürfen CRA‑Konformitätsbewertungen durchführen.
Die fachliche Kompetenz wird regelmäßig durch nationale Akkreditierungsstellen überprüft, koordiniert auf europäischer Ebene durch die European co‑operation for Accreditation (EA).
Technische Abgrenzung der Produktkategorien
Die konkrete technische Einordnung, welche Produkte als „wichtig“ oder „kritisch“ gelten, erfolgt über die Durchführungsverordnung (EU) 2025/2392. Sie konkretisiert die abstrakten Kategorien der Anhänge III und IV des CRA.
Verhältnis zur EU‑Cybersicherheitszertifizierung
Der CRA sieht vor, dass künftig Produkte, die im Rahmen eines EU‑Cybersicherheitszertifizierungssystems zertifiziert sind, unter bestimmten Voraussetzungen von der Beteiligung einer Benannten Stelle ausgenommen werden können.
Die genauen Bedingungen werden durch delegierte Rechtsakte der Europäischen Kommission festgelegt. Derzeit besteht keine automatische Befreiung.
CRA‑Konformitätsbewertung nach Produktkategorie
| Produktkategorie | CRA‑Anhang | Selbstbewertung | Benannte Stelle |
|---|---|---|---|
| Standardprodukte | – | Ja | Nein |
| Wichtige Produkte | Anhang III | Ja / Nein | Bedingt |
| Kritische Produkte | Anhang IV | Nein | Immer |
Die CRA‑Konformitätsbewertung etabliert ein abgestuftes, risikoorientiertes Prüfmodell für digitale Produkte in der EU. Hersteller müssen frühzeitig klären,
- in welche Produktkategorie ihr Produkt fällt,
- ob harmonisierte Normen angewendet werden können,
- und ob eine Benannte Stelle zwingend einzubeziehen ist.
Eine fehlerhafte oder unvollständige Konformitätsbewertung kann zu Marktzugangsverboten, Rückrufen und erheblichen Sanktionen führen.
Quelle: https://digital-strategy.ec.europa.eu/de/policies/cra-conformity-assessment