CRA-Insights

Cyber Resilience Act

Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act

Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act

Stand: 2026-07-18

Bevor ein Produkt mit digitalen Elementen (PDE) unter dem Cyber Resilience Act (Verordnung (EU) 2024/2847) in der EU in Verkehr gebracht werden darf, muss der Hersteller nachweisen, dass es die grundlegenden Anforderungen aus Anhang I erfüllt. Dieser Nachweis erfolgt über eine Konformitätsbewertung nach Artikel 32, gefolgt von der CE-Kennzeichnung (Art. 30) und einer EU-Konformitätserklärung (Art. 28). Ein weit verbreitetes Missverständnis ist, dass hierfür stets eine benannte Stelle eingeschaltet werden müsse. Das trifft im Regelfall nicht zu: Der überwiegende Teil der Produkte kann sich selbst bewerten. Welcher Weg gilt, hängt von der Risikoklasse ab. Die folgenden Ausführungen sind allgemeine technisch-organisatorische Informationen und ersetzen keine rechtliche Beratung im Einzelfall; die endgültige Einordnung eines konkreten Produkts hängt von seinen Funktionen und dem jeweiligen Einsatzkontext ab.

Zeitlicher Rahmen: Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026. Die allgemeine Anwendung – und damit die Pflicht zu Konformitätsbewertung und CE-Kennzeichnung – beginnt am 11. Dezember 2027. Vor diesem Datum ist keine CE-Kennzeichnung nach CRA verpflichtend.

Vier Stufen, vier Wege

Der CRA teilt Produkte typischerweise in vier Stufen ein. Die Einordnung bestimmt, ob eine Selbstbewertung genügt oder eine dritte Stelle einzubinden ist. Details zu den Produktklassen behandeln wir gesondert unter CRA-Produktklassen.

  • Standard / nicht klassifiziert: alle PDE, die weder als „wichtig" (Anhang III) noch als „kritisch" (Anhang IV) gelten. Dies ist der Regelfall.
  • Wichtig – Klasse I (Anhang III, Kategorie I): z. B. Identitäts- und Privileged-Access-Management, Browser, Passwortmanager, Virenschutz, VPNs, Netzwerkmanagement-Software, SIEM, Betriebssysteme, Router/Modems/Switches, Smart-Home-Assistenten oder vernetzte Alarmanlagen.
  • Wichtig – Klasse II (Anhang III, Kategorie II): z. B. Hypervisoren und Container-Laufzeitumgebungen, Firewalls/IDS/IPS sowie manipulationssichere Mikroprozessoren und -controller.
  • Kritisch (Anhang IV): z. B. Hardware-Sicherheitsmodule (HSM), Smart-Meter-Gateways mit sicheren Kryptoprozessoren sowie Smartcards und Secure Elements.

Ob Ihr Produkt überhaupt in den Anwendungsbereich fällt, klären Sie am besten zuerst über unseren Betroffenheits-Check.

Die Verfahrensmodule (Anhang VIII)

Die konkreten Bewertungsverfahren – die „Module" – sind in Anhang VIII beschrieben. Für die Praxis sind drei Wege relevant:

Modul A – interne Kontrolle (Selbstbewertung)

Der Hersteller prüft und erklärt in eigener Verantwortung, dass das Produkt die Anforderungen aus Anhang I erfüllt, erstellt die technische Dokumentation (Anhang VII) und bringt anschließend die CE-Kennzeichnung an. Keine dritte Stelle ist beteiligt. Dies ist der Standardweg für nicht klassifizierte Produkte (Art. 32 Abs. 1).

Modul B + C – EU-Baumusterprüfung plus Konformität mit der Bauart

Eine benannte Stelle prüft das Baumuster (Modul B, EU-Baumusterprüfung) und stellt eine Bescheinigung aus; der Hersteller stellt anschließend die Übereinstimmung der Produktion mit dem geprüften Baumuster sicher (Modul C).

Modul H – umfassende Qualitätssicherung

Eine benannte Stelle bewertet und überwacht das Qualitätsmanagementsystem des Herstellers über den gesamten Lebenszyklus (Entwurf, Entwicklung, Produktion). Modul H bietet sich typischerweise für Hersteller an, die eine breite Produktpalette pflegen und ein einmal geprüftes System auf mehrere Produkte anwenden möchten, statt jedes Baumuster einzeln prüfen zu lassen.

Neben diesen Modulen kann in allen Stufen ein europäisches Cybersicherheits-Zertifizierungsschema nach der Verordnung (EU) 2019/881 als Nachweisweg dienen. Die Kategoriebeschreibungen der wichtigen und kritischen Produkte werden durch die Durchführungsverordnung (EU) 2025/2392 näher bestimmt.

Welcher Weg für welche Stufe?

StufeZulässiger Weg (Art. 32)Benannte Stelle nötig?
Standard / nicht klassifiziertModul A (Selbstbewertung); alternativ B+C, H oder ZertifizierungsschemaNein – im Regelfall Selbstbewertung
Wichtig – Klasse IModul A nur, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewandt werden; sonst Modul B+C oder HNein bei vollständiger Normanwendung, sonst Ja
Wichtig – Klasse IIStets über Dritte: Modul B+C, Modul H oder Zertifizierungsschema (Stufe „substanziell")Ja – keine Selbstbewertung
KritischEuropäisches Cybersicherheits-Zertifizierungsschema (Verordnung (EU) 2019/881, mindestens „substanziell"), wo vorgeschrieben; sonst die Wege der Klasse IIJa

Kernaussage: Eine benannte Stelle ist im Regelfall nur für wichtige Produkte der Klasse II und für kritische Produkte zwingend. Produkte der Klasse I können sich selbst bewerten, sofern die einschlägigen Normen vollständig angewandt werden – und der große Rest der Produkte ohnehin. „Alle Produkte brauchen eine benannte Stelle" ist also falsch.

Kritische Produkte und das Zertifizierungsschema

Für kritische Produkte nach Anhang IV kann die Kommission verlangen, dass die Konformität über ein europäisches Cybersicherheits-Zertifizierungsschema nach der Verordnung (EU) 2019/881 (Cybersecurity Act) auf mindestens der Vertrauensstufe „substanziell" nachgewiesen wird. Wo ein solches Schema (noch) nicht vorgeschrieben ist, stehen typischerweise die Wege der Klasse II offen.

CE-Kennzeichnung und die begleitenden Dokumente

Ist die Konformitätsbewertung erfolgreich abgeschlossen, folgen drei formale Schritte:

  1. Technische Dokumentation (Anhang VII): Produktbeschreibung, Entwurfs-, Entwicklungs- und Produktionsprozesse, Prozesse zur Schwachstellenbehandlung (Architektur, SBOM, CVD-Politik, Update-Verteilung), die auf Anhang I abgebildete Risikobewertung, Angaben zum Unterstützungszeitraum, angewandte Normen und Testberichte. Sie ist mindestens 10 Jahre – oder für die Dauer des Unterstützungszeitraums, je nachdem, was länger ist – aufzubewahren.
  2. EU-Konformitätserklärung (Art. 28, Inhalt in Anhang V): Produktkennung, Angaben zum Hersteller bzw. Bevollmächtigten, Erklärung unter alleiniger Verantwortung, angewandte Normen/Spezifikationen/Schemata und – sofern zutreffend – Name, Nummer und Verfahren der benannten Stelle.
  3. CE-Kennzeichnung (Art. 30): Mit dem Anbringen des CE-Zeichens erklärt der Hersteller die Übereinstimmung mit den Anforderungen des CRA.

Folgen bei fehlender oder falscher Bewertung

Die Konformitätspflichten sind bußgeldbewehrt. Verstöße gegen die grundlegenden Anforderungen aus Anhang I sowie gegen zentrale Herstellerpflichten können mit Geldbußen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (der jeweils höhere Betrag) geahndet werden. Für weitere Pflichten – darunter Teile der Konformitätsbewertung, der Konformitätserklärung und der CE-Kennzeichnung – liegt der Rahmen bei bis zu 10 Mio. Euro oder 2 %. Unvollständige oder irreführende Angaben gegenüber benannten Stellen oder Marktüberwachungsbehörden können mit bis zu 5 Mio. Euro oder 1 % geahndet werden. Diese Rahmen sind niedriger als die der DSGVO – die oberste Stufe liegt bei 15 Mio. Euro bzw. 2,5 %.

Was Hersteller jetzt tun sollten

Auch wenn die CE-Pflicht erst ab dem 11. Dezember 2027 greift, ist der Vorlauf knapp: Norm-Mapping, Risikobewertung, technische Dokumentation und – bei Klasse II oder kritisch – die frühzeitige Terminierung einer benannten Stelle brauchen Zeit. Zu beachten ist, dass harmonisierte Normen und gemeinsame Spezifikationen, die den Selbstbewertungsweg für Klasse I erst eröffnen, teils noch in Arbeit sind; ihre vollständige Anwendung setzt voraus, dass sie rechtzeitig vorliegen. Sinnvoll ist es, zuerst die Produktklasse festzustellen, dann den passenden Bewertungsweg zu wählen und die Dokumentation kontinuierlich aufzubauen – idealerweise so, dass sie am Stichtag prüffähig vorliegt. Einen Überblick über den gesamten Rechtsakt bietet unsere Seite zum Cyber Resilience Act.

Häufige Fragen

Braucht jedes Produkt unter dem CRA eine benannte Stelle?+
Nein. Im Regelfall ist eine benannte Stelle nur für wichtige Produkte der Klasse II (Anhang III, Kategorie II) und für kritische Produkte (Anhang IV) zwingend. Nicht klassifizierte Produkte können sich per Modul A selbst bewerten, und Produkte der Klasse I ebenfalls, sofern die einschlägigen harmonisierten Normen oder ein Zertifizierungsschema vollständig angewandt werden.
Was bedeuten die Module A, B+C und H?+
Die Module sind in Anhang VIII beschrieben. Modul A ist die interne Kontrolle bzw. Selbstbewertung ohne dritte Stelle. Modul B ist die EU-Baumusterprüfung durch eine benannte Stelle, ergänzt um Modul C (Konformität mit der Bauart in der Produktion). Modul H ist die umfassende Qualitätssicherung, bei der eine benannte Stelle das Qualitätsmanagementsystem über den gesamten Lebenszyklus bewertet.
Ab wann ist die CE-Kennzeichnung nach dem CRA verpflichtend?+
Die allgemeine Anwendung des CRA – und damit die Pflicht zu Konformitätsbewertung und CE-Kennzeichnung – beginnt am 11. Dezember 2027. Der CRA ist zwar bereits am 10. Dezember 2024 in Kraft getreten, doch vor dem 11. Dezember 2027 ist keine CE-Kennzeichnung nach CRA verpflichtend.
Welche Dokumente gehören zur CE-Kennzeichnung?+
Neben der CE-Kennzeichnung selbst (Art. 30) benötigt der Hersteller eine EU-Konformitätserklärung (Art. 28, Inhalt nach Anhang V) sowie die technische Dokumentation (Anhang VII). Letztere umfasst unter anderem Produktbeschreibung, Risikobewertung, SBOM, CVD-Politik und Testberichte und ist mindestens 10 Jahre oder für die Dauer des Unterstützungszeitraums aufzubewahren.
Wie werden kritische Produkte bewertet?+
Für kritische Produkte nach Anhang IV kann die Kommission verlangen, dass die Konformität über ein europäisches Cybersicherheits-Zertifizierungsschema nach der Verordnung (EU) 2019/881 auf mindestens der Stufe „substanziell" nachgewiesen wird. Wo ein solches Schema nicht vorgeschrieben ist, stehen typischerweise die Wege der Klasse II (Modul B+C oder H) offen.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).