Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act
Bevor ein Produkt mit digitalen Elementen (PDE) unter dem Cyber Resilience Act (Verordnung (EU) 2024/2847) in der EU in Verkehr gebracht werden darf, muss der Hersteller nachweisen, dass es die grundlegenden Anforderungen aus Anhang I erfüllt. Dieser Nachweis erfolgt über eine Konformitätsbewertung nach Artikel 32, gefolgt von der CE-Kennzeichnung (Art. 30) und einer EU-Konformitätserklärung (Art. 28). Ein weit verbreitetes Missverständnis ist, dass hierfür stets eine benannte Stelle eingeschaltet werden müsse. Das trifft im Regelfall nicht zu: Der überwiegende Teil der Produkte kann sich selbst bewerten. Welcher Weg gilt, hängt von der Risikoklasse ab. Die folgenden Ausführungen sind allgemeine technisch-organisatorische Informationen und ersetzen keine rechtliche Beratung im Einzelfall; die endgültige Einordnung eines konkreten Produkts hängt von seinen Funktionen und dem jeweiligen Einsatzkontext ab.
Zeitlicher Rahmen: Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026. Die allgemeine Anwendung – und damit die Pflicht zu Konformitätsbewertung und CE-Kennzeichnung – beginnt am 11. Dezember 2027. Vor diesem Datum ist keine CE-Kennzeichnung nach CRA verpflichtend.
Vier Stufen, vier Wege
Der CRA teilt Produkte typischerweise in vier Stufen ein. Die Einordnung bestimmt, ob eine Selbstbewertung genügt oder eine dritte Stelle einzubinden ist. Details zu den Produktklassen behandeln wir gesondert unter CRA-Produktklassen.
- Standard / nicht klassifiziert: alle PDE, die weder als „wichtig" (Anhang III) noch als „kritisch" (Anhang IV) gelten. Dies ist der Regelfall.
- Wichtig – Klasse I (Anhang III, Kategorie I): z. B. Identitäts- und Privileged-Access-Management, Browser, Passwortmanager, Virenschutz, VPNs, Netzwerkmanagement-Software, SIEM, Betriebssysteme, Router/Modems/Switches, Smart-Home-Assistenten oder vernetzte Alarmanlagen.
- Wichtig – Klasse II (Anhang III, Kategorie II): z. B. Hypervisoren und Container-Laufzeitumgebungen, Firewalls/IDS/IPS sowie manipulationssichere Mikroprozessoren und -controller.
- Kritisch (Anhang IV): z. B. Hardware-Sicherheitsmodule (HSM), Smart-Meter-Gateways mit sicheren Kryptoprozessoren sowie Smartcards und Secure Elements.
Ob Ihr Produkt überhaupt in den Anwendungsbereich fällt, klären Sie am besten zuerst über unseren Betroffenheits-Check.
Die Verfahrensmodule (Anhang VIII)
Die konkreten Bewertungsverfahren – die „Module" – sind in Anhang VIII beschrieben. Für die Praxis sind drei Wege relevant:
Modul A – interne Kontrolle (Selbstbewertung)
Der Hersteller prüft und erklärt in eigener Verantwortung, dass das Produkt die Anforderungen aus Anhang I erfüllt, erstellt die technische Dokumentation (Anhang VII) und bringt anschließend die CE-Kennzeichnung an. Keine dritte Stelle ist beteiligt. Dies ist der Standardweg für nicht klassifizierte Produkte (Art. 32 Abs. 1).
Modul B + C – EU-Baumusterprüfung plus Konformität mit der Bauart
Eine benannte Stelle prüft das Baumuster (Modul B, EU-Baumusterprüfung) und stellt eine Bescheinigung aus; der Hersteller stellt anschließend die Übereinstimmung der Produktion mit dem geprüften Baumuster sicher (Modul C).
Modul H – umfassende Qualitätssicherung
Eine benannte Stelle bewertet und überwacht das Qualitätsmanagementsystem des Herstellers über den gesamten Lebenszyklus (Entwurf, Entwicklung, Produktion). Modul H bietet sich typischerweise für Hersteller an, die eine breite Produktpalette pflegen und ein einmal geprüftes System auf mehrere Produkte anwenden möchten, statt jedes Baumuster einzeln prüfen zu lassen.
Neben diesen Modulen kann in allen Stufen ein europäisches Cybersicherheits-Zertifizierungsschema nach der Verordnung (EU) 2019/881 als Nachweisweg dienen. Die Kategoriebeschreibungen der wichtigen und kritischen Produkte werden durch die Durchführungsverordnung (EU) 2025/2392 näher bestimmt.
Welcher Weg für welche Stufe?
| Stufe | Zulässiger Weg (Art. 32) | Benannte Stelle nötig? |
|---|---|---|
| Standard / nicht klassifiziert | Modul A (Selbstbewertung); alternativ B+C, H oder Zertifizierungsschema | Nein – im Regelfall Selbstbewertung |
| Wichtig – Klasse I | Modul A nur, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewandt werden; sonst Modul B+C oder H | Nein bei vollständiger Normanwendung, sonst Ja |
| Wichtig – Klasse II | Stets über Dritte: Modul B+C, Modul H oder Zertifizierungsschema (Stufe „substanziell") | Ja – keine Selbstbewertung |
| Kritisch | Europäisches Cybersicherheits-Zertifizierungsschema (Verordnung (EU) 2019/881, mindestens „substanziell"), wo vorgeschrieben; sonst die Wege der Klasse II | Ja |
Kernaussage: Eine benannte Stelle ist im Regelfall nur für wichtige Produkte der Klasse II und für kritische Produkte zwingend. Produkte der Klasse I können sich selbst bewerten, sofern die einschlägigen Normen vollständig angewandt werden – und der große Rest der Produkte ohnehin. „Alle Produkte brauchen eine benannte Stelle" ist also falsch.
Kritische Produkte und das Zertifizierungsschema
Für kritische Produkte nach Anhang IV kann die Kommission verlangen, dass die Konformität über ein europäisches Cybersicherheits-Zertifizierungsschema nach der Verordnung (EU) 2019/881 (Cybersecurity Act) auf mindestens der Vertrauensstufe „substanziell" nachgewiesen wird. Wo ein solches Schema (noch) nicht vorgeschrieben ist, stehen typischerweise die Wege der Klasse II offen.
CE-Kennzeichnung und die begleitenden Dokumente
Ist die Konformitätsbewertung erfolgreich abgeschlossen, folgen drei formale Schritte:
- Technische Dokumentation (Anhang VII): Produktbeschreibung, Entwurfs-, Entwicklungs- und Produktionsprozesse, Prozesse zur Schwachstellenbehandlung (Architektur, SBOM, CVD-Politik, Update-Verteilung), die auf Anhang I abgebildete Risikobewertung, Angaben zum Unterstützungszeitraum, angewandte Normen und Testberichte. Sie ist mindestens 10 Jahre – oder für die Dauer des Unterstützungszeitraums, je nachdem, was länger ist – aufzubewahren.
- EU-Konformitätserklärung (Art. 28, Inhalt in Anhang V): Produktkennung, Angaben zum Hersteller bzw. Bevollmächtigten, Erklärung unter alleiniger Verantwortung, angewandte Normen/Spezifikationen/Schemata und – sofern zutreffend – Name, Nummer und Verfahren der benannten Stelle.
- CE-Kennzeichnung (Art. 30): Mit dem Anbringen des CE-Zeichens erklärt der Hersteller die Übereinstimmung mit den Anforderungen des CRA.
Folgen bei fehlender oder falscher Bewertung
Die Konformitätspflichten sind bußgeldbewehrt. Verstöße gegen die grundlegenden Anforderungen aus Anhang I sowie gegen zentrale Herstellerpflichten können mit Geldbußen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (der jeweils höhere Betrag) geahndet werden. Für weitere Pflichten – darunter Teile der Konformitätsbewertung, der Konformitätserklärung und der CE-Kennzeichnung – liegt der Rahmen bei bis zu 10 Mio. Euro oder 2 %. Unvollständige oder irreführende Angaben gegenüber benannten Stellen oder Marktüberwachungsbehörden können mit bis zu 5 Mio. Euro oder 1 % geahndet werden. Diese Rahmen sind niedriger als die der DSGVO – die oberste Stufe liegt bei 15 Mio. Euro bzw. 2,5 %.
Was Hersteller jetzt tun sollten
Auch wenn die CE-Pflicht erst ab dem 11. Dezember 2027 greift, ist der Vorlauf knapp: Norm-Mapping, Risikobewertung, technische Dokumentation und – bei Klasse II oder kritisch – die frühzeitige Terminierung einer benannten Stelle brauchen Zeit. Zu beachten ist, dass harmonisierte Normen und gemeinsame Spezifikationen, die den Selbstbewertungsweg für Klasse I erst eröffnen, teils noch in Arbeit sind; ihre vollständige Anwendung setzt voraus, dass sie rechtzeitig vorliegen. Sinnvoll ist es, zuerst die Produktklasse festzustellen, dann den passenden Bewertungsweg zu wählen und die Dokumentation kontinuierlich aufzubauen – idealerweise so, dass sie am Stichtag prüffähig vorliegt. Einen Überblick über den gesamten Rechtsakt bietet unsere Seite zum Cyber Resilience Act.
Häufige Fragen
Braucht jedes Produkt unter dem CRA eine benannte Stelle?
Was bedeuten die Module A, B+C und H?
Ab wann ist die CE-Kennzeichnung nach dem CRA verpflichtend?
Welche Dokumente gehören zur CE-Kennzeichnung?
Wie werden kritische Produkte bewertet?
Sprechen wir über Ihre CRA-Readiness
Unsicher, welche CRA-Stufe und welcher Bewertungsweg für Ihr Produkt gelten? Blackfort Technology ordnet Ihre Produkte ein, wählt mit Ihnen den passenden Weg nach Art. 32 und bereitet technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung vor. Sprechen Sie uns an.
Erstgespräch anfragen Betroffenheit prüfen