Blackfort Technology

CRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?

Blackfort Technology · Wissen zum Cyber Resilience Act

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) teilt Produkte mit digitalen Elementen in vier Risikoklassen ein. Von dieser Einordnung hängt ab, welches Konformitätsbewertungsverfahren ein Hersteller durchlaufen muss, bevor das Produkt die CE-Kennzeichnung erhalten und auf dem EU-Markt bereitgestellt werden darf. Dieser Artikel erklärt die Klassen, nennt typische Beispiele und zeigt, welcher Prüfweg für welche Kategorie gilt.

Volle Produktanforderungen des CRA — einschließlich der CE-Kennzeichnungspflicht — gelten ab dem 11. Dezember 2027. Wer jetzt prüft, in welche Klasse sein Produkt typischerweise fällt, gewinnt wertvolle Zeit für Entwicklungsanpassungen, Dokumentation und ggf. die Beauftragung einer notifizierten Stelle.

Das risikobasierte Klassensystem im Überblick

Der CRA verfolgt einen risikobasierten Ansatz: Je kritischer ein Produkt für die Sicherheit von Nutzern, Infrastrukturen oder der Gesellschaft ist, desto strenger sind die Anforderungen an den Nachweis der Konformität. Die Grundstruktur:

Klasse Rechtsgrundlage Konformitätsbewertung Notifizierte Stelle
Standard Default (kein Anhang III/IV) Interne Kontrolle (Modul A) Nicht erforderlich
Wichtig — Klasse I Anhang III, Teil I Selbstbewertung nur bei Anwendung harmonisierter Normen/gemeinsamer Spezifikationen; sonst Drittprüfung Bedingt erforderlich
Wichtig — Klasse II Anhang III, Teil II EU-Baumusterprüfung (Modul B) + Konformität mit der Bauart (Modul C) oder umfassende Qualitätssicherung (Modul H) Immer erforderlich
Kritisch Anhang IV Beteiligung einer notifizierten Stelle oder verpflichtendes EU-Zertifizierungsschema Immer erforderlich

Die konkrete Produktliste für die Klassen I und II wurde durch die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 mit technischen Beschreibungen konkretisiert. Da einzelne Zuordnungen auslegungsbedürftig sein können, sollten Hersteller die Klassifizierung ihres Produkts im Zweifel fachlich begleiten lassen.

Klasse Standard: Die Regel — Selbstbewertung genügt

Der überwiegende Teil der Produkte mit digitalen Elementen fällt in die Standard-Kategorie. Für diese Produkte genügt die interne Kontrolle nach Modul A: Der Hersteller bewertet selbst, ob sein Produkt die grundlegenden Cybersecurity-Anforderungen (Anhang I CRA) erfüllt, erstellt die technische Dokumentation und stellt die EU-Konformitätserklärung aus. Eine Prüfung durch eine notifizierte Stelle ist nicht vorgeschrieben.

Typische Produkte dieser Kategorie (nicht abschließend):

  • Einfache mobile Apps ohne sicherheitskritische Funktion
  • Computerspiele
  • Smart-Speaker für den Heimbereich
  • Speicherchips ohne eigenständige Sicherheitsfunktion
  • Smarte Haushaltsgeräte (sofern keine Klasse-I-Funktion übernommen wird)

Auch für Standard-Produkte gilt: Security-by-Design, Schwachstellen-Handling, SBOM als Teil der technischen Dokumentation sowie die Meldepflichten ab dem 11. September 2026 sind einzuhalten. Die Klassenzugehörigkeit erleichtert nur den Konformitätsbewertungsweg — sie reduziert nicht die materiellen Sicherheitsanforderungen.

Wichtige Produkte — Klasse I: Selbstbewertung unter Bedingungen

Für Produkte der Klasse I (Anhang III, Teil I) ist eine Selbstbewertung weiterhin möglich — aber nur, wenn der Hersteller nachweislich harmonisierte Normen, gemeinsame Spezifikationen oder ein anerkanntes EU-Cybersecurity-Zertifizierungsschema angewandt hat. Fehlt dieser Nachweis, muss eine notifizierte Stelle eingebunden werden.

Das bedeutet in der Praxis: Hersteller von Klasse-I-Produkten, die bereits auf etablierte technische Standards setzen (z. B. einschlägige ETSI-Normen, sobald diese unter dem CRA harmonisiert sind), können Aufwand und Kosten für Drittprüfungen vermeiden. Wer ohne harmonisierte Norm arbeitet, kommt um eine externe Prüfung nicht herum.

Typische Produkte der Klasse I (schematisch, typischerweise — keine verbindliche Einzelfallbewertung):

  • Software für Identitäts- und Zugriffsmanagement (IAM)
  • Browser und browserähnliche Produkte
  • Passwortmanager
  • Software zur Malware-Erkennung und Endpoint-Schutz
  • VPN-Produkte
  • Netzwerkmanagement-Tools
  • SIEM-Systeme (Security Information and Event Management)
  • Boot-Manager und sichere Boot-Komponenten
  • Public-Key-Infrastruktur (PKI) und Zertifikatsverwaltung
  • Router, Modems und Switches
  • Mikroprozessoren und Mikrocontroller mit sicherheitsbezogenen Funktionen

Wichtige Produkte — Klasse II: Notifizierte Stelle verpflichtend

Produkte der Klasse II (Anhang III, Teil II) unterliegen einer deutlich strengeren Anforderung: Die Beteiligung einer notifizierten Stelle ist in jedem Fall verpflichtend, unabhängig davon, ob harmonisierte Normen angewandt werden oder nicht. Das Konformitätsbewertungsverfahren folgt entweder dem Weg Modul B + Modul C (EU-Baumusterprüfung plus Konformitätsnachweis zur Bauart) oder dem Modul H (umfassende Qualitätssicherung).

Für Hersteller bedeutet das: Kapazitätsplanung bei notifizierten Stellen sollte frühzeitig beginnen. Da viele Hersteller gleichzeitig auf den Markt drängen werden, ist mit Engpässen bei akkreditierten Prüfstellen zu rechnen.

Typische Produkte der Klasse II (schematisch — keine verbindliche Einzelfallbewertung):

  • Hypervisoren und Container-Runtimes
  • Hardware-Firewalls sowie Systeme zur Angriffserkennung und -abwehr (IDS/IPS)
  • Manipulationssichere Mikroprozessoren (Tamper-Resistant)
  • Manipulationssichere Mikrocontroller

Kritische Produkte: Höchste Anforderungen an den Konformitätsnachweis

Produkte der Klasse „kritisch" (Anhang IV) tragen das höchste Risikopotenzial für Sicherheit und kritische Infrastruktur. Hier ist die Beteiligung einer notifizierten Stelle ausnahmslos verpflichtend — oder es muss ein verpflichtendes EU-Zertifizierungsschema angewandt werden, sobald ein solches für die betreffende Produktkategorie vorliegt.

Typische Produkte dieser Kategorie:

  • Smartcards und vergleichbare Produkte
  • Secure Elements (Hardware-Sicherheitsmodule auf Chipebene)
  • Smart-Meter-Gateways

Das Kernfunktions-Prinzip: Worauf es bei der Einordnung ankommt

Ob ein Produkt als „wichtig" oder „kritisch" gilt, hängt nicht primär an Markennamen oder Branchenbezeichnungen, sondern an der tatsächlich übernommenen Funktion. Ein Produkt, das typischerweise in der Standard-Kategorie verortete Aufgaben übernimmt, kann in eine höhere Klasse fallen, wenn es zugleich Kernfunktionen eines Klasse-I- oder Klasse-II-Produkts ausübt (z. B. ein Gerät, das neben Heimautomation auch PKI-Dienste bereitstellt).

Die Durchführungsverordnung (EU) 2025/2392 liefert technische Beschreibungen zur Einordnung. Da die endgültige Klassifizierung eines konkreten Produkts von Funktion, Einsatzkontext und techn. Merkmalen abhängt, empfiehlt sich für komplexe Produkte eine strukturierte Betroffenheits- und Klassifizierungsanalyse.

Konformitätsbewertung: Die Verfahren im Detail

Modul A — Interne Kontrolle

Der Hersteller erstellt die technische Dokumentation, bewertet die Konformität selbst, stellt die EU-Konformitätserklärung aus und bringt die CE-Kennzeichnung an. Keine externe Stelle involviert. Zulässig für Standard-Produkte sowie bedingt für Klasse-I-Produkte (bei Anwendung harmonisierter Normen).

Modul B — EU-Baumusterprüfung

Eine notifizierte Stelle prüft das Produktmuster und stellt eine EU-Baumusterprüfbescheinigung aus. Zwingend kombiniert mit Modul C.

Modul C — Konformität mit der Bauart

Der Hersteller erklärt, dass sein Produkt dem geprüften Baumuster entspricht. Erfordert ein Qualitätsmanagementsystem für die Produktion.

Modul H — Umfassende Qualitätssicherung

Eine notifizierte Stelle bewertet das gesamte Qualitätsmanagementsystem des Herstellers (Design, Fertigung, Endprüfung) und überwacht es laufend. Alternative zu Modul B+C für Klasse-II-Produkte.

Zeitplan und strategische Empfehlung

Die Fristen sind eng bemessen:

  • 11. September 2026: Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle sind einzuhalten — unabhängig von der Produktklasse.
  • 11. Dezember 2027: Volle Produktanforderungen inkl. CE-Kennzeichnung und Konformitätsbewertung für alle Klassen.

Hersteller von Klasse-II- und kritischen Produkten sollten jetzt mit der Klassifizierungsanalyse beginnen, da Auditkapazitäten bei notifizierten Stellen begrenzt sind und der Aufbau eines CRA-konformen Qualitätsmanagementsystems mehrere Monate in Anspruch nimmt. Hersteller von Klasse-I-Produkten profitieren davon, frühzeitig zu klären, ob anwendbare harmonisierte Normen existieren — das entscheidet über den Aufwand für die Konformitätsbewertung.

Für eine erste Einordnung, ob Ihr Produkt überhaupt in den Geltungsbereich des CRA fällt, empfiehlt sich zunächst der interaktive Betroffenheits-Check. Die konkrete Klassifizierung und den passenden Konformitätspfad besprechen wir gerne in einem persönlichen Erstgespräch.

Interne Links: Weiterführende Artikel

Häufige Fragen

Wie finde ich heraus, in welche CRA-Produktklasse mein Produkt fällt?
Der Ausgangspunkt ist Annex III des CRA (wichtige Produkte, Klasse I und II) und Annex IV (kritische Produkte). Die Durchführungsverordnung (EU) 2025/2392 konkretisiert die technischen Beschreibungen. Entscheidend ist die tatsächlich übernommene Funktion des Produkts, nicht sein Markenname. Da die Einordnung auslegungsbedürftig sein kann, empfiehlt sich für komplexe Produkte eine strukturierte Klassifizierungsanalyse mit fachlicher Begleitung.
Muss ich für ein Klasse-I-Produkt immer eine notifizierte Stelle einschalten?
Nein — bei Klasse-I-Produkten ist eine Selbstbewertung möglich, wenn der Hersteller nachweislich harmonisierte Normen, gemeinsame Spezifikationen oder ein anerkanntes EU-Cybersecurity-Zertifizierungsschema angewandt hat. Liegt kein solcher Nachweis vor, ist die Einbindung einer notifizierten Stelle verpflichtend.
Was ist der Unterschied zwischen Modul B+C und Modul H?
Beide Verfahren sind für Klasse-II-Produkte zulässig und erfordern eine notifizierte Stelle. Modul B+C setzt an der Produktebene an: Die notifizierte Stelle prüft das Baumuster (Modul B), der Hersteller bestätigt anschließend die Serienkonformität (Modul C). Modul H ist prozessorientiert: Die notifizierte Stelle bewertet und überwacht das gesamte Qualitätsmanagementsystem des Herstellers über Design, Fertigung und Endprüfung hinweg. Welcher Weg sinnvoller ist, hängt u. a. von bestehenden QM-Strukturen und Produktkomplexität ab.
Gelten die Produktklassen-Anforderungen auch schon vor dem 11. Dezember 2027?
Die CE-Kennzeichnungspflicht und die vollständigen Produktanforderungen gelten erst ab dem 11. Dezember 2027. Die Melde- und Berichtspflichten (aktiv ausgenutzte Schwachstellen, schwere Vorfälle) gelten jedoch bereits ab dem 11. September 2026 — unabhängig von der Produktklasse. Hersteller sollten daher frühzeitig die Klassifizierung klären und parallel die Meldeprozesse aufbauen.
Was bedeutet die Durchführungsverordnung (EU) 2025/2392 für die Klassifizierung?
Die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 konkretisiert die technischen Beschreibungen für Produkte der Klassen I, II und kritisch. Sie ist maßgeblich, wenn die Anhänge III und IV des CRA-Basistextes für ein bestimmtes Produkt mehrere Interpretationen zulassen. Die exakte Zuordnung einzelner Produkte zu einer Klasse sollte daher stets unter Berücksichtigung dieser Durchführungsverordnung erfolgen.

Sprechen wir über Ihre CRA-Readiness

Unsicher, in welche Klasse Ihr Produkt fällt? Christian Gebhardt, Geschäftsführer von Blackfort Technology und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs, begleitet Hersteller bei der CRA-Klassifizierung und der Auswahl des richtigen Konformitätspfads. Jetzt unverbindliches Erstgespräch anfragen.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.