„Wir haben die CE-Kennzeichnung. Damit sind wir compliant." Bisher war das für viele Hersteller ein abgeschlossener Vorgang: Dokumentation erstellen, Konformitätserklärung unterschreiben, fertig.
Unter dem Cyber Resilience Act ändert sich das grundlegend.
Was bedeutet die CE-Kennzeichnung unter dem CRA?
Die CE-Kennzeichnung ist kein eigenständiger Compliance-Status, sondern ein Sammelzeichen: Sie zeigt an, dass ein Produkt alle für es geltenden EU-Harmonisierungsvorschriften erfüllt. Für ein vernetztes Produkt gehören dazu typischerweise EMV-Richtlinie, Niederspannungsrichtlinie, RoHS, gegebenenfalls Funkanlagenrichtlinie oder Maschinenverordnung, und ab dem 11. Dezember 2027 der EU Cyber Resilience Act.
Der CRA wird also nicht „die" CE-Kennzeichnung, sondern ein zusätzlicher Pflichtbaustein. Ohne CRA-Konformitätsnachweis darf ein betroffenes Produkt nicht mehr im Binnenmarkt bereitgestellt werden. Auch dann nicht, wenn alle anderen Richtlinien lückenlos erfüllt sind.
Die Konformitätsbewertung im CRA-Kontext führt zur Ausstellung der EU-Konformitätserklärung. Diese Erklärung ist der formale rechtliche Akt, und genau hier liegt der Mythos: Die Unterschrift ist kein Endpunkt, sondern der Anfang einer kontinuierlichen Pflicht.
Warum CRA-Compliance keine Einmalaufgabe ist
Anders als bei klassischen Produktrichtlinien ist Cybersicherheit dynamisch. Eine Schwachstelle, die heute unbekannt ist, kann morgen aktiv ausgenutzt werden. Eine Open-Source-Bibliothek, die heute sicher ist, kann nächste Woche eine kritische CVE haben.
Der CRA reagiert darauf mit einer Daueraufgabe statt einem einmaligen Konformitätsakt:
- Technische Dokumentation und EU-Konformitätserklärung müssen mindestens zehn Jahre ab dem Tag des Inverkehrbringens aufbewahrt werden
- Bei Serienprodukten muss jedes ausgelieferte Gerät konform bleiben, auch wenn sich Softwarebibliotheken im Hintergrund ändern
- Schwachstellenmanagement läuft permanent: Identifikation, Bewertung, Behebung, Meldung
- SBOM-Daten müssen bei jedem Komponentenwechsel aktualisiert und nachvollziehbar bleiben
- Bei Einstellung der Geschäftstätigkeit oder Ende des Sicherheits-Supports müssen Behörden und Nutzer vorab informiert werden
Wer nicht kontinuierlich überwacht, dokumentiert und aktualisiert, verliert seine Konformität, und damit die Berechtigung, das Produkt im Binnenmarkt bereitzustellen.
Mythos vs. Fakt
Mythos: CE-Kennzeichnung erledigt, Thema abgehakt.
Fakt: Der CRA macht Cybersicherheit zur laufenden Pflicht. Wer nicht kontinuierlich überwacht, dokumentiert und aktualisiert, verliert seine Konformität.
Was Sie konkret etablieren müssen
CRA-Compliance ist ein lebendes System, kein Projekt mit Enddatum. Vier Bausteine müssen permanent funktionieren:
1. Schwachstellen-Monitoring mit Reaktionsprozess. Sie müssen wissen, welche Schwachstellen Ihre Produkte betreffen, und auf neue CVEs strukturiert reagieren können. Inklusive 24-Stunden-Erstmeldung bei aktiv ausgenutzten Schwachstellen.
2. SBOM-Pflege als Routine. Jeder Komponenten- oder Bibliothekswechsel muss in der SBOM nachgezogen werden. Ohne aktuelle SBOM keine belastbare Konformitätsaussage.
3. Dokumentation als laufender Prozess. Technische Dokumentation, Risikobewertung und EU-Konformitätserklärung sind keine Word-Dateien im Archiv, sondern versionierte Artefakte, die jede substanzielle Änderung am Produkt nachvollziehbar machen.
4. Lifecycle-Planung mit Exit-Pfad. Wer wartet sein Produkt fünf, sieben oder zehn Jahre? Was passiert nach dem Support-Ende? Wer informiert Nutzer und Behörden? Diese Fragen müssen vorab beantwortet sein.
Häufig gestellte Fragen
Reicht eine einmalige Konformitätsbewertung unter dem CRA? Nein. Der CRA verlangt eine kontinuierliche Pflichtenlage: laufendes Schwachstellenmanagement, Aktualisierung der technischen Dokumentation bei substanziellen Änderungen, Meldepflichten gegenüber ENISA und Konformitätserhalt über den gesamten Support-Zeitraum.
Was ändert sich für die CE-Kennzeichnung durch den CRA? Der CRA wird zu einer der Verordnungen, deren Anforderungen ein Produkt mit digitalen Elementen erfüllen muss, um die CE-Kennzeichnung tragen zu dürfen. Andere Richtlinien bestehen daneben weiter. Ohne CRA-Konformitätsnachweis darf ein betroffenes Produkt nicht mehr bereitgestellt werden.
Wie lange muss ich die technische Dokumentation aufbewahren? Mindestens zehn Jahre ab dem Tag des Inverkehrbringens des jeweiligen Produkts. Bei Serienprodukten gilt das pro Einzelstück, nicht pro Modell.
Was passiert mit der CRA-Konformität, wenn ich mein Geschäft einstelle? Der CRA verlangt eine Vorabinformation an Behörden und Nutzer, bevor Sicherheitsupdates nicht mehr geliefert werden können. Damit Nutzer planen können, müssen sie frühzeitig wissen, wenn der Support endet.
Fazit
Behandeln Sie CRA-Compliance wie ein lebendes System, nicht wie ein Projekt mit Enddatum. Die EU-Konformitätserklärung ist die formale Bestätigung eines Zustands, und dieser Zustand muss aktiv gehalten werden.
Wer Schwachstellen-Monitoring, SBOM-Pflege, Dokumentation und Lifecycle-Planung als laufende Prozesse aufsetzt, kommt durch jede Marktaufsichtsprüfung. Wer nach Unterschrift abhakt, verliert im ersten Audit oder bei der ersten kritischen CVE die Grundlage seiner Konformität.
Eine strukturierte CRA-Roadmap hilft, die Daueraufgabe Compliance in handhabbare Prozesse zu übersetzen, bevor der erste Vorfall den theoretischen Zustand in die Praxis zwingt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.