Die Konformitätsbewertung ist der formale Nachweis, dass ein Produkt die Anforderungen des Cyber Resilience Act (CRA) erfüllt. Erst nach erfolgreicher Bewertung darf der Hersteller die CE-Kennzeichnung anbringen und das Produkt auf dem EU-Markt bereitstellen. Doch welches Bewertungsverfahren gilt für Ihr Produkt? Was müssen Sie dokumentieren? Und wann brauchen Sie eine benannte Stelle?
Die drei Bewertungsverfahren im Überblick
Der CRA sieht je nach Produktkategorie unterschiedliche Konformitätsbewertungsverfahren vor. Die Einstufung Ihres Produkts bestimmt, welches Verfahren Sie durchlaufen müssen.
Standardprodukte (Default-Kategorie): Die große Mehrheit aller Produkte mit digitalen Elementen fällt in diese Kategorie. Hersteller können die Konformität durch eine interne Kontrolle nachweisen – eine Selbstbewertung gemäß Anhang VIII des CRA. Keine externe Stelle muss einbezogen werden. Das bedeutet nicht, dass die Anforderungen geringer sind – die Sicherheitsanforderungen gelten identisch. Lediglich der Nachweis erfolgt intern.
Wichtige Produkte (Klasse I): In diese Kategorie fallen unter anderem Identitätsmanagementsysteme, Browser, Passwortmanager, Antivirensoftware, VPN-Produkte, Netzwerkmanagementtools und bestimmte Smart-Home-Geräte wie intelligente Türschlösser. Für Klasse-I-Produkte ist eine Selbstbewertung möglich, aber nur, wenn der Hersteller vollständig harmonisierte europäische Normen (hEN) anwendet, die alle wesentlichen Anforderungen abdecken. Liegen keine passenden Normen vor oder werden sie nicht vollständig angewendet, muss eine benannte Stelle einbezogen werden.
Wichtige Produkte (Klasse II) und kritische Produkte: Hierzu zählen unter anderem Betriebssysteme, Hypervisoren, Firewalls, Mikrocontroller mit sicherheitsrelevanten Funktionen sowie Hardware-Sicherheitsmodule. Diese Produkte erfordern zwingend die Einbeziehung einer benannten Stelle. Der Hersteller kann zwischen einer EU-Typprüfung (Modul B + C) oder einer Qualitätssicherung (Modul H) wählen.
Interne Kontrolle: So funktioniert die Selbstbewertung
Für die meisten Hersteller ist die interne Kontrolle der relevante Pfad. Das Verfahren umfasst folgende Schritte.
Zunächst erstellen Sie eine vollständige technische Dokumentation. Diese umfasst eine allgemeine Produktbeschreibung mit Verwendungszweck, die Sicherheitsarchitektur und das Designkonzept, die Risikoanalyse und deren Ergebnisse, die vollständige SBOM, die Beschreibung des Schwachstellenmanagementprozesses, Testergebnisse und Prüfberichte sowie die Beschreibung des Update-Mechanismus.
Dann bewerten Sie die Konformität anhand der wesentlichen Anforderungen aus Anhang I des CRA. Dokumentieren Sie für jede Anforderung, wie Ihr Produkt sie erfüllt, und verweisen Sie auf die entsprechenden Nachweise in der technischen Dokumentation.
Anschließend erstellen Sie die EU-Konformitätserklärung – ein Dokument, das bestätigt, dass das Produkt allen anwendbaren Anforderungen entspricht. Die Erklärung muss den Herstellernamen und die Adresse enthalten, eine eindeutige Produktidentifikation, den Verweis auf die angewendeten Normen und die Unterschrift einer verantwortlichen Person.
Schließlich bringen Sie die CE-Kennzeichnung am Produkt an. Die Kennzeichnung muss gut sichtbar, lesbar und dauerhaft sein. Wenn das Produkt zu klein ist, kann die Kennzeichnung auf der Verpackung oder den Begleitdokumenten angebracht werden.
Die Rolle benannter Stellen (Notified Bodies)
Benannte Stellen sind unabhängige Prüforganisationen, die von den EU-Mitgliedstaaten für die Konformitätsbewertung nach dem CRA akkreditiert werden. Ihre Einbeziehung ist für Klasse-II- und kritische Produkte verpflichtend.
Zum Zeitpunkt dieses Artikels ist die Benennung der Stellen für den CRA noch im Aufbau. Hersteller von Produkten, die eine benannte Stelle benötigen, sollten frühzeitig Kontakt aufnehmen, da die Kapazitäten zu Beginn begrenzt sein werden. Die Bewertung durch eine benannte Stelle kann mehrere Monate dauern – planen Sie das in Ihren Zeitplan ein.
Die benannte Stelle prüft die technische Dokumentation, bewertet die Sicherheitsarchitektur und kann eigene Tests durchführen. Nach erfolgreicher Prüfung stellt sie ein Zertifikat aus, das der Hersteller für die Konformitätserklärung benötigt.
Harmonisierte Normen: Der Schlüssel zur Vereinfachung
Harmonisierte europäische Normen (hEN) spielen eine zentrale Rolle bei der CRA-Konformitätsbewertung. Wer eine harmonisierte Norm vollständig anwendet, profitiert von einer Konformitätsvermutung: Es wird davon ausgegangen, dass die in der Norm abgedeckten Anforderungen erfüllt sind.
Für den CRA werden derzeit mehrere harmonisierte Normen entwickelt, unter anderem auf Basis bestehender Standards wie EN 303 645 (für Consumer-IoT-Sicherheit), IEC 62443 (für industrielle Automatisierung) und ISO/IEC 27001 (für Informationssicherheitsmanagement). Hersteller, die bereits nach diesen Standards arbeiten, haben einen Vorsprung bei der CRA-Umsetzung.
Wichtig: Solange keine harmonisierten Normen für den CRA final veröffentlicht sind, müssen Hersteller die Konformität direkt gegen die Anforderungen des CRA nachweisen. Das erfordert eine besonders sorgfältige technische Dokumentation.
Gap-Analyse: Wo stehen Sie heute?
Bevor Sie in den Konformitätsbewertungsprozess einsteigen, sollten Sie eine Gap-Analyse durchführen. Klären Sie zunächst, in welche Produktkategorie Ihr Produkt fällt und welches Bewertungsverfahren gilt. Prüfen Sie dann systematisch jede wesentliche Anforderung des CRA gegen den Ist-Zustand Ihres Produkts. Identifizieren Sie Lücken und priorisieren Sie die Maßnahmen.
Kunnus unterstützt Hersteller dabei, den gesamten Konformitätsbewertungsprozess zu strukturieren – von der initialen Gap-Analyse über die SBOM-Erstellung bis zur Zusammenstellung der technischen Dokumentation. So behalten Sie den Überblick und können die Bewertung effizient durchlaufen.
Starten Sie jetzt mit unserer kostenlosen CRA-Reifegradanalyse: In wenigen Minuten erfahren Sie, wo Ihr Produkt im Konformitätsbewertungsprozess steht und welche Schritte als nächstes anstehen.