Alle Vergleiche

Cyber Resilience Act (CRA)

VS

CE-Kennzeichnung

Cyber Resilience Act und CE-Kennzeichnung

Cybersicherheit wird zur Pflichtvoraussetzung für den EU-Marktzugang

Neue CE-Voraussetzung

Fugt Cybersicherheit als neue Anforderung zum bestehenden CE-Konformitatsprozess hinzu — kein separates Regelwerk

Bestehendes Konformitatssystem

Die CE-Kennzeichnung zeigt an, dass ein Produkt alle geltenden EU-Harmonisierungsvorschriften erfüllt — der CRA kommt jetzt dazu

Das ist kein Entweder-oder. Ab Dezember 2027 ist CRA-Konformität eine Voraussetzung für die CE-Kennzeichnung von Produkten mit digitalen Elementen.

0 Abgedeckt3 Teilweise6 Nicht abgedeckt

Sie haben bereits CE-Kennzeichnung — was ändert sich mit dem CRA?

Wenn Sie bereits CE-konforme Produkte auf den Markt bringen, kennen Sie den Prozess der Konformitätsbewertung. Der CRA fügt eine neue Dimension hinzu: Cybersicherheit. Ihre bestehende CE-Erfahrung ist wertvoll — aber die inhaltlichen Anforderungen sind grundlegend neu.

036
CRA-AnforderungAbdeckung durch CE-Kennzeichnung
Konformitätsbewertungsverfahren
Teilweise

Sie kennen Module und benannte Stellen. Der CRA nutzt ähnliche Verfahren (Anhang VIII), aber mit völlig neuen Bewertungskriterien für Cybersicherheit.

Technische Dokumentation
Teilweise

Sie haben Erfahrung mit EU-konformer Dokumentation. Die CRA-Dokumentation (Anhang VII) erfordert jedoch zusätzliche cybersicherheitsspezifische Inhalte: Sicherheitsarchitektur, Risikobewertung, Testberichte.

EU-Konformitätserklärung
Teilweise

Sie erstellen bereits EU-Konformitätserklärungen. Für den CRA muss eine zusätzliche oder erweiterte Erklärung gemäß Anhang V erstellt werden.

Cybersicherheitsanforderungen (Anhang I)
Nicht abgedeckt

Bisherige CE-Richtlinien enthalten keine Cybersicherheitsanforderungen. CRA Anhang I definiert umfassende technische Anforderungen: Security by Design, Zugriffskontrolle, Datenintegrität, sichere Standardkonfiguration.

Software Bill of Materials (SBOM)
Nicht abgedeckt

Kein bestehendes CE-Rahmenwerk verlangt eine SBOM. Der CRA macht die maschinenlesbare Auflistung aller Softwareabhängigkeiten zur Pflicht.

Schwachstellenmanagement
Nicht abgedeckt

Bisherige CE-Produkte erfordern kein laufendes Schwachstellenmanagement. Der CRA fordert systematische Erkennung, Bewertung und Behebung von Schwachstellen über den gesamten Supportzeitraum.

ENISA-Meldepflichten
Nicht abgedeckt

Keine bestehende CE-Richtlinie kennt Meldepflichten an ENISA. Der CRA verlangt die Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden.

Supportzeitraum-Pflicht
Nicht abgedeckt

Bisherige CE-Konformität endet mit dem Inverkehrbringen. Der CRA verpflichtet zu laufenden Sicherheitsupdates über den deklarierten Supportzeitraum (mindestens 5 Jahre).

Laufende Sicherheitsupdates
Nicht abgedeckt

CE-Produkte hatten bisher keine Updatepflicht. Der CRA fordert kostenlose Sicherheitsupdates 'ohne unnötige Verzögerung' während des gesamten Supportzeitraums.

01

Wie CRA und CE-Kennzeichnung zusammenwirken

Die CE-Kennzeichnung ist ein Konformitätssystem, kein eigenständiges Gesetz. Ab Dezember 2027 ist der CRA eine weitere Voraussetzung für das CE-Zeichen bei Produkten mit digitalen Elementen.

  • Beispiel: Ein Industrieroboter muss Maschinenverordnung, Niederspannungsrichtlinie, EMV-Richtlinie und nun auch den CRA erfüllen
  • Art. 28 CRA: CRA-Konformitätserklärung (Anhang V) ist Teil der CE-Gesamtdokumentation
  • Prinzip: CE-Zeichen darf nur angebracht werden, wenn alle anwendbaren Rechtsakte erfüllt sind
02

Konformitätsbewertung nach dem CRA: Anhang VIII im Detail

Anhang VIII des CRA definiert drei Konformitätsbewertungspfade, abhängig von der Produktklassifizierung. Das Modularsystem folgt dem New Legislative Framework.

Modul A: Interne FertigungskontrolleFür Standardprodukte (nicht in Anhang III oder IV aufgeführt): Der Hersteller führt die Konformitätsbewertung selbst durch. Er erstellt die technische Dokumentation, führt die Risikobewertung durch und stellt die Einhaltung der wesentlichen Anforderungen aus Anhang I sicher. Eine Einschaltung externer Stellen ist nicht erforderlich.
Module B+C: EU-BaumusterprüfungFür Produkte der Klasse I (Anhang III CRA): Eine benannte Stelle prüft ein Baumuster des Produkts auf Konformität (Modul B) und bestätigt, dass die Produktion dem geprüften Baumuster entspricht (Modul C). Alternativ kann der Hersteller die Konformität auf Basis harmonisierter Normen nachweisen.
Modul H: Umfassende QualitätssicherungFür Produkte der Klasse II (Anhang IV CRA, z. B. Betriebssysteme, Firewalls, HSMs): Die benannte Stelle prüft und überwacht das gesamte Qualitätsmanagementsystem des Herstellers. Dies ist das strengste Verfahren und gilt für die kritischsten Produktkategorien.
03

Auswirkungen auf bestehende CE-Kennzeichnungen

Bereits CE-gekennzeichnete Produkte mit digitalen Elementen müssen ab dem 11. Dezember 2027 zusätzlich die CRA-Anforderungen erfüllen. Ohne CRA-Konformität kann das CE-Zeichen verloren gehen.

  • Bestehende Bewertungen erweitern: Technische Dokumentation um CRA-spezifische Inhalte aktualisieren
  • RED-Ablösung: Delegierte Verordnung (EU) 2022/30 zu Cybersicherheit wird durch den CRA ersetzt
  • Dokumentation: EU-Konformitätserklärung muss Verweis auf (EU) 2024/2847 enthalten, CRA-Erklärung nach Anhang V beifügen
Maschinenverordnung (EU) 2023/1230Industriemaschinen mit eingebetteter Software benötigen künftig neben der Maschinenkonformität auch die CRA-Konformitätsbewertung für Cybersicherheit. Beide Verfahren sind parallel durchzuführen.
Funkanlagenrichtlinie (RED) 2014/53/EUDie delegierte Verordnung (EU) 2022/30 zu Cybersicherheit unter der RED wird durch den CRA ersetzt. Hersteller von WLAN-Routern, IoT-Geräten und Funkanlagen müssen auf die CRA-Konformitätsbewertung umstellen.
Medizinprodukteverordnung (MDR)Medizinprodukte sind vom CRA ausgenommen (Art. 2 Abs. 2). Die CE-Kennzeichnung für Medizinprodukte richtet sich weiterhin ausschließlich nach der MDR (EU) 2017/745.
04

Zeitplan: Wann wird die CRA-Konformität zur CE-Pflicht?

Der CRA sieht einen gestuften Zeitplan vor. Der entscheidende Stichtag ist der 11. Dezember 2027 — ab dann kein CE ohne CRA-Konformität.

  • 11. Juni 2024: Verordnung in Kraft getreten
  • 11. September 2026: Meldepflichten (Art. 14) und Anforderungen an benannte Stellen (Art. 35–51) gelten
  • 11. Dezember 2027: Volle CRA-Anwendbarkeit — Konformitätsbewertung, CE-Kennzeichnung und alle Anhang-I-Anforderungen Pflicht

Synergien für Hersteller mit bestehender CE-Erfahrung

Unternehmen, die bereits CE-Konformitätsbewertungen für andere Rechtsakte durchführen, können auf bestehende Prozesse und Infrastrukturen aufbauen.

Bewährte Bewertungsverfahren

Das Modularsystem (Module A, B+C, H) ist aus anderen Harmonisierungsvorschriften bekannt. Hersteller, die bereits mit benannten Stellen zusammenarbeiten, können diese Beziehungen für die CRA-Konformitätsbewertung nutzen — vorausgesetzt, die benannte Stelle ist auch für den CRA notifiziert.

Technische Dokumentation

Die CRA-technische Dokumentation (Anhang VII) folgt einem ähnlichen Aufbau wie die Dokumentation anderer CE-Rechtsakte. Bestehende Dokumentationsstrukturen können um CRA-spezifische Inhalte wie SBOM, Schwachstellenbewertung und Sicherheitstests erweitert werden.

Qualitätsmanagementsystem

Unternehmen mit einem QMS nach ISO 9001, das bereits für CE-Bewertungen genutzt wird, können dieses um CRA-spezifische Prozesse erweitern. Insbesondere Modul H (umfassende Qualitätssicherung) baut auf einem systematischen QMS auf.

Marktüberwachung und Post-Market-Prozesse

Erfahrungen mit der Marktüberwachung und dem Post-Market-Monitoring aus anderen CE-Bereichen sind direkt auf die CRA-Pflicht zur Schwachstellenbehandlung und zum Update-Management übertragbar.

Ihre nächsten Schritte

1Hohe Priorität

Cybersicherheit in bestehenden CE-Prozess integrieren

Erweitern Sie Ihren bestehenden CE-Konformitätsprozess um die CRA-spezifischen Cybersicherheitsanforderungen aus Anhang I. Nutzen Sie Ihre bestehende Dokumentationsstruktur als Basis.

2Hohe Priorität

SBOM-Erstellung implementieren

Integrieren Sie die automatisierte Erstellung von Software Bills of Materials in Ihren Entwicklungs- und Build-Prozess.

3Hohe Priorität

Schwachstellenmanagement aufbauen

Etablieren Sie einen Prozess für kontinuierliches Schwachstellenmonitoring, -bewertung und -behebung für alle Produkte mit digitalen Elementen.

4Mittlere Priorität

ENISA-Meldeprozess vorbereiten

Definieren Sie interne Abläufe für die fristgerechte Meldung aktiv ausgenutzter Schwachstellen an die zentrale ENISA-Plattform.

Häufig gestellte Fragen

Brauche ich eine separate CE-Kennzeichnung für den CRA?
Nein. Das CE-Zeichen wird nur einmal am Produkt angebracht und bestätigt die Konformität mit allen anwendbaren EU-Harmonisierungsvorschriften. Der CRA fügt den bestehenden CE-Anforderungen eine weitere Dimension hinzu — die Cybersicherheit. Hersteller müssen jedoch eine separate CRA-Konformitätserklärung gemäß Anhang V erstellen, die Teil der Gesamtdokumentation wird. Die EU-Konformitätserklärung muss um den Verweis auf die Verordnung (EU) 2024/2847 ergänzt werden.
Wie beeinflusst der CRA meine bestehende CE-Kennzeichnung?
Wenn Ihr bereits CE-gekennzeichnetes Produkt digitale Elemente enthält (Software, Firmware, Netzwerkfähigkeit), müssen Sie bis zum 11. Dezember 2027 auch die CRA-Konformitätsbewertung durchlaufen. Ab diesem Datum ist die CRA-Konformität Voraussetzung für die CE-Kennzeichnung. Produkte, die nach diesem Datum ohne CRA-Konformität in Verkehr gebracht werden, verstoßen gegen EU-Recht — auch wenn sie alle anderen CE-Anforderungen erfüllen. Es empfiehlt sich, frühzeitig eine Gap-Analyse durchzuführen und die CRA-spezifischen Maßnahmen in den bestehenden Konformitätsprozess zu integrieren.
Ab wann gilt die CRA-Pflicht für die CE-Kennzeichnung?
Die volle CRA-Anwendbarkeit beginnt am 11. Dezember 2027 (Art. 71 CRA). Ab diesem Datum müssen alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, die CRA-Anforderungen erfüllen. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten bereits ab dem 11. September 2026. Hersteller sollten die Übergangszeit nutzen, um ihre Konformitätsbewertungsprozesse anzupassen, SBOMs zu erstellen und die Schwachstellenbehandlung zu implementieren.
Welches Konformitätsbewertungsmodul gilt für mein Produkt?
Das hängt von der Produktklassifizierung ab: Standardprodukte (nicht in Anhang III oder IV aufgeführt) können Modul A (Selbstbewertung) nutzen. Produkte der Klasse I (Anhang III, z. B. Identitätsmanagementsysteme, Browser, Passwortmanager, VPN) erfordern Module B+C oder alternativ den Nachweis über harmonisierte Normen. Produkte der Klasse II (Anhang IV, z. B. Betriebssysteme, Hardware-Sicherheitsmodule, Firewalls) erfordern Module B+C oder Modul H, jeweils unter Einschaltung einer benannten Stelle. Eine frühzeitige Produktklassifizierung ist entscheidend für die Planung des Konformitätsbewertungsverfahrens.
Was passiert mit der delegierten Verordnung (EU) 2022/30 zur RED?
Die delegierte Verordnung (EU) 2022/30, die Cybersicherheitsanforderungen unter der Funkanlagenrichtlinie (RED) eingeführt hat, wird durch den CRA ersetzt. Art. 68 CRA enthält eine entsprechende Übergangsregelung. Hersteller von Funkanlagen, die bisher die delegierte Verordnung erfüllt haben, müssen auf die CRA-Konformitätsbewertung umstellen. Die CRA-Anforderungen gehen über die RED-Cybersicherheitsanforderungen hinaus — insbesondere durch die SBOM-Pflicht, die umfassenderen Meldepflichten und die spezifischen Konformitätsbewertungsmodule.
Sind Medizinprodukte vom CRA und der neuen CE-Anforderung betroffen?
Nein. Medizinprodukte, die unter die Verordnung (EU) 2017/745 (MDR) oder die Verordnung (EU) 2017/746 (IVDR) fallen, sind vom CRA ausdrücklich ausgenommen (Art. 2 Abs. 2 CRA). Die CE-Kennzeichnung für Medizinprodukte richtet sich weiterhin ausschließlich nach den Anforderungen der MDR/IVDR. Gleiches gilt für In-vitro-Diagnostika. Allerdings können Zubehörteile oder Software, die nicht unter die MDR/IVDR fallen, aber mit medizinischen Geräten interagieren, durchaus CRA-pflichtig sein.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA-Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der Europäischen Union

CE-Kennzeichnung (EU-Kommission)

Offizielle Informationsseite der EU-Kommission zur CE-Kennzeichnung: Leitfäden, Rechtsakte und Anforderungen

Blue Guide zur CE-Kennzeichnung

Leitfaden der EU-Kommission für die Umsetzung der EU-Produktvorschriften (Blue Guide 2022) — das Standardwerk zur CE-Konformitätsbewertung

Mehr auf Kunnus

CRA Knowledge Base

Vollständiger Gesetzestext mit Erklärungen, Artikeln und Anhängen des Cyber Resilience Act

Anhang VIII: Konformitätsbewertung

Detaillierte Erläuterung der Konformitätsbewertungsmodule A, B+C und H des CRA

CRA einfach erklärt

Verständliche Einführung in den Cyber Resilience Act für Entscheider und Produktverantwortliche

CRA-Compliance-Assessment

Kostenfreie Erstbewertung: Ermitteln Sie, welche Konformitätsbewertung für Ihr Produkt gilt

CRA vs. Funkgeräterichtlinie (RED)

Wie der CRA die Cybersicherheitsanforderungen der Funkgeräterichtlinie ablöst

CRA vs. Maschinenverordnung

Doppelkonformität für vernetzte Industriemaschinen: Cybersicherheit und Maschinensicherheit

CE-ready für den CRA — mit Kunnus

Kunnus hilft Ihnen, die CRA-Anforderungen in Ihren bestehenden CE-Konformitätsprozess zu integrieren. Von der Produktklassifizierung bis zur technischen Dokumentation.

Funktionen entdecken