EU CRA Produktsicherheit

Cybersicherheit in digitalen Produkten

EU CRA reguliert die Cybersicherheit in Produkten mit digitalen Elementen in Anlehnung an etablierte Mechanismen zur Bewertung der Produktsicherheit, mit Anforderungen an Hersteller, Einführer und Händler.

• Produkte mit digitalen Elementen: Produkte, die sich mit Geräten oder Netzwerken verbinden können – das umfasst Hardware mit Netzwerkfähigkeit und Software.
• Kritische Produkte: Für bestimmte Produkte mit erhöhtem Cybersicherheitsrisiko oder Produkte in sensiblen Umgebungen gelten verschärfte Anforderungen.
• Anforderungen an Produkte: Produkte müssen einen Katalog an Mindestanforderungen erfüllen, um in der EU in den Verkehr gebracht zu werden. Der Umfang richtet sich nach dem durch den Hersteller für das Produkt bestimmten Cybersicherheitsrisiko.
• Anforderungen an Hersteller: Neben der Bestimmung des Cybersicherheitsrisikos und den Mindestanforderungen für ihre Produkte gelten für Hersteller weitere Anforderungen. Diese umfassen die Erstellung von Dokumentationen, Behandlung von Schwachstellen, Sicherheitsupdates, Sicherheitstests sowie Informations- und Meldepflichten.
• Anforderungen an Einführer und Händler: Neben den Pflichten für Hersteller können auch Anforderungen an Einführer und Händler von Produkten mit digitalen Elementen gelten.
• CE-Kennzeichnung: Wie bei anderen Produktsicherheitsbewertungen in der EU, müssen auch Produkte mit digitalen Elementen zukünftig nach erfolgter Konformitätsbewertung eine CE-Kennzeichnung tragen.
• Sanktionen: Die EU-Staaten erlassen noch Vorschriften zu Sanktionen bei Verstößen gegen den CRA. Je nach Verstoß können die Sanktionen bis zu 15 Millionen Euro oder 2% des gesamten weltweiten Jahresumsatzes betragen.
• Überwachung: Die Überwachung des CRA liegt bei den Marktüberwachungsbehörden der Mitgliedstaaten. Daneben gibt es koordinierte, von der Kommision organisierte Kontrollen ("Sweeps") bei Produkten.

Allgemeines

Produkt mit digitalen Elementen ist ein weit gefasster Begriff, der eine verschiedene Produktgruppen aus Hard- und Software umfasst, die sowohl für Endverbraucher als auch zur industriellen Nutzung (B2B) bestimmt sein können Art. 2 (1).

Produkte	Beschreibung	Anforderungen
Allgemeine Produkte	Umfassen Produkte in Form von Hardware mit Netzwerkfähigkeiten sowie Software. Diese Klasse erfasst alle Produkte, also auch solche mit einem sehr geringem Cybersicherheitsrisiko.	Es gelten die Mindestanforderungen aus Anhang I, deren Umfang sich aus der Cybersicher­heitsrisikobewertung ergibt. Die Konformitätsbewertung kann von den Herstellern selbst durchgeführt werden.
Wichtige Produkte Klasse I	Umfassen Produkte mit einem von Natur aus erhöhten Cybersicherheitsrisiko und sind in Anhang III definiert. Produkte dieser Klasse regeln z. B. den Zugang zu sensiblen Daten (Passwortmanager, VPN usw.) oder werden in sensiblen Bereichen eingesetzt (Industrielle Steuerungen, SIEM-Systeme o.a.)	Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss durch einen externen Prüfer festgestellt werden Art. 32 (2).
Wichtige Produkte Klasse II	Umfassen Produkte die den Schutz von Daten und Prozessen in IT-Umgebungen bestimmen und sind in Anhang III definiert. Produkte dieser Klasse schützen Netwerke (z. B. Firewalls, IDS), verarbeiten sensible Daten (z. B. manipulationssichere Mikrocontroller) und virtualisieren Umgebungen (Hypervisoren, Container-Runtime-Systeme).	Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss immer durch einen externen Prüfer festgestellt werden Art. 32 (3).
Kritische Produkte	Umfassen hauptsächlich industrielle Produkte die ein stark erhöhtes Cybersicherheitsrisiko aufweisen und sind in Anhang IV definiert. Kritische Produkte verarbeiten oder verwalten u. a. hochsensible Daten (z. B. Hardware-Sicherheitsmodule, Kryptoprozessoren) oder werden in sensiblen Bereichen eingesetzt (z. B. Smart-Meter-Gateways, Chipkarten)	Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss immer durch einen externen Prüfer festgestellt werden Art. 32 (4).
Ausnahmen	Medizinprodukte und In-vitro-Diagnostika Art. 2 (2), Fahrzeuge Art. 2 (2), Luftfahrt Art. 2 (3), Schifffahrt Art. 2 (4), Ersatzteile Art. 2 (6), nationale Sicherheit und Militär Art. 2 (7) und (8)

Wichtige Produkte

Sogenannte wichtige Produkte mit digitalen Elementen bezeichnen Produkte, die ein erhöhtes Cyber­sicherheitsrisiko aufweisen, z. B. aufgrund von Zugang zu operativer Technik, der Verwendung in sensiblen Umgebungen oder der Verarbeitung von sensiblen oder personenbezogenen Daten.

Wichtige Produkte sind in zwei Klassen eingeteilt – für beide gelten gegenüber allgemeinen Produkten verschärfte Regeln bzgl. des Nachweises der Erfüllung der Produktanforderungen Art. 6.

Produkte der Klasse I (auszugsweise):

• Software für Identitätsmanagementsysteme
• Browser
• Passwort-Manager
• Netzmanagementsysteme
• Betriebssysteme
• Systeme für die Überwachung des Netzverkehrs
• Mikrocontroller mit sicherheitsrelevanten Funktionen
• Router, Modems, Switches
• virtuelle Assistenten für die intelligente häusliche Umgebung

Produkte der Klasse II:

• Hypervisoren und Container-Runtime-Systeme
• intelligente Zähler
• manipulationssichere Mikrokontroller und Mikroprozessoren
• Firewalls, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS)

Kritische Produkte

Die Kategorie der kritische Produkte mit digitalen Elementen umfasst Produkte, die in der Klassifizierung des EU CRA die höchsten Cyber­sicherheitsrisiken aufweisen.

Kritische Produkte sind: Anhang IV

• Hardwaregeräte mit Sicherheitsboxen
• Smart-Meter-Gateways
• Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente

Zukünftige Änderungen durch die EU-Kommission an den kritischen Produktkategorien in Anhang IV sind denkbar, wobei die EU-Kommission folgende Kriterien berücksichtigt: Art. 8 (2)

• Kritische Abhängigkeiten wesentlicher Einrichtungen nach EU NIS2 von der Produktkategorie
• Störungen kritischer Lieferketten durch Sicherheitsvorfälle und ausgenutzt Schwachstellen in Bezug auf die Produktkategorie

Ausnahmen

Für bestimmte Produkte findet der CRA keine Anwendung. Hierzu zählen: Art. 2

• Medizinische Geräte (Verordnung (EU) 2017/745 und 746)
• Fahrzeuge (Verordnung (EU) 2019/2144)
• Produkte der zivilen Luftfahrt (Verordnung (EU) 2018/1139)
• Produkte zur Schiffsausrüstung (Richtlinie 2014/90/EU)
• Ersatzteile gemäß Originalspezifikationen
• Produkte, die ausschließlich für Zwecke der nationalen Sicherheit, für militärische Zwecke oder für die Verarbeitung von Verschlusssachen entwickelt wurden

Maßnahmen für Produkte

Grundlegendes Vorgehen

Unabhängig vom Produkttyp müssen Hersteller die Sicherheitsanforderungen aus Anhang I Teil I beachten. EU CRA schreibt dabei vor Art. 13:

1. Cybersicherheitsrisiken des Produkts bewerten
2. Ermittelte Cybersicherheitsrisiken und Umsetzungsmaßnahmen dokumentieren
3. Risiken und Maßnahmen bei der Konzeption, Entwicklung, Herstellung, Lieferung, und Wartung des Produkts berücksichtigen

Sicherheitsanforderungen

Die Mindestanforderungen ergeben sich auf Basis der Risikobewertung sowie der Anwendbarkeit für das Produkt und können folgende Anforderungen umfassen: Anhang I Teil I Nr. 2

• Sichere Standardkonfigurationen und die Möglichkeit, das Produkt in den Ursprungszustand zurück zu setzen
• Möglichkeit, Sicherheitslücken durch (automatische) Aktualisierungen schließen zu können
• Kontrollmechanismen zum Schutz vor unbefugtem Zugriff (Authentifizierungs-, Identitäts- und Zugangsverwaltung)
• Vertraulichkeit von personenbezogenen und anderen Daten (Verschlüsselung)
• Integrität von Daten, Befehlen, Programmen und Konfigurationen
• Datenminimierung
• Verfügbarkeit wesentlicher Funktionen und Abwehrfähigkeit gegen DoS-Angriffe
• Beschränkung der negativen Auswirkung auf die Verfügbarkeit von anderen Geräten/Netzen
• Minimierung der Angriffsfläche auch bei Anschluss an externe Schnittstellen
• Reduzierung der Auswirkung von Sicherheitsvorfällen durch geeignete Maßnahmen
• Logging oder Bereitstellung von sicherheitsbezogenen Informationen
• Einfache und sichere Löschung aller Daten und Einstellungen und ggf. sichere Übertragung auf andere Systeme

Anforderungen an Hersteller

Neben den Mindestanforderungen für Produkte müssen die Hersteller von Produkten selbst weitere Anforderungen erfüllen und diese im Rahmen des Konformitätsbewertungsverfahren nachweisen. Die Anforderungen umfassen: Art. 13 Art. 14

• Regelmäßige Aktualisierung der Cybersicherheitsrisikobewertung für das Produkt Art. 13 (3)
• Erstellung einer technischen Dokumentation, die die Risikobewertung enthält Art. 13 (4) (vor Inverkehrbringen Art. 13 (12); Aufbewahrungsdauer von mindestens 10 Jahren Art. 13 (13))
• Sicherstellung, dass von Dritten bezogene Komponenten nicht die Sicherheit des Produkts beeinträchtigen Art. 13 (5)
• Schwachstellenmeldung an herstellende oder wartende Personen bzw. Einrichtungen Art. 13 (6)
• Dokumentation aller Cybersicherheitsrisiken und -aspekte einschließlich Schwachstellen Art. 13 (7)
• Behebung von Schwachstellen über die Produktlebensdauer (maximal 5 Jahre) Art. 13 (8)
• Sicherstellung der Konformität der Produkte bei Serienfertigung Art. 13 (14)
• Benennung einer zentralen Anlaufstelle zur Erleichterung der Schwachstellenmeldung Art. 13 (17)
• Bereitstellung bestimmter Produktinformationen für Nutzer in leicht verständlicher Sprache Art. 13 (18)
• Auskunfts- und Meldepflichten gegenüber Marktüberwachungsbehörden Art. 13 (22)
• Meldepflichten gegenüber der ENISA über aktiv ausgenutze Schwachstellen und schwerwiegende Vorfälle Art. 14 (1) und (3) — mit jeweils dreistufigem Meldeverfahren (24 Stunden, 72 Stunden, 14 Tage bzw. 1 Monat) Art. 14 (2) bzw. (4)
• Meldepflichten gegenüber Nutzern über Sicherheitsvorfälle und Gegenmaßnahmen Art. 14 (6)

Schwachstellenmanagement

Neben den Anforderungen aus Art. 13 und Art. 14 müssen Hersteller außerdem Schwachstellen gemäß Anhang I Teil II behandeln:

• Ermittlung, Dokumentation, Behandlung, Behebung von Schwachstellen
• Regelmäßige Überprüfung der Sicherheit des Produkts
• Über beseitigte Schwachstellen Öffentlichkeit informieren
• Strategie zur Offenlegung von Schwachstellen
• Maßnahmen zur Erleichterung zum Austausch über Schwachstellen und im Produkt enthaltene Komponenten
• Mechanismen zur sicheren Verbreitung von Schwachstellen
• Unverzügliche und kostenlose Verbreitung von Sicherheitsaktualisierungen

Technische Dokumentation

In der technischen Dokumentation muss der Hersteller angeben, inwiefern das Produkt und die Verfahren des Herstellers den Anhang I Anforderungen genügen Art. 31 (1).

Die technische Dokumentation muss vor dem Inverkehrbringen des Produkte veröffentlicht Art. 13 (12) und mindestens für eine Dauer von 10 Jahren aufbewahrt werden Art. 18 (3a). Die technische Dokumentation ist Gegenstand der Konformitätsbewertungsverfahren (siehe unten) Anhang VIII.

Die inhaltlichen Vorgaben der technischen Dokumentation legt Anhang VII fest. Ein wesentlicher Bestandteil der technischen Dokumentation ist beispielsweise die Risikobewertung aus Art. 13 Art. 13 (4) Anhang VII Nr. 3: Anhang VII

• Allgemeine Beschreibung des Produktes
• Beschreibung der Konzeption, Entwicklung, Herstellung des Produkts
• Beschreibung der Verfahren zur Behandlung von Schwachstellen
• Bewertung der Cybersicherheitsrisiken (siehe unten)
• Informationen zur Festlegung des Unterstützungszeitraums
• Angewandte Normen, gemeinsame Spezifikationen oder europäische Schemata für die Cybersicherheits­zertifizierung
• EU-Konformitätserklärung (siehe unten)
• Test- und Prüfungsberichte zur Überprüfung der Anhang I Anforderungen
• ggf. Software-Stückliste (SBOM) auf begründetes Verlangen der Marktüberwachungsbehörde

Anforderungen an Einführer und Händler

Neben den Herstellern müssen auch Importeure und Händler von Produkten mit digitalen Elementen verschiedene Pflichten erfüllen.

Einführer

Für Einführer gelten u.a. die folgenden Pflichten: Art. 19

• Sicherstellen, dass für das Produkt eine Konformitätsbewertung durchgeführt wurde Art. 19 (2a)
• Sicherstellen, dass für das Produkt eine technische Dokumentation erstellt wurde Art. 19 (2b)
• Sicherstellen, dass das Produkt mit einer CE-Kennzeichnung versehen wurde und die Gebrauchsanweisung die vorgeschriebenen Informationen beinhaltet Art. 19 (2c)
• Meldepflicht gegenüber dem Hersteller und Behörden über erhebliche Cyberrisiken Art. 19 (3)
• Anbringen von Kontaktinformationen auf dem Produkt oder beigefügten Unterlagen Art. 19 (4)

Händler

Für Händler gelten u.a. folgende Pflichten: Art. 20

• Sicherstellen, dass das Produkt mit einer CE-Kennzeichnung versehen wurde Art. 20 (2a)
• Sicherstellen, dass Hersteller und Einführer ihrer Kennzeichnungspflicht nachgekommen sind Art. 19 (2b)
• Meldepflicht gegenüber dem Hersteller und Behörden über erhebliche Cyberrisiken Art. 19 (2c)

Haben Einführer oder Händler Grund zur Annahme, dass ein Produkt oder Hersteller die Anforderungen aus dem CRA nicht erfüllt, dürfen sie das betreffende Produkt nicht in den Verkehr bringen Art. 19 (3) bzw. Art. 20 (3).

EU-Konformitätsbewertung

Durch ein Konformitätsbewertungsverfahren weist der Hersteller eines Produkts nach, dass es die Anforderungen der anzuwendenen EU-Verordnungen erfüllt. Die Konformitätsbewertung muss durch den Hersteller vor dem erstmaligen Inverkehrbringen erfolgen.

Nach Abschluss der Bewertung stellt der Hersteller für das Produkt eine Konformitätserklärung aus, in der er erklärt, dass das Produkt zu den ensprechenden EU-Vorgaben konform ist. Wenn vorgesehen, wird eine CE-Kennzeichnung auf dem Produkt angebracht. Art. 13 (12) Art. 28 (1) Art. 30

Konformitätsbewertungsverfahren sind bereits gängige Praxis, beispielsweise in der Produktsicherheit, bei Maschinen oder der Medizintechnik. Mit dem EU CRA wird diese Praxis auf Produkte mit digitalen Elementen erweitert.

Konformitätsbewertungsverfahren

Das Konformitätsbewertungsverfahren kann auf verschiedenen Wegen durchgeführt werden, wofür die Verordnung vier sogenannte Module nennt, die für die CRA-Konformitätsbewertung angewendet werden können: Module A, B, C und H. Zusätzlich können (zukünftige) europäische Schemata für die Cybersicherheitszertifizierung als Konformitätsbewertung dienen.

Zuordnung der Produktarten zu Konformitätsbewertungsmethoden

1. Nur in Verbindung mit Modul B
2. Sofern verfügbar und anwendbar
3. Nur anwendbar, wenn harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung vorhanden sind und vollständig umgesetzt wurden
4. Mindestens Vertrauenswürdigkeitsstufe mittel notwendig
5. Sobald die EU-Kommission gemäß Art. 8 (1) festgelegt hat, welche kritischen Produkte ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe mittel erhalten müssen. Bis dahin finden die Konformitätsbewertungsmethoden für wichtige Produkte der Klasse II Anwendung

Produktart	Modul A	Modul B	Modul C1	Modul H	Zertifizierung
Allgemeine Produkte	✓	✓	✓	✓	✓2
Wichtige Produkte Klasse I	✓3	✓	✓	✓	✓2,4
Wichtige Produkte Klasse II		✓	✓	✓	✓2,4
Kritische Produkte					✓4,5

Im Allgemeinen können die Module A, B, C und H sowie europäische Schemata für die Cybersicherheitszertifizierung nach Art. 27 (9) verwendet werden, um die Konformitätsbewertung für Produkte mit digitalen Elementen durchzuführen Art. 32 (1).

Mit steigender Kritikalität steigen die Anforderungen an die Konformitätsbewertungsmethoden. Wichtige Produkte der Klasse I können nur anhand Modul A bewertet werden, wenn sie harmonisierte Normen, gemeinsame Spezifikationen oder ein europäisches Schema für die Cybersicherheitszertifizierung erfüllen Art. 32 (2).

Wichtige Produkte der Klasse II müssen immer einer Konformitätsbewertung nach Modul B und C oder H unterzogen werden Art. 32 (3).

Cybersicherheitszertifizierungen die als Grundlage für Konformitätsbewertungen von wichtigen Produkten der Klasse I und höher dienen, müssen mindestens die Vertrauenswürdigkeitsstufe mittel vorweisen Art. 27 (9) Art. 8 (1). Solange die EU-Kommission noch nicht festgelegt hat, welche kritischen Produkte ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe mittel erhalten müssen, werden kritische Produkte wie wichtige Produkte der Klasse II bewertet Art. 32 (4).

Konformitätsvermutung

Unter bestimmten Umständen kann davon ausgegangen werden, dass ein Produkt mit digitalen Elementen die Anhang I Anforderungen erfüllt. Dies kann die Konformitätsbewertung unterstützen und beeinflusst im Falle von wichtigen Produkten der Klasse I, ob Modul A zur Bewertung herangezogen werden darf. Hierfür gibt es grundsätzlich drei verschiedene Optionen: Art. 27

• Das Produkt stimmt mit einer harmonisierten, im Amtsblatt der EU veröffentlichen Norm oder Teilen davon überein und diese Norm deckt dieselben Anhang I Anforderungen ab Art. 27 (1)
• Das Produkt erfüllt eine von der Kommisson durch einen Durchführungsrechtsakt (Implementing Act) erlassene gemeinsame Spezifikation Art. 27 (2)
• Für das Produkt existiert bereits eine EU-Konformitätserklärung oder ein Cybersicherheits-Zertifikat gemäß (EU) 2019/881 und Erklärung oder Zertifikat decken die Anhang I Anforderungen ab Art. 27 (8)

Module zur Konformitätsbewertung

Übersicht Module

Beschreibung der Konformitätsbewertungsmethoden und deren Bewertungsgegenstand

Modul	Beschreibung	Bewertungsgegenstand
A	Interne Kontrolle durch den Hersteller	Technische Dokumentation; Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen nach Anhang I; Konformitätskennzeichnung und -erklärung
B	Bewertung der Eignung der technischen Konzeption und Entwicklung durch eine notifizierte Stelle ("Baumusterprüfung")	Technische Dokumentation, zusätzliche Nachweise und Produktmuster
C	Interne Fertigungskontrolle auf Übereinstimmung mit dem Baumuster	Herstellung, Konformitätskennzeichnung und -erklärung
H	Bewertung eines Qualitätssicherungssystem durch eine notifizierte Stelle.	Qualitätssicherungssystem (Qualitätsziele, (verfahrens-)technische Spezifikationen, Aufzeichnungen etc.) für die Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen

Modul A

Bei Modul A handelt es sich um ein Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle. Hierbei erklärt der Hersteller auf eigene Verantwortung, dass er alle an ihn selbst und an das Produkt gestellte Anforderungen erfüllt. Bei dieser Bewertung wird keine externe Stelle in den Bewertungsprozess einbezogen Anhang VIII Teil I.

Dieses Verfahren ist nur auf Produkte mit digitalen Elementen anwendbar, die weder als wichtig noch als kritisch eingestuft sind.

Modul B

Bei Modul B handelt es sich um eine sogenannte EU-Baumusterprüfung. Bei diesem Verfahren prüft eine notifizierte Stelle die technische Konzeption und Entwicklung eines Produkts und die vom Hersteller definierten Verfahren zur Behandlung von Schwachstellen. Die Prüfstelle bescheinigt gegebenenfalls, dass das Produkt den Anforderungen entspricht Anhang VIII Teil II.

Die Prüfung bewertet die Eignung der technischen Konzeption und Entwicklung des Produkts anhand der technischen Dokumentation und zusätzlicher Nachweise in Anhang VIII Teil II Nr. 3 sowie anhand der Prüfung von Mustern eines oder mehrerer wichtiger Teile des Produkts.

Modul C

Modul C findet nur zusammen mit Modul B Anwendung. Bei dieser Variante bewertet der Hersteller die Konformität des Produkts mit dem bereits nach Modul B bewerteten Baumuster für in Serie gefertigte Produkte Anhang VIII Teil III.

Modul H

Bei der Konformitätsbewertung nach Modul H wird nicht das Produkt selbst, sondern ein vom Hersteller eingerichtetes Qualitätssicherungssystem durch die notifizierte Stelle überprüft. Hierbei wird festgestellt, ob das Qualitätssicherungssystem die Konformität des Produkts mit den Anhang I Anforderungen sicherstellt Anhang VIII Teil IV.

Konformitätserklärung

Dokumentation der Erklärung

Nach erfolgreicher Konformitätsbewertung erstellt der Hersteller eine Konformitätserklärung. Damit übernimmt er die Verantwortung für die Konformität des Produkts. Die Erklärung muss dabei folgende Elemente enthalten: Art. 28 Anhang V

• Informationen wie Name und Typ zur eindeutigen Identifizierung des Produkts
• Name und Anschrift des Herstellers
• Erklärung, dass der Hersteller die alleinige Verantwortung für die EU-Erklärung trägt
• Gegenstand der Erklärung wie Bezeichnung des Produkts, ggf. mit Foto
• Erklärung, dass das Produkt einschlägigen Harmonisierungsvorschriften der EU entspricht
• Verweise auf verwendete Normen oder Sicherheitszertifizierungen, für die die Konformität erklärt wird
• Gegebenenfalls den Namen und die Kennnummer der notifizierten Prüfstelle, Beschreibung des Konformitätsbewertungsverfahrens und Kennnummer der Bescheinigung
• Unterschrift inkl. Ort und Datum der Ausstellung sowie Name und Funktion

Die Konformitätserklärung ist Bestandteil der für die Hersteller verpflichtenden technischen Dokumentation und muss dieser beigelegt werden Anhang VII Nr. 7.

CE-Kennzeichnung

Hersteller von Produkten mit digitalen Elementen müssen nach erfolgreicher Konformitäts­bewertung das CE-Kennzeichen auf dem Produkt anbringen. Falls nicht möglich, kann das CE-Kennzeichen auch auf der Verpackung oder der beigefügten Konformitätserklärung angebracht werden Art. 30 (1).

Bei Softwareprodukten, kann das CE-Kennzeichen auf der Konformitätserklärung oder auf einer die Software begleitenden Website angebracht werden Art. 30 (1).

Marktüberwachungsbehörden

Die Überwachung der Einhaltung des CRA durch die Hersteller von Produkten mit digitalen Elementen obligt den EU-Mitgliedstaaten. Hierfür legen die Mitgliedstaaten eine oder mehrere Marktüberwachungsbehörden fest Art. 52 (2). In Deutschland wird das Bundesamt für Informationssicherheit (BSI) die Rolle der Marktüberwachungsbehörde übernehmen. Der CRA sieht die Zusammenarbeit und den Informationsaustausch zwischen den Marktüberwachungsbehörden der Mitgliedstaaten und EU-Behörden wie der ENISA vor Art. 52 (4). Die Marktüberwachungsbehörden erstatten der EU-Kommission jährlich Bericht über ihre Tätigkeiten.Art. 52 (13)

Befugnisse

Die Marktüberwachungsbehörden verfügen über umfassende Befugnisse, um die Einhaltung des CRA sicherzustellen. Die Befugnisse umfassen:

• Zugang zu Informationen: Marktüberwachungsbehörden können durch einen begründeten Antrag Zugang zu den Daten, die für die Bewertung der Konzeption, Entwicklung, Herstellung und die Behandlung von Schwachstellen solcher Produkte erforderlich sind verlangen, einschließlich der betreffenden internen Unterlagen vom Hersteller. Art. 53
• Überprüfung der Erfüllung von Anforderungen: Liegen hinreichende Gründe zu der Annahme vor, dass ein Produkt ein erhebliches Cybersicherheitsrisiko birgt, überprüfen die Marktüberwachungsbehörden die Einhaltung der Anforderungen. Art. 54 (1)
• Aufforderung zur Nachbesserung: Wird eine Nichteinhaltung der Anforderungen festgestellt, fordern die Marktüberwachungsbehörden die Hersteller zur Nachbesserung auf, unter Nennung einer angemessenen Frist. Art. 54 (1)
• Einschränkung der Bereitstellung: Kommen Hersteller der Aufforderung zur Nachbesserung in der ausgewiesenen Frist nicht nach, ergreifen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen. Art. 54 (5)
• Erweiterte Anforderungen: Unter besonderen Umständen (erhebliches Cybersicherheitsrisiko und Gefahr für Gesundheit oder Sicherheit von Personen, Verwendung in wesentlichen Einrichtungen nach EU NIS2, Risiko für den Schutz öffentlicher Interessen) können Marktüberwachungsbehörden auch für Produkte, die die CRA Anforderungen erfüllen, erweiterte Anforderungen aufstellen und von den Herstellern die Umsetzung verlangen. Art. 57 (1)

EU-Marktüberwachung

Neben den nationalen Marktüberwachungsbehörden haben auch die EU-Kommission und die ENISA gewisse Marktüberwachungsbefugnisse im Rahmen des CRA. Unter außergewöhnlichen Umständen können die EU-Kommission und ENISA gemeinsam auf erhebliche Cybersicherheitsbedrohungen in Produkten reagieren, wenn diese das reibungslose Funktionieren des Binnenmarkts gefährden und die zuständige nationale Marküberwachungsbehörde keine angemessenen Maßnahmen ergriffen hat. Auf Basis einer Bewertung durch die ENISA kann die Kommision korrektive oder einschränkende Maßnahmen, einschließlich Rückruf und Rücknahme, ergreifen. Art. 56

Unter der Koordination der Kommission können nationale Marküberwachungsbehörden gleichzeitige koordinierte Kontrollen (Sweeps) zu bestimmten Produkten mit digitalen Elementen durchführen. Art. 60 (1) und (2)

Sanktionen

Vorschriften über Sanktionen, die bei Verstößen gegen den CRA verhängt werden und für die Umsetzung der Sanktionen nötigen Maßnahmen sind von den Mitgliedstaaten zu treffen. Alle Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Art. 64 (1) Für die Höhe der Sanktionen macht der CRA folgende Vorgaben: Art. 64

• Nichteinhaltung der grundlegenden Anhang I Anforderungen an Produkte und Hersteller: bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (2)
• Verstöße gegen andere Pflichten: bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (3)
• Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen: bis zu 5 Millionen Euro oder bis zu 1 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (4)

Bei der Höhe der Sanktionen gilt der jeweils höhere Wert als Obergrenze.

Unternehmen

Betreiber und Einrichtungen

Betreiber kritischer Anlagen und NIS2-regulierte Einrichtungen sind selbst nicht (unbedingt) direkt von EU CRA betroffen, solange sie nicht auch Produkte mit digitalen Elementen herstellen, einführen oder vertreiben. Die Fragen für regulierte Einrichtungen stellen sich hier bei der Beschaffung und dem Einsatz von CRA-regulierten Komponenten und einer Überschneidung zu kritischen Komponenten.

Kritische Komponenten

Aufgrund der Überschneidungen von kritischen Komponenten (NIS2) und CRA Komponenten können Verstöße der Herstellers gegen CRA-Pflichten auch zum Verlust seiner Vertrauenswürdigkeit führen.

Betreiber kritischer Anlagen sollten bei der Wahl der Hersteller ihrer kritischen Komponenten darauf achten, dass die Hersteller die CRA-Vorgaben kennen und befolgen. Andernfalls kann der Einsatz kritischer Komponenten desselben Herstellers untersagt werden. §41 BSIG-E

Hersteller

Hersteller von Produkten mit digitalen Elementen sollten sich frühzeitig mit den Auswirkungen von EU CRA auf die eigenen Produkte zu befassen. Dies gilt insbesondere für Hersteller von kritischen Produkten, die voraussichtlich eine notifizierte Stelle mit der Konformitätsbewertung beauftragen müssen. Da EU CRA nicht in nationales Recht überführt werden muss, können sich Hersteller bereits jetzt mit den Anforderungen befassen und die Umsetzung vorbereiten.

EU Gesetzgebung

Grundlegend für die Konformitätsbewertung sind harmonisierte Normen, die von den Europäischen Normungsorganisationen CEN, CENELEC und ETSI entwickelt werden. Deren Anwendung ist zwar freiwillig, bietet jedoch rechtliche Sicherheit bei der Umsetzung der Anhang I Anforderungen.

Im April 2025 haben die Europäischen Normungsorganisationen bekannt gegeben, dass die harmonisierten Normen, unterteilt in drei Arten, stufenweise veröffentlicht werden:

Zeitrahmen anstehender harmonisierter Normen, April 2025

Normart	Scope	Normungsorganisation	Deadline
A-Normen	Horizontales Rahmenwerk (Grundsätze, Begriffe, Rahmenbedingungen)	CEN, CENELEC	30. August 2026
B-Normen	Produkt-unabhängige technische Maßnahmen, Schwachstellenmanagement	CEN, CENELEC	30. Oktober 2027 (Schwachstellen­behandlung 30. August 2026)
C‑Normen	Wichtige und kritische Produkte	CEN, CENELEC, ETSI	30. Oktober 2026

Zeitleiste

EU CRA tritt im Dezember 2027 vollständig in Kraft. Bis gibt es zahlreiche Meilensteine, die teilweise auch Hersteller betreffen.

Zeitleiste CRA, Stand November 2025

Datum	Status	Akteur
2021	Erste Vorstellung	Kommissionspräsidentin
Sep 2022	Vorschlag	EU-Kommission
Mär 2024	Annahme	EU Parlament
Oktober 2024	Verabschiedung	Rat der Europäischen Union
August 2026	Veröffentlichung A-Normen (B-Normen teils)	CEN, CENELEC
Oktober 2026	Veröffentlichung C-Normen	CEN, CENELEC, ETSI
Juni 2026	Inkrafttreten Kapitel IV	Notifizierte Stellen
September 2026	Inkrafttreten Hersteller-Meldepflichten	Betroffene Hersteller
Oktober 2027	Veröffentlichung B-Normen	CEN, CENELEC
Dezember 2027	Inkrafttreten	Betroffene Hersteller
ab 2027	Anwendung der Verordnung	Betroffene Hersteller

Quellen

1. Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung), Amtsblatt der Europäischen Union, 23. Oktober 2024
2. Cyber Resilience Act and the horizontal standards, Europäische Normungsorganisationen CEN and CENELEC, 08. April 2025
3. CRA: Wann kommen die harmonisierten Normen?, Sarah Fluchs, 02. Juni 2025