EU CRA Produktsicherheit

Technology symbolic picture

Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet.

  1. Regulierte Produkte
  2. Sicherheitsanforderungen
  3. Konformität
  4. Marktüberwachung
  5. Roadmap

EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen.

Cyber Resilience Act

Cybersicherheit in digitalen Produkten

EU CRA reguliert die Cybersicherheit in Produkten mit digitalen Elementen, angelehnt an etablierte Mechanismen zur Bewertung der Produktsicherheit, für Hersteller, Einführer und Händler.

  • Produkte mit digitalen Elementen: Produkte, die sich mit Geräten oder Netzwerken verbinden können – das umfasst Hardware mit Netzwerkfähigkeit und Software.
  • Kritische Produkte: Für bestimmte Produkte mit erhöhtem Cybersicherheitsrisiko oder Produkte in sensiblen Umgebungen gelten verschärfte Anforderungen.
  • Anforderungen an Produkte: Produkte müssen einen Katalog an Mindestanforderungen erfüllen, um in der EU in den Verkehr gebracht zu werden. Der Umfang richtet sich nach dem durch den Hersteller für das Produkt bestimmten Cybersicherheitsrisiko.
  • Anforderungen an Hersteller: Neben dem Cybersicherheitsrisiko und Mindestanforderungen für Produkte gelten für Hersteller weitere Anforderungen: Dokumentationen, Behandlung von Schwachstellen, Sicherheitsupdates, Sicherheitstests sowie Informations- und Meldepflichten.
  • Anforderungen an Einführer und Händler: Neben den Pflichten für Hersteller gibt es auch Anforderungen an Einführer und Händler von Produkten mit digitalen Elementen.
  • Konformität: Durch Produktsicherheitsbewertungen weisen Hersteller die CRA-Konformität von Produkten mit digitalen Elementen in der EU nach, zukünftig auch mit CE-Kennzeichnung.
  • Sanktionen: EU-Staaten erlassen Vorschriften zu Sanktionen bei CRA-Verstößen. Je nach Verstoß können die Sanktionen bis zu 15 Mio. Euro oder 2% des globalen Jahresumsatzes betragen.
  • Überwachung: Die Überwachung des CRA liegt bei den Mitgliedstaaten. Daneben gibt es koordinierte, von der Kommision organisierte Kontrollen ("Sweeps") bei Produkten.

up

Regulierte Produkte

Allgemeines

Die regulierten Produkte mit digitalen Elementen umfassen verschiedene Produktgruppen an Hard- und Software, sowohl für Endverbraucher als auch zur industriellen Nutzung (B2B): Art. 2 (1)

Produkte Beschreibung Anforderungen
Allgemeine Produkte Umfassen Produkte in Form von Hardware mit Netzwerkfähigkeiten sowie Software. Diese Klasse erfasst alle Produkte, also auch solche mit einem sehr geringem Cybersicherheitsrisiko. Es gelten die Mindestanforderungen aus Annex I, deren Umfang sich aus der Cybersicher­heitsrisikobewertung ergibt. Die Konformitätsbewertung kann von den Herstellern selbst durchgeführt werden.
Wichtige Produkte Klasse I Umfassen Produkte mit einem von Natur aus erhöhten Cybersicherheitsrisiko und sind in Annex III definiert. Produkte dieser Klasse regeln z. B. den Zugang zu sensiblen Daten (Passwortmanager, VPN usw.) oder werden in sensiblen Bereichen eingesetzt (Industrielle Steuerungen, SIEM-Systeme o.a.) Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss durch einen externen Prüfer festgestellt werden Art. 32 (2).
Wichtige Produkte Klasse II Umfassen Produkte die den Schutz von Daten und Prozessen in IT-Umgebungen bestimmen und sind in Annex III definiert. Produkte dieser Klasse schützen Netwerke (z. B. Firewalls, IDS), verarbeiten sensible Daten (z. B. manipulationssichere Mikrocontroller) und virtualisieren Umgebungen (Hypervisoren, Container-Runtime-Systeme). Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss immer durch einen externen Prüfer festgestellt werden Art. 32 (3).
Kritische Produkte Umfassen hauptsächlich industrielle Produkte die ein stark erhöhtes Cybersicherheitsrisiko aufweisen und sind in Annex IV definiert. Kritische Produkte verarbeiten oder verwalten u. a. hochsensible Daten (z. B. Hardware-Sicherheitsmodule, Kryptoprozessoren) oder werden in sensiblen Bereichen eingesetzt (z. B. Smart-Meter-Gateways, Chipkarten) Es müssen die Mindestanforderungen erfüllt werden, deren Umfang auf Basis des erhöhten Cybersicherheitsrisikos höher ausfällt. Die Konformität der Produkte muss immer durch einen externen Prüfer festgestellt werden Art. 32 (4).
Ausnahmen Medizinprodukte und In-vitro-Diagnostika Art. 2 (2), Fahrzeuge Art. 2 (2),
Luftfahrt Art. 2 (3), Schifffahrt Art. 2 (4), Ersatzteile Art. 2 (6), nationale Sicherheit und Militär Art. 2 (7) und (8)

Wichtige Produkte

Sogenannte wichtige Produkte mit digitalen Elementen bezeichnen Produkte, die ein erhöhtes Cyber­sicherheitsrisiko aufweisen, z. B. aufgrund von Zugang zu operativer Technik, der Verwendung in sensiblen Umgebungen oder der Verarbeitung von sensiblen oder personenbezogenen Daten.

Wichtige Produkte sind in zwei Klassen eingeteilt – für beide gelten gegenüber allgemeinen Produkten verschärfte Regeln bzgl. des Nachweises der Erfüllung der Produktanforderungen. Art. 6

Wichtige Produkte Klasse I (auszugsweise):

  • Software für Identitätsmanagementsysteme
  • Browser
  • Passwort-Manager
  • Netzmanagementsysteme
  • Betriebssysteme
  • Systeme für die Überwachung des Netzverkehrs
  • Mikrocontroller mit sicherheitsrelevanten Funktionen
  • Router, Modems, Switches
  • virtuelle Assistenten für die intelligente häusliche Umgebung

Wichtige Produkte Klasse II

  • Hypervisoren und Container-Runtime-Systeme
  • intelligente Zähler
  • manipulationssichere Mikrokontroller und Mikroprozessoren
  • Firewalls, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS)

Kritische Produkte

Die Kategorie der kritischen Produkte mit digitalen Elementen umfasst Produkte, die in EU CRA die höchsten Cyber­sicherheitsrisiken aufweisen: Annex IV

  • Hardwaregeräte mit Sicherheitsboxen
  • Smart-Meter-Gateways
  • Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente

Zukünftige Änderungen durch die EU-Kommission an den kritischen Produktkategorien in Annex IV sind denkbar, wobei die EU-Kommission folgende Kriterien berücksichtigt: Art. 8 (2)

  • Kritische Abhängigkeiten wesentlicher Einrichtungen nach EU NIS2 von der Produktkategorie
  • Störungen kritischer Lieferketten durch Sicherheitsvorfälle und ausgenutzt Schwachstellen in Bezug auf die Produktkategorie

Ausnahmen

Für bestimmte Produkte findet der CRA keine Anwendung. Hierzu zählen: Art. 2

  • Medizinische Geräte (Verordnung (EU) 2017/745 und 746)
  • Fahrzeuge (Verordnung (EU) 2019/2144)
  • Produkte der zivilen Luftfahrt (Verordnung (EU) 2018/1139)
  • Produkte zur Schiffsausrüstung (Richtlinie 2014/90/EU)
  • Ersatzteile gemäß Originalspezifikationen
  • Produkte, die ausschließlich für Zwecke der nationalen Sicherheit, für militärische Zwecke oder für die Verarbeitung von Verschlusssachen entwickelt wurden

up

Sicherheitsanforderungen

Cyber Resilience Act

Hersteller regulierter Produkte müssen Cybersecurity nach Annex I Part I beachten, Cybersecurity-Risiken bewerten, dokumentieren und bei der Konzeption, Entwicklung, Herstellung, Lieferung, und Wartung des Produkts berücksichtigen. Art. 13

Gruppe CRA Anforderung
Produkte Annex I Part I Cybersecurity in Produkten
Hersteller Art. 13
Art. 14
Annex I Part II
Art. 31
Annex VII
 Cybersecurity bei Herstellern
Meldepflichten
Schwachstellenmanagement
Technische Dokumentation
Detaillierte Technische Dokumentation
Einfuhr und Handel Art. 19
Art. 20		 Pflichten in der Einfuhr
Pflichten im Handel
Konformität Art. 32
Annex VIII
Art. 28 		Konformitätsbewertung
Bewertungsschema (Modul A, B, C, H)
Konformitätserklärung
Betreiber und
Einrichtungen		 -
§41 BSIG-E
Art. 8 (2) 		Einkauf und Beschaffung
Kritische Komponenten
Kritische Produkte

Die einzelnen Anforderungen und Maßnahmen nach CRA ergeben sich aus einer Verknüpfung der regulierten Produkte (Klassen) und Rolle als Hersteller oder Händler.

up

Cybersecurity in Produkten

Die Mindestanforderungen ergeben sich auf Basis der Risikobewertung sowie der Anwendbarkeit für das Produkt und können folgende Anforderungen umfassen: Annex I Part I Nr. 2

  • Sichere Standardkonfigurationen und Möglichkeit, das Produkt in den Ursprungszustand zurückzusetzen
  • Möglichkeit, Sicherheitslücken durch (automatische) Aktualisierungen schließen zu können
  • Kontrollmechanismen zum Schutz vor unbefugtem Zugriff (Authentifizierungs-, Identitäts- und Zugangsverwaltung)
  • Vertraulichkeit von personenbezogenen und anderen Daten (Verschlüsselung)
  • Integrität von Daten, Befehlen, Programmen und Konfigurationen
  • Datenminimierung
  • Verfügbarkeit wesentlicher Funktionen und Abwehrfähigkeit gegen DoS-Angriffe
  • Beschränkung der negativen Auswirkung auf die Verfügbarkeit von anderen Geräten/Netzen
  • Minimierung der Angriffsfläche auch bei Anschluss an externe Schnittstellen
  • Reduzierung der Auswirkung von Sicherheitsvorfällen durch geeignete Maßnahmen
  • Logging oder Bereitstellung von sicherheitsbezogenen Informationen
  • Einfache und sichere Löschung aller Daten und Einstellungen und ggf. sichere Übertragung auf andere Systeme

up

Anforderungen an Hersteller

Neben den Mindestanforderungen für Produkte müssen die Hersteller von Produkten selbst weitere Anforderungen erfüllen und diese im Rahmen des Konformitätsbewertungsverfahren nachweisen. Die Anforderungen umfassen: Art. 13 Art. 14

Cybersecurity

  • Regelmäßige Aktualisierung der Cybersicherheitsrisikobewertung für das Produkt Art. 13 (3)
  • Erstellung einer technischen Dokumentation, die die Risikobewertung enthält: Art. 13 (4)
    vor Inverkehrbringen Art. 13 (12); Aufbewahrungsdauer mindestens 10 Jahre Art. 13 (13)
  • Sicherstellung, dass von Dritten bezogene Komponenten nicht die Sicherheit des Produkts beeinträchtigen Art. 13 (5)
  • Schwachstellenmeldung an herstellende oder wartende Personen bzw. Einrichtungen Art. 13 (6)
  • Dokumentation aller Cybersicherheitsrisiken und -aspekte einschließlich Schwachstellen Art. 13 (7)
  • Behebung von Schwachstellen über die Produktlebensdauer (maximal 5 Jahre) Art. 13 (8)
  • Sicherstellung der Konformität der Produkte bei Serienfertigung Art. 13 (14)
  • Benennung einer zentralen Anlaufstelle zur Erleichterung der Schwachstellenmeldung Art. 13 (17)
  • Bereitstellung bestimmter Produktinformationen für Nutzer in verständlicher Sprache Art. 13 (18)

Meldepflichten

Mit CRA kommen umfangreiche Meldepflichten auf Hersteller

  • Auskunfts- und Meldepflichten gegenüber Marktüberwachungsbehörden Art. 13 (22)
  • Meldepflichten gegenüber der ENISA über aktiv ausgenutze Schwachstellen und schwerwiegende Vorfälle Art. 14 (1) und (3) — mit jeweils dreistufigem Meldeverfahren (24 Stunden, 72 Stunden, 14 Tage bzw. 1 Monat) Art. 14 (2) bzw. (4)
  • Meldepflichten gegenüber Nutzern über Sicherheitsvorfälle und Gegenmaßnahmen Art. 14 (6)

Schwachstellenmanagement

Neben den Anforderungen aus Art. 13 und Art. 14 müssen Hersteller außerdem Schwachstellen gemäß Annex I Part II behandeln:

  • Ermittlung, Dokumentation, Behandlung, Behebung von Schwachstellen
  • Regelmäßige Überprüfung der Sicherheit des Produkts
  • Über beseitigte Schwachstellen Öffentlichkeit informieren
  • Strategie zur Offenlegung von Schwachstellen
  • Maßnahmen zur Erleichterung zum Austausch über Schwachstellen und im Produkt enthaltene Komponenten
  • Mechanismen zur sicheren Verbreitung von Schwachstellen
  • Unverzügliche und kostenlose Verbreitung von Sicherheitsaktualisierungen

Technische Dokumentation

In der technischen Dokumentation muss der Hersteller angeben, inwiefern das Produkt und die Verfahren des Herstellers den Anhang I Anforderungen genügen. Art. 31 (1)

Die technische Dokumentation muss vor dem Inverkehrbringen des Produkte veröffentlicht Art. 13 (12) und mindestens für eine Dauer von 10 Jahren aufbewahrt werden Art. 18 (3a). Die technische Dokumentation ist Gegenstand der Konformitätsbewertungsverfahren. Annex VIII

Die inhaltlichen Vorgaben der technischen Dokumentation legt Annex VII fest. Ein wesentlicher Bestandteil der technischen Dokumentation ist beispielsweise die Risikobewertung aus Art. 13 Art. 13 (4) Annex VII Nr. 3: Annex VII

  • Allgemeine Beschreibung des Produktes
  • Beschreibung der Konzeption, Entwicklung, Herstellung des Produkts
  • Beschreibung der Verfahren zur Behandlung von Schwachstellen
  • Bewertung der Cybersicherheitsrisiken (siehe unten)
  • Informationen zur Festlegung des Unterstützungszeitraums
  • Angewandte Normen, gemeinsame Spezifikationen oder europäische Schemata für die Cybersicherheits­zertifizierung
  • EU-Konformitätserklärung (siehe unten)
  • Test- und Prüfungsberichte zur Überprüfung der Annex I Anforderungen
  • ggf. Software-Stückliste (SBOM) auf begründetes Verlangen der Marktüberwachungsbehörde

up

Anforderungen an Einführer und Händler

Neben den Herstellern müssen auch Importeure und Händler von Produkten mit digitalen Elementen verschiedene Pflichten erfüllen, die sich vor allem mit Konformität und Kennzeichnung der Produkte sowie Meldepflichten befassen.

Einführer

Für Einführer gelten u.a. die folgenden Pflichten: Art. 19

  • Sicherstellen, dass für das Produkt eine Konformitätsbewertung durchgeführt wurde Art. 19 (2a)
  • Sicherstellen, dass für das Produkt eine technische Dokumentation erstellt wurde Art. 19 (2b)
  • Sicherstellen, dass das Produkt mit einer CE-Kennzeichnung versehen wurde und die Gebrauchsanweisung die vorgeschriebenen Informationen beinhaltet Art. 19 (2c)
  • Meldepflicht gegenüber dem Hersteller und Behörden über erhebliche Cyberrisiken Art. 19 (3)
  • Anbringen von Kontaktinformationen auf dem Produkt oder beigefügten Unterlagen Art. 19 (4)

Händler

Für Händler gelten u.a. folgende Pflichten: Art. 20

  • Sicherstellen, dass das Produkt mit einer CE-Kennzeichnung versehen wurde Art. 20 (2a)
  • Sicherstellen, dass Hersteller und Einführer ihrer Kennzeichnungspflicht nachgekommen sind Art. 19 (2b)
  • Meldepflicht gegenüber dem Hersteller und Behörden über erhebliche Cyberrisiken Art. 19 (2c)

Haben Einführer oder Händler Grund zur Annahme, dass ein Produkt oder Hersteller die Anforderungen aus dem CRA nicht erfüllt, dürfen sie das betreffende Produkt nicht in den Verkehr bringen. Art. 19 (3) bzw. Art. 20 (3)

up

Konformität

EU-Konformitätsbewertung

Durch ein Konformitätsbewertungsverfahren weist der Hersteller eines Produkts nach, dass es die Anforderungen der anzuwendenen EU-Verordnungen erfüllt. Die Konformitätsbewertung muss durch den Hersteller vor dem erstmaligen Inverkehrbringen erfolgen. Art. 32

Nach Abschluss der Bewertung stellt der Hersteller für das Produkt eine Konformitätserklärung aus, in der er erklärt, dass das Produkt zu den ensprechenden EU-Vorgaben konform ist. Wenn vorgesehen, wird eine CE-Kennzeichnung auf dem Produkt angebracht. Art. 13 (12) Art. 28 (1) Art. 30

In CRA wird die Praxis von Konformitätsbewertungen auf Produkte mit digitalen Elementen erweitert.

Konformitätsbewertungsverfahren

Die Konformitätsbewertung kann auf verschiedenen Wegen durchgeführt werden, wofür die Verordnung vier sogenannte Module nennt, die für die CRA-Konformitätsbewertung angewendet werden können: Module A, B, C und H. Zusätzlich können (zukünftige) europäische Schemata für die Cybersicherheitszertifizierung als Konformitätsbewertung dienen. Annex VIII

Zuordnung der Produktarten zu Konformitätsbewertungsmethoden
  1. Nur in Verbindung mit Modul B
  2. Sofern verfügbar und anwendbar
  3. Nur anwendbar, wenn harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung vorhanden sind und vollständig umgesetzt wurden
  4. Mindestens Vertrauenswürdigkeitsstufe mittel notwendig
  5. Sobald die EU-Kommission nach Art. 8 (1) festlegt, welche kritischen Produkte ein EU-Zertifikat mindestens der Vertrauenswürdigkeitsstufe mittel erhalten müssen. Bis dahin finden die Konformitätsbewertungsmethoden für wichtige Produkte der Klasse II Anwendung
Produktart Modul A Modul B Modul C¹ Modul H Zertifizierung
Allgemeine Produkte ²
Wichtige Produkte Klasse I ³ ² ⁴
Wichtige Produkte Klasse II ² ⁴
Kritische Produkte ⁴ ⁵

Im Allgemeinen können die Module A, B, C und H sowie EU-Zertifizierungen nach Art. 27 (9) für die Konformitätsbewertung von Produkten mit digitalen Elementen verwendet werden. Art. 32 (1)

Produkte Klasse I und II

Mit steigender Kritikalität steigen die Anforderungen an die Konformitäts­bewertungsmethoden. Wichtige Produkte der Klasse I können nur anhand Modul A bewertet werden, wenn sie harmonisierte Normen, gemeinsame Spezifikationen oder ein europäisches Schema für die Cybersicherheits­zertifizierung erfüllen. Art. 32 (2)

Wichtige Produkte der Klasse II müssen immer einer Konformitätsbewertung nach Modul B und C oder H unterzogen werden. Art. 32 (3)

Cybersicherheitszertifizierungen für die Konformitätsbewertung von wichtigen Produkten der Klasse I und höher müssen mindestens die Vertrauenswürdigkeitsstufe mittel vorweisen. Art. 27 (9) Art. 8 (1)

Kritische Produkte

Solange die EU-Kommission noch nicht festgelegt hat, welche kritischen Produkte ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe mittel erhalten müssen, werden kritische Produkte wie wichtige Produkte der Klasse II bewertet Art. 32 (4).

Konformitätsvermutung

Unter bestimmten Umständen kann davon ausgegangen werden, dass ein Produkt mit digitalen Elementen die Annex I Anforderungen erfüllt. Dies kann die Konformitätsbewertung unterstützen und beeinflusst im Falle von wichtigen Produkten der Klasse I, ob Modul A zur Bewertung herangezogen werden darf. Hierfür gibt es grundsätzlich drei verschiedene Optionen: Art. 27

  1. Das Produkt stimmt mit einer harmonisierten, im Amtsblatt der EU veröffentlichen Norm oder Teilen davon überein und diese Norm deckt dieselben Annex I Anforderungen ab Art. 27 (1)
  2. Das Produkt erfüllt eine von der Kommisson durch einen Durchführungsrechtsakt (Implementing Act) erlassene gemeinsame Spezifikation Art. 27 (2)
  3. Für das Produkt existiert bereits eine EU-Konformitätserklärung oder Cybersicherheits-Zertifikat nach (EU) 2019/881, welche die Annex I Anforderungen abdecken. Art. 27 (8)

up

Module zur Konformitätsbewertung

Übersicht Module

Beschreibung der Konformitätsbewertungsmethoden und deren Bewertungsgegenstand
Modul Beschreibung Bewertungsgegenstand
A Interne Kontrolle durch den Hersteller Technische Dokumentation; Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen nach Annex I; Konformitätskennzeichnung und -erklärung
B Bewertung der Eignung der technischen Konzeption und Entwicklung durch eine notifizierte Stelle ("Baumusterprüfung") Technische Dokumentation, zusätzliche Nachweise und Produktmuster
C Interne Fertigungskontrolle auf Übereinstimmung mit dem Baumuster Herstellung, Konformitätskennzeichnung und -erklärung
H Bewertung eines Qualitätssicherungssystem durch eine notifizierte Stelle. Qualitätssicherungssystem (Qualitätsziele, (verfahrens-)technische Spezifikationen, Aufzeichnungen etc.) für die Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen

Modul A

Bei Modul A handelt es sich um ein Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle. Hierbei erklärt der Hersteller auf eigene Verantwortung, dass er alle an ihn selbst und an das Produkt gestellte Anforderungen erfüllt. Bei dieser Bewertung wird keine externe Stelle in den Bewertungsprozess einbezogen. Annex VIII Part I

Dieses Verfahren ist nur auf Produkte mit digitalen Elementen anwendbar, die weder als wichtig noch als kritisch eingestuft sind.

Modul B

Bei Modul B handelt es sich um eine sogenannte EU-Baumusterprüfung. Bei diesem Verfahren prüft eine notifizierte Stelle die technische Konzeption und Entwicklung eines Produkts und die vom Hersteller definierten Verfahren zur Behandlung von Schwachstellen. Die Prüfstelle bescheinigt gegebenenfalls, dass das Produkt den Anforderungen entspricht. Annex VIII Part II

Die Prüfung bewertet die Eignung der technischen Konzeption und Entwicklung des Produkts anhand der technischen Dokumentation und zusätzlicher Nachweise in Annex VIII Part II Nr. 3 sowie anhand der Prüfung von Mustern eines oder mehrerer wichtiger Teile des Produkts.

Modul C

Modul C findet nur zusammen mit Modul B Anwendung. Bei dieser Variante bewertet der Hersteller die Konformität des Produkts mit dem bereits nach Modul B bewerteten Baumuster für in Serie gefertigte Produkte. Annex VIII Part III

Modul H

Bei der Konformitätsbewertung nach Modul H wird nicht das Produkt selbst, sondern ein vom Hersteller eingerichtetes Qualitätssicherungssystem durch die notifizierte Stelle überprüft. Hierbei wird festgestellt, ob das Qualitätssicherungssystem die Konformität des Produkts mit den Annex I Anforderungen sicherstellt Annex VIII Part IV.

up

Konformitätserklärung

Dokumentation der Erklärung

Nach erfolgreicher Konformitätsbewertung erstellt der Hersteller eine Konformitätserklärung. Damit übernimmt er die Verantwortung für die Konformität des Produkts. Die Erklärung muss dabei folgende Elemente enthalten: Art. 28 Annex V

  • Informationen wie Name und Typ zur eindeutigen Identifizierung des Produkts
  • Name und Anschrift des Herstellers
  • Erklärung, dass der Hersteller die alleinige Verantwortung für die EU-Erklärung trägt
  • Gegenstand der Erklärung wie Bezeichnung des Produkts, ggf. mit Foto
  • Erklärung, dass das Produkt einschlägigen Harmonisierungsvorschriften der EU entspricht
  • Verweise auf verwendete Normen oder Sicherheitszertifizierungen, für die Konformität erklärt wird
  • Gegebenenfalls den Namen und die Kennnummer der notifizierten Prüfstelle, Beschreibung des Konformitätsbewertungsverfahrens und Kennnummer der Bescheinigung
  • Unterschrift inkl. Ort und Datum der Ausstellung sowie Name und Funktion

Die Konformitätserklärung ist Bestandteil der für die Hersteller verpflichtenden technischen Dokumentation und muss dieser beigelegt werden. Annex VII Nr. 7

CE-Kennzeichnung

Hersteller von Produkten mit digitalen Elementen müssen nach erfolgreicher Konformitäts­bewertung das CE-Kennzeichen auf dem Produkt anbringen. Falls nicht möglich, kann das CE-Kennzeichen auch auf der Verpackung oder der beigefügten Konformitätserklärung angebracht werden. Art. 30 (1)

Bei Softwareprodukten, kann das CE-Kennzeichen auf der Konformitätserklärung oder auf einer die Software begleitenden Website angebracht werden. Art. 30 (1)

up

Marktüberwachung

Marktüberwachungsbehörden

Die EU-Mitgliedsstaaten uuml;berwachen die Einhaltung des CRA durch Hersteller von Produkten mit digitalen Elementen. Mitgliedstaaten legen dafür Marktüberwachungsbehörden fest. Art. 52 (2)

In Deutschland übernimmt das Bundesamt für Informationssicherheit (BSI) die Rolle der Markt­überwachungs­behörde. Der CRA sieht Zusammenarbeit und Informationsaustausch zwischen den Behörden der Mitgliedstaaten und EU-Behörden wie der ENISA vor. Art. 52 (4)

Die Marktüberwachungsbehörden erstatten der Kommission jährlich Bericht. Art. 52 (13)

Befugnisse

Die Marktüberwachungsbehörden verfügen über umfassende Befugnisse, um die Einhaltung des CRA sicherzustellen. Die Befugnisse umfassen:

  • Zugang zu Informationen: Marktüberwachungsbehörden können durch einen begründeten Antrag Zugang zu den Daten, die für die Bewertung der Konzeption, Entwicklung, Herstellung und die Behandlung von Schwachstellen solcher Produkte erforderlich sind verlangen, einschließlich der betreffenden internen Unterlagen vom Hersteller. Art. 53
  • Überprüfung der Erfüllung von Anforderungen: Liegen hinreichende Gründe zu der Annahme vor, dass ein Produkt ein erhebliches Cybersicherheitsrisiko birgt, überprüfen die Marktüberwachungsbehörden die Einhaltung der Anforderungen. Art. 54 (1)
  • Aufforderung zur Nachbesserung: Wird eine Nichteinhaltung der Anforderungen festgestellt, fordern die Marktüberwachungsbehörden die Hersteller zur Nachbesserung auf, unter Nennung einer angemessenen Frist. Art. 54 (1)
  • Einschränkung der Bereitstellung: Kommen Hersteller der Aufforderung zur Nachbesserung in der ausgewiesenen Frist nicht nach, ergreifen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen. Art. 54 (5)
  • Erweiterte Anforderungen: Unter besonderen Umständen (erhebliches Cybersicherheitsrisiko und Gefahr für Gesundheit oder Sicherheit von Personen, Verwendung in wesentlichen Einrichtungen nach EU NIS2, Risiko für den Schutz öffentlicher Interessen) können Marktüberwachungsbehörden auch für Produkte, die die CRA Anforderungen erfüllen, erweiterte Anforderungen aufstellen und von den Herstellern die Umsetzung verlangen. Art. 57 (1)

EU-Marktüberwachung

Neben den nationalen Marktüberwachungsbehörden haben auch die Kommission und die ENISA Marktüberwachungsbefugnisse im Rahmen von EU CRA.

Beide können gemeinsam auf erhebliche Cybersicherheitsbedrohungen in Produkten reagieren, wenn diese das reibungslose Funktionieren des Binnenmarkts gefährden und die zuständige nationale Behörde keine angemessenen Maßnahmen ergriffen hat. Nach einer ENISA-Bewertung kann die Kommision Maßnahmen (bis Rückruf und Rücknahme) ergreifen. Art. 56

Koordiniert durch die Kommission können nationale Marküberwachungsbehörden gleichzeitige Kontrollen (Sweeps) zu bestimmten Produkten mit digitalen Elementen durchführen. Art. 60 (1) (2)

up

Sanktionen

Mitgliedsstaaten müssen Sanktionen, die bei Verstößen gegen den CRA verhängt werden und notwendige Maßnahmen entscheiden. Alle Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Art. 64 (1) Für die Höhe der Sanktionen macht der CRA folgende Vorgaben: Art. 64

  • Nichteinhaltung der grundlegenden Annex I Anforderungen an Produkte und Hersteller: bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (2)
  • Verstöße gegen andere Pflichten: bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (3)
  • Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen: bis zu 5 Millionen Euro oder bis zu 1 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Art. 64 (4)

Bei der Höhe der Sanktionen gilt der jeweils höhere Wert als Obergrenze.

up

Roadmap

Unternehmen

Betreiber und Einrichtungen

Betreiber kritischer Anlagen und NIS2-regulierte Einrichtungen sind selbst nicht (unbedingt) direkt von EU CRA betroffen, solange sie nicht auch Produkte mit digitalen Elementen herstellen, einführen oder vertreiben. Die Fragen für regulierte Einrichtungen stellen sich hier bei der Beschaffung und dem Einsatz von CRA-regulierten Komponenten und einer Überschneidung zu kritischen Komponenten.

Kritische Komponenten

Aufgrund der Überschneidungen von kritischen Komponenten (NIS2) und CRA Komponenten können Verstöße der Herstellers gegen CRA-Pflichten auch zum Verlust seiner Vertrauenswürdigkeit führen.

Betreiber kritischer Anlagen sollten bei der Wahl der Hersteller ihrer kritischen Komponenten darauf achten, dass die Hersteller die CRA-Vorgaben kennen und befolgen. Andernfalls kann der Einsatz kritischer Komponenten desselben Herstellers untersagt werden. §41 BSIG-E

Hersteller

Hersteller von Produkten mit digitalen Elementen sollten sich frühzeitig mit den Auswirkungen von EU CRA auf die eigenen Produkte zu befassen. Dies gilt insbesondere für Hersteller von kritischen Produkten, die voraussichtlich eine notifizierte Stelle mit der Konformitätsbewertung beauftragen müssen. Da EU CRA nicht in nationales Recht überführt werden muss, können sich Hersteller bereits jetzt mit den Anforderungen befassen und die Umsetzung vorbereiten.

up

EU Gesetzgebung

Grundlegend für die Konformitätsbewertung sind harmonisierte Normen, die von den Europäischen Normungsorganisationen CEN, CENELEC und ETSI entwickelt werden. Deren Anwendung ist zwar freiwillig, bietet jedoch rechtliche Sicherheit bei der Umsetzung der Annex I Anforderungen.

Im April 2025 haben die Europäischen Normungsorganisationen bekannt gegeben, dass die harmonisierten Normen, unterteilt in drei Arten, stufenweise veröffentlicht werden:

Zeitrahmen anstehender harmonisierter Normen, April 2025
Normart Scope Normungsorganisation Deadline
A-Normen Horizontales Rahmenwerk
(Grundsätze, Begriffe, Rahmenbedingungen)		 CEN, CENELEC 30. August 2026
B-Normen Produkt-unabhängige technische Maßnahmen,
Schwachstellenmanagement		 CEN, CENELEC 30. Oktober 2027
(Schwachstellen­behandlung
30. August 2026)
C‑Normen Wichtige und kritische Produkte CEN, CENELEC, ETSI 30. Oktober 2026

Zeitleiste

EU CRA ist seit Dezember 2024 in Kraft und wird bis im Dezember 2027 vollständig umgesetzt. Bis dahin gibt es zahlreiche Meilensteine für bestimmte Pflichten, die teilweise auch Hersteller betreffen.

Zeitleiste CRA, Stand November 2025
Datum Status Akteur
2021 Erste Vorstellung Kommissionspräsidentin
September 2022 Vorschlag EU-Kommission
März 2024 Annahme EU Parlament
Oktober 2024 Verabschiedung Rat der Europäischen Union
Dezember 2024 CRA in Kraft Europäische Union
Juni 2026 Inkrafttreten Kapitel IV Notifizierte Stellen
August 2026 Veröffentlichung A-Normen (B-Normen tw.) CEN, CENELEC
September 2026 Inkrafttreten Hersteller-Meldepflichten Betroffene Hersteller
Oktober 2026 Veröffentlichung C-Normen CEN, CENELEC, ETSI
Oktober 2027 Veröffentlichung B-Normen CEN, CENELEC
Dezember 2027 Vollständige Anwendung der Verordnung Hersteller & Produkte

up

Quellen

  1. Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung), Amtsblatt der Europäischen Union, 23. Oktober 2024
  2. Cyber Resilience Act and the horizontal standards, Europäische Normungsorganisationen CEN and CENELEC, 08. April 2025
  3. CRA: Wann kommen die harmonisierten Normen?, Sarah Fluchs, 02. Juni 2025