Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)

Problem

Der Cyber Resilience Act schreibt nicht für jedes Produkt dasselbe Konformitätsbewertungsverfahren vor. Ob ein Hersteller sich selbst bewerten darf oder eine notifizierte Stelle einschalten muss, hängt an der Einstufung: Standardprodukt, wichtiges Produkt (Anhang III, Klasse I oder II) oder kritisches Produkt (Anhang IV). Die Regeln dazu stehen in Artikel 32 und verweisen auf die Module in Anhang VIII. Wer die Einstufung falsch liest, wählt das falsche Verfahren - und merkt es im schlimmsten Fall erst, wenn die CE-Kennzeichnung angreifbar wird. Viele Hersteller erfassen ihre Produktklasse, aber niemand führt sie von dort zum passenden Pfad.

Kurze Antwort

Dernium CRA-Nachweis hat dafür einen Konformitätsbewertungs-Lotsen. Er nimmt die erfasste Einstufung, fragt bei wichtigen Produkten die Anhang-III-Klasse und den Stand der angewandten harmonisierten Normen ab und bestimmt daraus den nach Art. 32 zulässigen Pfad: Standardprodukte dürfen sich selbst bewerten (Modul A); wichtige Produkte der Klasse I nur, wenn harmonisierte Normen, gemeinsame Spezifikationen oder eine Zertifizierung (Niveau mind. „substanziell“) vollständig angewendet wurden - sonst ist eine Dritt-Prüfung nötig (Modul B+C oder Modul H); Klasse II und kritische Produkte schließen die Selbstbewertung aus. Dazu kommt eine Abdeckungs-Checkliste der wesentlichen Anforderungen aus Anhang I. Dernium gibt keine Konformitätsbewertung ab; Einstufung und Wahl bleiben beim Hersteller.

Tiefgang

Die Entscheidung als reine Funktion. Der Lotse bildet Art. 32 als deterministische Tabelle ab: aus (Einstufung, Anhang-III-Klasse, Normen-Stand) folgt eine Empfehlung mit den zulässigen Verfahren, einem Selbstbewertungs- bzw. Dritt-Prüfungs-Hinweis und einer Klartext-Begründung. Diese Logik ist als pure, getestete Funktion gekapselt, damit kein Pfad versehentlich ein unzulässiges Verfahren durchlässt - etwa Modul A für ein Klasse-II-Produkt.

Das Verfahren lässt sich nicht falsch festschreiben. Wählt der Hersteller ein Verfahren, prüft der Lotse es gegen die für seine Einstufung zulässige Menge. Ein Klasse-II-Produkt mit „Modul A“ lässt sich gar nicht erst speichern. So ist die festgehaltene Wahl immer konsistent mit der Einstufung - das ist der eigentliche Mehrwert gegenüber einem Freitextfeld.

Module in Klartext. Modul A ist die interne Kontrolle (Selbstbewertung ohne notifizierte Stelle), Modul B+C die EU-Baumusterprüfung mit anschließender Konformität mit der Bauart, Modul H die umfassende Qualitätssicherung; die beiden letzteren brauchen eine notifizierte Stelle. Für kritische Produkte (Anhang IV) ist der Primärweg ein europäisches Cybersicherheitszertifikat nach Art. 8(1) - solange kein delegierter Rechtsakt das verlangt, gilt der Fallback auf die Klasse-II-Verfahren.

Checkliste entlang Anhang I. Unabhängig vom Verfahren müssen die wesentlichen Anforderungen erfüllt sein. Der Lotse listet sie strukturiert: Teil I (Produkteigenschaften, Buchstaben a bis m) und Teil II (Schwachstellenbehandlung, Nummern 1 bis 8). Je Anforderung hält der Hersteller fest, ob sie abgedeckt, teilweise abgedeckt oder offen ist, und verweist auf die Norm oder den Nachweis. Eine Abdeckungs-Übersicht zeigt den Stand.

Harmonisierte Normen: noch nicht da. Der Lotse weist ausdrücklich darauf hin, dass die harmonisierten CRA-Normen erst erarbeitet werden (Normungsauftrag M/606 an CEN/CENELEC/ETSI). Bis sie im EU-Amtsblatt zitiert sind, entsteht aus ihnen keine Konformitätsvermutung (Art. 27) - und für wichtige Produkte der Klasse I bedeutet ihr Fehlen, dass der Weg über die notifizierte Stelle führt.

Abgelehnte Alternativen

• Freitextfeld für das Verfahren. Lässt jede Eingabe zu, auch die unzulässige. Der Lotse erzwingt stattdessen Konsistenz zwischen Einstufung und gewähltem Verfahren.
• Die Klasse fest an jedes Produkt schreiben. Die Anhang-III-Klasse (I/II) ist nur für wichtige Produkte relevant; sie gehört in die Bewertung, nicht als Pflichtfeld an jedes Produkt.
• Harmonisierte Normen vortäuschen. Wir behaupten keine Normen, die es noch nicht gibt, und benennen den Entwicklungsstand offen.
• „Wir bewerten für Sie“. Konformitätsbewertung, Verfahrenswahl und CE-Kennzeichnung sind Herstellerpflichten; eine Stellvertretung wäre haftungs- und RDG-kritisch.

Wie Dernium hilft

Sie erfassen das Produkt mit seiner Einstufung wie gewohnt. Der Lotse führt Sie von dort zum zulässigen Bewertungspfad, hält Ihre Verfahrenswahl konsistent und gibt Ihnen eine Checkliste an die Hand, mit der Sie die Abdeckung der Anhang-I-Anforderungen belegen. Eine Erklärschicht benennt zu jedem Schritt, was er bedeutet, und eine klare Linie trennt, was wir beisteuern, von dem, was Sie als Hersteller verantworten. Die Angaben fließen in Ihre EU-Konformitätserklärung.

Offene Punkte

• Einstufung, Verfahrenswahl, Konformitätsbewertung und CE-Kennzeichnung bleiben Ihre Aufgabe. Der Lotse ist eine Hilfe, keine Konformitätsaussage von Dernium und keine Rechtsberatung.
• Sobald harmonisierte Normen im EU-Amtsblatt zitiert sind, wird die Checkliste um konkrete Norm-Referenzen ergänzt.

Verifikation

Die Verfahren richten sich nach Artikel 32 und Anhang VIII (Module A, B, C, H), die Produktklassen nach Anhang III (wichtig, Klasse I/II) und Anhang IV (kritisch), die wesentlichen Anforderungen nach Anhang I (Teil I und II). Der Stand der harmonisierten Normen folgt dem Normungsauftrag M/606.

Mehr aus unserer CRA-Reihe

• Cyber Resilience Act: Überblick für Softwarehersteller
• SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
• CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
• CRA-Konformitätsnachweise: Anhang V/VII und CE (ab 2027)
• Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
• DoC- und Tech-Doc-Generator: Anhang V/VII als PDF
• Schwachstellen über den Support-Zeitraum behandeln: SLA-Uhr und Behebungs-Lebenslauf
• CRA Anhang II: Nutzerinformationen und Anleitungen als PDF