Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)
Der Cyber Resilience Act schreibt je nach Einstufung ein bestimmtes Konformitätsbewertungsverfahren vor (Art. 32): Standardprodukte dürfen sich selbst bewerten, wichtige Produkte der Klasse I nur unter Bedingungen, Klasse II und kritische Produkte brauchen eine Dritt-Prüfung. Dernium CRA-Nachweis hat dafür einen Lotsen, der aus der Einstufung den zulässigen Pfad bestimmt, die Verfahrenswahl konsistent hält und eine Abdeckungs-Checkliste der wesentlichen Anforderungen (Anhang I) bietet. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Abgelehnte Alternativen
- Was Sie jetzt tun sollten
- Wie Dernium hilft
- Verifikation
- Offene Punkte
- Häufige Fragen
- Darf ich mein Produkt selbst bewerten oder brauche ich eine Prüfstelle?
- Was ist eine notifizierte Stelle?
- Was bedeutet es, dass die harmonisierten Normen noch nicht vorliegen?
- Trifft Dernium die Konformitätsentscheidung für mich?
- Was passiert, wenn ich das Verfahren falsch wähle?
- Mehr aus unserer CRA-Reihe
Problem
Der Cyber Resilience Act (CRA, EU-Verordnung zur Cyber-Widerstandsfähigkeit von Produkten mit digitalen Elementen) schreibt nicht für jedes Produkt dasselbe Prüfverfahren vor. Ob Sie sich selbst bewerten dürfen oder eine unabhängige Prüfstelle einschalten müssen, hängt an der Einstufung: Standardprodukt, wichtiges Produkt (Anhang III, Klasse I oder II) oder kritisches Produkt (Anhang IV). Die Regeln stehen in Artikel 32 und verweisen auf die Module (vorgegebene Prüfverfahren) in Anhang VIII. Wer die Einstufung falsch liest, wählt das falsche Verfahren - und merkt es oft erst, wenn die CE-Kennzeichnung (Konformitätskennzeichen für den EU-Markt) angreifbar wird. Viele Hersteller erfassen ihre Produktklasse, aber niemand führt sie von dort zum passenden Pfad.
Für wen ist das? Für Hersteller, die das richtige CRA-Konformitätsbewertungsverfahren wählen müssen.
Kurze Antwort
Dernium CRA hat dafür einen Konformitätsbewertungs-Lotsen - einen Wegweiser durch die Prüfverfahren. Er nimmt die erfasste Einstufung und führt von dort zum nach Art. 32 zulässigen Pfad.
- Er fragt bei wichtigen Produkten die Anhang-III-Klasse und den Stand der harmonisierten Normen (EU-weit abgestimmte technische Regeln) ab.
- Standardprodukte dürfen sich selbst bewerten (Modul A).
- Wichtige Produkte der Klasse I nur dann selbst, wenn harmonisierte Normen, gemeinsame Spezifikationen oder eine Zertifizierung (Niveau mind. "substanziell") vollständig angewendet wurden - sonst prüft eine unabhängige Stelle (Modul B+C oder Modul H).
- Klasse II und kritische Produkte schließen die Selbstbewertung aus.
- Dazu kommt eine Checkliste der wesentlichen Anforderungen aus Anhang I. Dernium gibt keine Konformitätsbewertung ab; Einstufung und Wahl bleiben bei Ihnen.
Tiefgang
Die Entscheidung als feste Regel. Der Lotse bildet Art. 32 als Tabelle ab: aus Einstufung, Anhang-III-Klasse und Normen-Stand folgt eine Empfehlung mit den zulässigen Verfahren, einem Hinweis auf Selbst- oder Fremdprüfung und einer Begründung im Klartext. Die Logik ist getestet gekapselt (in sich abgeschlossen und automatisch überprüft), damit kein Pfad ein unzulässiges Verfahren durchlässt - etwa Modul A für ein Klasse-II-Produkt.
Das Verfahren lässt sich nicht falsch festschreiben. Wählen Sie ein Verfahren, prüft der Lotse es gegen die für Ihre Einstufung zulässige Menge. Ein Klasse-II-Produkt mit "Modul A" lässt sich gar nicht erst speichern. So bleibt die Wahl immer konsistent mit der Einstufung - der eigentliche Mehrwert gegenüber einem Freitextfeld.
Module in Klartext. Modul A ist die interne Kontrolle (Selbstbewertung ohne Prüfstelle), Modul B+C die EU-Baumusterprüfung (Prüfung eines Musters durch eine Stelle) mit anschließender Bestätigung, dass die Serie der geprüften Bauart entspricht, Modul H die umfassende Qualitätssicherung; die beiden letzteren brauchen eine notifizierte Stelle - eine staatlich anerkannte unabhängige Prüfstelle. Für kritische Produkte (Anhang IV) ist der Primärweg ein europäisches Cybersicherheitszertifikat nach Art. 8(1); solange kein delegierter Rechtsakt (nachgelagerte EU-Vorschrift) das verlangt, gilt der Fallback (Rückfallweg) auf die Klasse-II-Verfahren.
Checkliste entlang Anhang I. Unabhängig vom Verfahren müssen die wesentlichen Anforderungen erfüllt sein. Der Lotse listet sie strukturiert: Teil I (Produkteigenschaften, Buchstaben a bis m) und Teil II (Schwachstellenbehandlung, Nummern 1 bis 8). Je Anforderung halten Sie fest, ob sie abgedeckt, teilweise abgedeckt oder offen ist, und verweist auf die Norm oder den Nachweis.
Harmonisierte Normen: noch nicht da. Harmonisierte Normen sind EU-weit abgestimmte technische Regeln; wer sie einhält, gilt als gesetzeskonform. Der Lotse weist darauf hin, dass die CRA-Normen erst erarbeitet werden (Normungsauftrag M/606 an die europäischen Normungsorganisationen CEN, CENELEC und ETSI). Bis sie im EU-Amtsblatt zitiert sind, entsteht aus ihnen keine Konformitätsvermutung (Art. 27) - und für wichtige Produkte der Klasse I bedeutet ihr Fehlen, dass der Weg über die notifizierte Stelle führt.
Abgelehnte Alternativen
- Freitextfeld für das Verfahren. Lässt jede Eingabe zu, auch die unzulässige. Der Lotse erzwingt stattdessen Konsistenz zwischen Einstufung und Verfahren.
- Die Klasse fest an jedes Produkt schreiben. Die Anhang-III-Klasse (I/II) ist nur für wichtige Produkte relevant; sie gehört in die Bewertung, nicht als Pflichtfeld an jedes Produkt.
- Harmonisierte Normen vortäuschen. Wir behaupten keine Normen, die es noch nicht gibt, und benennen den Entwicklungsstand offen.
- "Wir bewerten für Sie". Konformitätsbewertung, Verfahrenswahl und CE-Kennzeichnung sind Herstellerpflichten; eine Stellvertretung wäre haftungs- und RDG-kritisch (RDG = Rechtsdienstleistungsgesetz, das die Rechtsberatung regelt).
Was Sie jetzt tun sollten
- Klären Sie zuerst die Einstufung Ihres Produkts: Standardprodukt, wichtiges Produkt (Anhang III, Klasse I oder II) oder kritisches Produkt (Anhang IV). Davon hängt alles Weitere ab.
- Prüfen Sie bei wichtigen Produkten der Klasse I, ob harmonisierte Normen, gemeinsame Spezifikationen oder eine passende Zertifizierung vollständig anwendbar sind - sonst müssen Sie eine notifizierte Stelle einplanen.
- Wenn eine notifizierte Stelle nötig wird, kalkulieren Sie früh Zeit und Kosten ein; verfügbare Stellen und Termine sind begrenzt.
- Arbeiten Sie die Anhang-I-Checkliste durch und halten Sie pro Anforderung fest, ob sie abgedeckt, teilweise abgedeckt oder offen ist, mit Verweis auf den jeweiligen Nachweis.
- Lassen Sie Einstufung und Verfahrenswahl im Zweifel rechtlich gegenprüfen - der Lotse strukturiert die Entscheidung, ersetzt aber keine Rechtsberatung.
Wie Dernium hilft
Sie erfassen das Produkt mit seiner Einstufung wie gewohnt. Der Lotse führt Sie zum zulässigen Bewertungspfad, hält Ihre Verfahrenswahl konsistent und gibt Ihnen eine Checkliste an die Hand, mit der Sie die Anhang-I-Anforderungen belegen. Eine Erklärschicht benennt zu jedem Schritt, was er bedeutet; eine klare Linie trennt, was wir beisteuern, von dem, was Sie als Hersteller verantworten. Die Angaben fließen in Ihre EU-Konformitätserklärung (Dokument, mit dem Sie selbst die Einhaltung des CRA erklären).
Verifikation
Die Verfahren richten sich nach Artikel 32 und Anhang VIII (Module A, B, C, H), die Produktklassen nach Anhang III (wichtig, Klasse I/II) und Anhang IV (kritisch), die wesentlichen Anforderungen nach Anhang I (Teil I und II). Der Stand der harmonisierten Normen folgt dem Normungsauftrag M/606.
Offene Punkte
- Einstufung, Verfahrenswahl, Konformitätsbewertung und CE-Kennzeichnung bleiben Ihre Aufgabe. Der Lotse ist eine Hilfe, keine Konformitätsaussage von Dernium und keine Rechtsberatung.
- Sobald harmonisierte Normen im EU-Amtsblatt zitiert sind, wird die Checkliste um konkrete Norm-Referenzen ergänzt.
Häufige Fragen
Darf ich mein Produkt selbst bewerten oder brauche ich eine Prüfstelle?
Das hängt allein an der Einstufung. Standardprodukte dürfen Sie selbst bewerten (Modul A, interne Kontrolle). Wichtige Produkte der Klasse I auch, aber nur wenn Sie passende harmonisierte Normen, gemeinsame Spezifikationen oder eine substanzielle Zertifizierung vollständig anwenden - andernfalls muss eine notifizierte Stelle prüfen. Bei Klasse II und kritischen Produkten ist die Selbstbewertung ausgeschlossen.
Was ist eine notifizierte Stelle?
Eine notifizierte Stelle ist eine staatlich anerkannte, unabhängige Prüforganisation, die für bestimmte Module die Konformität eines Produkts prüft. Sie kommt ins Spiel, wenn die Selbstbewertung nicht zulässig ist, etwa bei Klasse-II-Produkten oder bei Klasse-I-Produkten ohne anwendbare harmonisierte Normen. Da diese Prüfungen Zeit und Budget binden, sollten Sie früh klären, ob Sie eine brauchen.
Was bedeutet es, dass die harmonisierten Normen noch nicht vorliegen?
Harmonisierte Normen sind technische Regeln, deren Einhaltung als Beleg für Gesetzeskonformität gilt (Konformitätsvermutung). Für den CRA werden sie derzeit erst erarbeitet (Auftrag M/606). Bis sie im EU-Amtsblatt zitiert sind, können Sie sich nicht auf sie berufen. Für wichtige Produkte der Klasse I heißt das praktisch: Ohne anwendbare Normen führt der Weg über die notifizierte Stelle.
Trifft Dernium die Konformitätsentscheidung für mich?
Nein. Der Lotse strukturiert die Entscheidung und verhindert, dass Sie ein zu Ihrer Einstufung unzulässiges Verfahren festschreiben. Die Einstufung selbst, die Verfahrenswahl, die eigentliche Konformitätsbewertung und die CE-Kennzeichnung bleiben Herstellerpflichten. Dernium gibt keine Konformitätsaussage ab und leistet keine Rechtsberatung.
Was passiert, wenn ich das Verfahren falsch wähle?
Eine falsche Verfahrenswahl macht Ihre CE-Kennzeichnung angreifbar - im schlimmsten Fall stellt sich erst spät heraus, dass Ihr Produkt nicht ordnungsgemäß bewertet wurde, was Marktrücknahme oder Bußgelder nach sich ziehen kann. Der Lotse beugt genau dem vor, indem er nur Verfahren zulässt, die zu Ihrer Einstufung passen, und ein unzulässiges gar nicht erst speichert.
Mehr aus unserer CRA-Reihe
- Cyber Resilience Act: Überblick für Softwarehersteller
- SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
- CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
- CRA-Konformitätsnachweise: Anhang V/VII und CE (ab 2027)
- Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
- DoC- und Tech-Doc-Generator: Anhang V/VII als PDF
- Schwachstellen über den Support-Zeitraum behandeln: Fristen-Uhr und Behebungs-Lebenslauf
- CRA Anhang II: Nutzerinformationen und Anleitungen als PDF
- Die CRA-Risikobewertung (Art. 13): welche Anforderungen für Ihr Produkt gelten
- Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)
- CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine
- Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)
- Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)
- Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act