Bevor ein Hersteller über ein einziges Testverfahren nachdenkt, entscheidet eine Vorfrage über den gesamten Konformitätsaufwand: In welche Klasse fällt das Produkt?
Die CRA-Produktklassen bezeichnen die drei Stufen, in die der Cyber Resilience Act (Verordnung (EU) 2024/2847) Produkte mit digitalen Elementen einteilt: die Standardklasse, wichtige Produkte und kritische Produkte. Sie sind die Weichenstellung, von der abhängt, ob eine interne Konformitätskontrolle genügt oder ob eine benannte Stelle eingebunden werden muss.
Wer sein Produkt falsch einordnet, plant den Aufwand falsch. Die Klasseneinteilung ist Teil des Anforderungsrahmens, den der Cyber Resilience Act insgesamt setzt.
Der Cyber Resilience Act teilt Produkte mit digitalen Elementen in drei Klassen ein. Jede Klasse ist an einen eigenen Artikel und einen eigenen Konformitätsweg geknüpft. Der Unterschied ist nicht inhaltlicher Natur bei den Sicherheitsanforderungen selbst, denn die grundlegenden Cybersicherheitsanforderungen in Anhang I gelten für alle Produkte. Der Unterschied liegt im Verfahren, mit dem die Konformität nachzuweisen ist.
| Klasse | Rechtsgrundlage | Anhang | Konformitätsweg (Stichwort) |
|---|---|---|---|
| Standard | Artikel 6 | kein Anhang | interne Konformitätskontrolle (Modul A) |
| Wichtig Klasse I | Artikel 7 | Anhang III Klasse I | Modul B+C, Modul H oder harmonisierte Norm |
| Wichtig Klasse II | Artikel 7 | Anhang III Klasse II | Modul B+C oder Modul H, interne Konformitätskontrolle (Modul A) ausgeschlossen |
| Kritisch | Artikel 8 | Anhang IV | zusätzlich mögliches europäisches Cybersicherheitszertifikat mindestens „mittel“; sonst Verfahren nach Art. 32 Abs. 3 |
Die Details der einzelnen Verfahren und Module ordnen wir gesondert im Beitrag zur CRA-Konformitätsbewertung ein.
Standard: Produkte mit digitalen Elementen
Die Standardklasse ist der Regelfall. Nach Artikel 6 darf ein Produkt mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden, wenn es die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I erfüllt und die Verfahren des Herstellers den Anforderungen in Anhang I Teil II entsprechen.
Für diese Produkte sieht der Cyber Resilience Act die interne Konformitätskontrolle vor, in der Systematik des New Legislative Framework das Modul A. Der Hersteller bewertet die Konformität in eigener Verantwortung, erstellt die technische Dokumentation, bringt die CE-Kennzeichnung an und stellt die EU-Konformitätserklärung aus. Eine benannte Stelle muss er nicht einbinden.
Der weit überwiegende Teil der Produkte mit digitalen Elementen fällt in diese Klasse. Erst wenn die Kernfunktion einer Kategorie in Anhang III oder Anhang IV entspricht, greift ein strengeres Verfahren.
Wichtige Produkte nach Anhang III
Wichtige Produkte mit digitalen Elementen sind in Artikel 7 geregelt. Ein Produkt gilt als wichtig, wenn es die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweist. Solche Produkte unterliegen den strengeren Konformitätsbewertungsverfahren nach Artikel 32.
Anhang III unterteilt die wichtigen Produkte in zwei Klassen. Maßgeblich für die Aufnahme einer Kategorie sind die beiden Kriterien in Artikel 7 Absatz 2.
- Nach Buchstabe a erfüllt eine Kategorie Funktionen, die für die Cybersicherheit anderer Produkte, Netze oder Dienste von entscheidender Bedeutung sind, etwa für Authentifizierung und Zugang, für die Erkennung von Eindringen oder für den Netzschutz.
- Nach Buchstabe b erfüllt eine Kategorie eine Funktion mit einem erheblichen Risiko nachteiliger Auswirkungen, etwa eine zentrale Systemfunktion wie Netzmanagement, Konfigurationskontrolle oder Virtualisierung.
Klasse I
In Klasse I führt Anhang III unter anderem Identitätsmanagementsysteme, eigenständige und eingebettete Browser, Passwort-Manager sowie Produkte mit der Funktion eines virtuellen privaten Netzes (VPN). Die vollständige Liste ist länger und umfasst zum Beispiel auch Betriebssysteme, Router und Netzmanagementsysteme.
Für Klasse I stehen mehrere Wege offen: die Anwendung einer einschlägigen harmonisierten Norm, einer gemeinsamen Spezifikation oder eines europäischen Schemas für die Cybersicherheitszertifizierung, alternativ die Einbindung einer benannten Stelle über Modul B mit Modul C oder über Modul H.
Der reine Norm-Weg ohne benannte Stelle setzt voraus, dass die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Zertifizierungsschemata vollständig angewandt werden. Werden sie nicht oder nur teilweise angewandt oder existieren sie nicht, muss der Hersteller eine benannte Stelle über Modul B+C oder Modul H einbinden.
Klasse II
Klasse II ist die strengere Stufe innerhalb der wichtigen Produkte. Anhang III nennt hier unter anderem Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme sowie Hypervisoren und Container-Runtime-Systeme, die eine virtualisierte Ausführung von Betriebssystemen unterstützen.
Für Klasse II ist der reine Norm-Weg nicht vorgesehen. Hier ist eine benannte Stelle einzubinden, entweder über Modul B mit Modul C oder über Modul H. Die interne Konformitätskontrolle (Modul A) steht für Klasse II nicht offen.
Kritische Produkte nach Anhang IV
Kritische Produkte mit digitalen Elementen sind in Artikel 8 geregelt und in Anhang IV gelistet. Dazu zählen Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen sowie Chipkarten oder ähnliche Geräte einschließlich Sicherheitselemente.
Für diese Kategorie sieht der Cyber Resilience Act eine zusätzliche Option vor. Die Kommission kann über delegierte Rechtsakte festlegen, dass bestimmte kritische Produkte ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel“ benötigen, um die Konformität mit den Anforderungen aus Anhang I oder Teilen davon nachzuweisen. Grundlage ist ein europäisches Schema für die Cybersicherheitszertifizierung nach dem Cybersecurity Act (Verordnung (EU) 2019/881).
Diese Pflicht zur Zertifizierung greift erst, wenn ein entsprechender delegierter Rechtsakt erlassen ist und ein passendes Zertifizierungsschema den Herstellern zur Verfügung steht. Solange kein solcher delegierter Rechtsakt erlassen wurde, unterliegen kritische Produkte den Konformitätsbewertungsverfahren nach Artikel 32 Absatz 3, also demselben strengen Pfad wie die wichtigen Produkte der Klasse II.
Kernfunktion entscheidet: die Durchführungsverordnung 2025/2392
Die wichtigste Frage in der Praxis ist nicht, was in den Anhängen steht, sondern wie man ein konkretes Produkt einordnet. Hier setzt die Durchführungsverordnung (EU) 2025/2392 an. Sie wurde am 28. November 2025 erlassen und liefert die verbindlichen technischen Beschreibungen der Kategorien:
- Anhang I der Durchführungsverordnung beschreibt die wichtigen Produkte der Klassen I und II,
- Anhang II die kritischen Produkte.
Der Grundsatz ist klar: Die Kernfunktion eines Produkts entscheidet über die Klassenzuordnung. Das ergibt sich dem Cyber Resilience Act und wird in der Durchführungsverordnung ausdrücklich bestätigt. Dabei gilt, dass die bloße Integration einer wichtigen Komponente das Gesamtprodukt nicht automatisch in das strengere Verfahren zwingt.
Ein anschauliches Beispiel ist das Smartphone: Es enthält üblicherweise Komponenten, die für sich genommen mehreren Anhang-III-Kategorien entsprechen, etwa ein Betriebssystem und einen integrierten Passwort-Manager. Da die Kernfunktion eines Smartphones aber eine andere ist als die eines Betriebssystems oder eines Passwort-Managers, entspricht es in der Regel nicht der technischen Beschreibung dieser Kategorien und wird nicht allein deshalb zum wichtigen Produkt.
Aus dieser Logik folgt keine Entwarnung bei den Sicherheitsanforderungen. Die Integration von Komponenten ändert die Klasse nicht, das Produkt muss aber als Ganzes die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllen. Der Hersteller einer Nachrichten-App muss also nachweisen, dass die App insgesamt konform ist, und dabei gegebenenfalls die Sicherheit des integrierten Browsers berücksichtigen.
Eine eingehende Einordnung dieser Verordnung bietet unser Beitrag CRA: Neue Verordnung konkretisiert Produktkategorien.
Normen für die Umsetzung
Unabhängig von der Klasse stellt sich die Frage, mit welchen Normen ein Hersteller die Anforderungen praktisch erfüllt. Hier entsteht derzeit eine gestaffelte Normenlandschaft.
Die horizontale Reihe EN 40000 adressiert die grundlegenden Cybersicherheitsanforderungen produktübergreifend. Ergänzend entstehen vertikale Reihen für einzelne Produktwelten: die ETSI EN 304 6xx für IT- und Consumer-Produkte sowie die EN 50770-x für den OT-Bereich.
Ob und welche dieser Normen am Ende als harmonisierte Normen im Amtsblatt gelistet werden und damit eine formelle Konformitätsvermutung auslösen, ist aktuell nicht abschließend geklärt. Eine konsequente Anwendung hilft Herstellern bereits jetzt dabei, die Anforderungen strukturiert zu erfüllen. Ob die Anwendung formal als Konformitätsnachweis ausreicht, hängt von der späteren Listung ab und bleibt vorerst offen.
Den jeweils aktuellen Stand der Normungsprojekte zum Cyber Resilience Act dokumentiert die DKE-Statusübersicht der Normungsprojekte.
Was Hersteller praktisch tun sollten
Die Einordnung lässt sich in eine klare Schrittfolge bringen. Sie beginnt bei der Funktion des Produkts und endet beim passenden Verfahren.
- Im ersten Schritt bestimmen Sie die Kernfunktion des Produkts. Entscheidend ist, wofür das Produkt im Kern da ist, nicht welche Komponenten zusätzlich darin stecken. Bei einem Router mit integrierter Firewall-Funktion bleibt die Kernfunktion die eines Routers.
- Im zweiten Schritt prüfen Sie die Kernfunktion gegen Anhang III und Anhang IV des Cyber Resilience Act sowie gegen die technischen Beschreibungen in der Durchführungsverordnung (EU) 2025/2392. Entspricht die Kernfunktion einer Kategorie in Anhang IV, ist das Produkt kritisch. Entspricht sie einer Kategorie in Anhang III, ist es wichtig, und Sie ordnen es Klasse I oder Klasse II zu.
- Im dritten Schritt leiten Sie aus der Klasse den Konformitätsweg ab: interne Konformitätskontrolle für die Standardklasse, ein strengeres Verfahren für wichtige Produkte, gegebenenfalls eine zusätzliche europäische Cybersicherheitszertifizierung für kritische Produkte.
Diese Einordnung ist Teil der umfassenderen CRA-Herstellerpflichten.
Wann der jeweilige Konformitätsaufwand tatsächlich greift, ordnen die CRA-Übergangsfristen ein, die die maßgeblichen Anwendbarkeitstermine zusammenführen.