Die CRA-Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller vor dem Inverkehrbringen nachweist, dass sein Produkt mit digitalen Elementen die Cybersicherheitsanforderungen des Cyber Resilience Act erfüllt. Der CRA sieht dafür vier Module vor: Modul A als reine Selbstbewertung, Modul B+C und Modul H mit benannter Stelle sowie ein europäisches Cybersicherheitszertifikat. Welches Verfahren zulässig ist, entscheidet sich an der Produktklasse und am Stand der harmonisierten Normen.
Die Wahl des Verfahrens bestimmt, wie viel Aufwand, Zeit und Geld zwischen Ihrem Produkt und der CE-Kennzeichnung liegen. Modul A ist schnell und ohne Fremdkosten. Modul B+C und Modul H ziehen eine benannte Stelle hinzu, mit Baumusterprüfung, Audits und laufender Überwachung. Beide Wege münden am Ende in die EU-Konformitätserklärung. Der Weg dorthin unterscheidet sich aber deutlich in Prozessen, Nachweistiefe und Kosten.
Frei ist diese Wahl nicht. Ob ein Modul für ein Produkt zulässig ist, hängt von der Produktklasse ab und davon, ob der Hersteller harmonisierte Normen vollständig anwendet. Die Verordnung (EU) 2024/2847 (Cyber Resilience Act) gibt diesen Rahmen vor. Dieser Beitrag ordnet die vier Module ein, zeigt die Verfahrenswahl entlang der Produktklassen und beschreibt, welche Rolle harmonisierte Normen und die EN 40000-Reihe dabei spielen.
Die Konformitätsbewertung ist eine Pflicht des Herstellers vor dem Inverkehrbringen. Sie weist nach, dass ein Produkt mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllt. Das betrifft zwei Ebenen: die Produktanforderungen aus Teil I und die Anforderungen an die vom Hersteller festgelegten Verfahren zur Schwachstellenbehandlung aus Teil II. Eine erfolgreiche Bewertung führt zur EU-Konformitätserklärung, zur CE-Kennzeichnung und zum freien Marktzugang in der Europäischen Union.
Die Konformitätsbewertung steht nicht für sich allein, sondern fügt sich in die umfassenderen CRA-Herstellerpflichten ein. Dazu gehören insbesondere die Risikobewertung über den Lebenszyklus, die technische Dokumentation nach Anhang VII, der definierte Unterstützungszeitraum und die Schwachstellenbehandlung.
Die vier Konformitätsmodule
Artikel 32 nennt die vier zulässigen Verfahren und verweist für die Details auf Anhang VIII. Die folgenden Abschnitte fassen die wichtigsten Eigenschaften zusammen.
Modul A: Internes Kontrollverfahren
Modul A ist eine reine Selbstbewertung. Der Hersteller erstellt die technische Dokumentation, weist auf eigene Verantwortung die Konformität mit Anhang I Teil I (Produkt) und Teil II (Verfahren) nach, bringt die CE-Kennzeichnung an und stellt die EU-Konformitätserklärung aus. Eine benannte Stelle ist nicht beteiligt.
In der Praxis bedeutet das: Modul A ist das schnellste und kostengünstigste Verfahren, setzt aber voraus, dass der Hersteller seine Konformität intern sauber begründen und dokumentieren kann. Der Hersteller bewahrt die EU-Konformitätserklärung und die technische Dokumentation für die nationalen Behörden auf.
Modul B+C: EU-Baumusterprüfung plus interne Fertigungskontrolle
Modul B+C ist ein zweistufiges Verfahren. In Modul B prüft eine benannte Stelle die technische Konzeption und Entwicklung des Produkts sowie die Verfahren zur Schwachstellenbehandlung. Sie untersucht die technische Dokumentation und Muster eines oder mehrerer wichtiger Produktteile. Erfüllt das Baumuster die grundlegenden Cybersicherheitsanforderungen, stellt die benannte Stelle eine EU-Baumusterprüfbescheinigung aus.
In Modul C bestätigt der Hersteller in eigener Verantwortung, dass die Fertigung das geprüfte Baumuster sauber abbildet, und führt die interne Fertigungskontrolle durch. Modul B+C eignet sich für Hersteller, die ein klar abgegrenztes Produkt fremdbewerten lassen wollen, ohne ihr gesamtes Qualitätssicherungssystem auditieren zu lassen.
Modul H: Umfassende Qualitätssicherung
Modul H stützt den Konformitätsnachweis auf ein geprüftes Qualitätssicherungssystem, das Konzeption, Entwicklung, Endabnahme und Schwachstellenbehandlung systematisch absichert. Eine benannte Stelle bewertet das System, lässt es zu und überwacht es laufend. Geprüft werden Qualitätsziele, technische Spezifikationen, Steuerungs- und Prüftechniken sowie qualitätsbezogene Aufzeichnungen.
Modul H lohnt sich für Hersteller mit eingespielten Entwicklungs- und Qualitätsprozessen oder mit einer breiten Produktfamilie: Statt einzelne Baumuster prüfen zu lassen, deckt ein einziges zugelassenes System mehrere Produktlinien ab. Der Aufwand für Aufbau und Pflege des Systems ist allerdings deutlich höher als bei einer punktuellen Baumusterprüfung.
Europäisches Cybersicherheitszertifikat (EUCC)
Der vierte Pfad ist ein europäisches Cybersicherheitszertifikat aus einem nach Verordnung (EU) 2019/881 angenommenen Schema. Das bekannteste Beispiel ist das EUCC-Schema. Es baut auf Common Criteria nach ISO/IEC 15408 auf.
Für die in Anhang IV genannten kritischen Produkte ist ein europäisches Cybersicherheitszertifikat der primäre Nachweisweg, sobald zwei Bedingungen erfüllt sind: Die Kommission legt per delegiertem Rechtsakt fest, dass ein Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel” erforderlich ist, und ein passendes Schema steht zur Verfügung. Ein Zertifikat auf dieser Stufe kann zudem die Pflicht zur Konformitätsbewertung durch Dritte bei wichtigen Produkten ablösen.
Verfahrenswahl nach Produktklasse
Welche der vier Module zulässig sind, hängt von der CRA-Produktklasse des Produkts ab. Die Durchführungsverordnung (EU) 2025/2392 konkretisiert die technische Beschreibung dieser Klassen.
Für Standardprodukte stehen alle Module offen, einschließlich Modul A. Der EUCC-Pfad setzt allerdings voraus, dass ein passendes Schema verfügbar und für die Produktkategorie anwendbar ist.
Wichtige Produkte der Klasse I bleiben grundsätzlich bei Modul A, sofern der Hersteller eine harmonisierte Norm, gemeinsame Spezifikationen oder ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel” vollständig anwendet. Fehlt diese vollständige Anwendung, oder existieren die Grundlagen noch nicht, muss er auf Modul B+C oder Modul H umsteigen.
Wichtige Produkte der Klasse II haben keinen Selbstbewertungspfad mehr: Hier sind Modul B+C, Modul H oder ein europäisches Cybersicherheitszertifikat zwingend.
Für kritische Produkte aus Anhang IV ist das passende EU-Schema primär; solange es nicht zur Verfügung steht, gelten dieselben Verfahren wie für wichtige Produkte der Klasse II.
| Produktklasse | Zulässige Module | Modul A erlaubt? | Benannte Stelle? |
|---|---|---|---|
| Standardprodukte | A, B+C, H, EUCC | Ja | Nur bei B+C oder H |
| Wichtige Produkte Klasse I | A (bei vollständig angewandter harm. Norm), sonst B+C oder H | Bedingt | Wenn keine harm. Norm vollständig angewandt wird |
| Wichtige Produkte Klasse II | B+C, H oder EUCC (mind. Stufe „mittel”) | Nein | Ja, in jedem Fall (außer EUCC) |
| Kritische Produkte | EU-Schema (z. B. EUCC), ersatzweise B+C oder H | Nein | Bei B+C oder H |
Harmonisierte Normen und Vermutungswirkung
Stimmt ein Produkt mit harmonisierten Normen oder Teilen davon überein, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht sind, so wird vermutet, dass es die abgedeckten grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllt. Die Vermutung greift nur, soweit die Norm die jeweilige Anforderung abdeckt: der Anwendungsbereich der Norm muss zum Anwendungsbereich der jeweiligen Anhang-I-Anforderung passen.
Für wichtige Produkte der Klasse I hat die Vermutungswirkung eine zweite, verfahrensbezogene Folge. Wendet der Hersteller eine einschlägige harmonisierte Norm vollständig an, darf er den Konformitätsnachweis nach Modul A erbringen. Andernfalls greifen Modul B+C oder Modul H mit benannter Stelle. Stand Juni 2026 ist noch keine harmonisierte CRA-Norm im Amtsblatt der Europäischen Union veröffentlicht. Solange das so bleibt, greift die Vermutungswirkung in der Praxis nicht, und die meisten wichtigen Produkte der Klasse I benötigen faktisch ebenfalls eine benannte Stelle.
Normenlandschaft zur CRA-Umsetzung
Die harmonisierten Normen zum CRA entstehen in mehreren Schritten. Für den Normungsauftrag der Kommission sind horizontale Normen und vertikale Produktnormen vorgesehen, die zusammen die grundlegenden Cybersicherheitsanforderungen aus Anhang I abdecken sollen. Eine fortlaufend gepflegte Übersicht zum Status der CRA-Normungsprojekte stellt die DKE bereit (siehe DKE-Statusübersicht zu den CRA-Normungsprojekten).
Die horizontale Basis bildet die EN 40000-Reihe. Sie gliedert sich in vier Teile:
- Vokabular (EN 40000-1-1),
- Grundprinzipien (EN 40000-1-2),
- Schwachstellenbehandlung (EN 40000-1-3), und
- generische Sicherheitsanforderungen (EN 40000-1-4).
Vertikal sind zwei Reihen in Arbeit:
- Im IT- und Consumer-Bereich entsteht die ETSI EN 304 6xx als produktnahe Normenfamilie.
- Für die Operational Technology ist die EN 50770-x Reihe in Arbeit.
Beide Reihen sollen die horizontalen Anforderungen für ihren Geltungsbereich konkretisieren.
Als ergänzende Norm für Consumer-IoT existiert ETSI EN 303 645 bereits, ist aber nicht als CRA-Norm harmonisiert. Inhaltlich kann sie auf Anhang-I-Pflichten einzahlen, eine formale Vermutungswirkung löst sie ohne CRA-Listung nicht aus.
Aus dem industriellen Umfeld kommt die IEC 62443-Familie ins Spiel. Sie wird in der Praxis häufig als Grundlage für die Erfüllung der Anhang-I-Anforderungen herangezogen, weil sie sowohl Anforderungen an den Entwicklungsprozess (IEC 62443-4-1) als auch an Komponenten (IEC 62443-4-2) und Systeme (IEC 62443-3-3) abdeckt. Ob die Familie als harmonisierte CRA-Norm gelistet wird und damit eine formelle Vermutungswirkung auslöst, ist derzeit nicht abschließend geklärt.
Wer sich tiefer einlesen möchte, findet die Argumente im Beitrag zur IEC 62443 als Grundlage für die CRA-Umsetzung und in der Übersicht zu den ETSI-Normenentwürfen zum CRA.
Wann eine benannte Stelle einzubeziehen ist
Eine benannte Stelle ist immer dort einzubeziehen, wo Modul A nicht zulässig ist oder wo der Hersteller sich bewusst für Modul B+C oder Modul H entscheidet. Pflichtfälle sind:
- Wichtige Produkte der Klasse II in allen Fällen, sofern kein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel” verwendet wird.
- Wichtige Produkte der Klasse I, wenn keine harmonisierte Norm, keine gemeinsame Spezifikation und kein passendes Cybersicherheitszertifikat vollständig angewandt wird.
- Kritische Produkte aus Anhang IV, sofern kein europäisches Schema verfügbar ist.
Welche Aufgaben die benannte Stelle übernimmt, hängt vom Modul ab. In Modul B prüft sie die technische Konzeption, die Verfahren zur Schwachstellenbehandlung und Muster wichtiger Produktteile und stellt im Erfolgsfall die EU-Baumusterprüfbescheinigung aus. In Modul H bewertet sie das Qualitätssicherungssystem des Herstellers, lässt es zu und überwacht es laufend, einschließlich Kontrollbesuchen vor Ort.
Kombinierte Produkte
Produkte mit digitalen Elementen sind selten aus einem Guss. Ein Endprodukt enthält in der Regel Komponenten, die ihrerseits Produkte mit digitalen Elementen sind. Der CRA verlangt für jedes solche Produkt eine eigene Konformitätsbewertung. Wer eine Komponente in sein Produkt integriert, kann sich auf deren Konformitätserklärung stützen, muss das Endprodukt aber zusätzlich als Ganzes bewerten.
Ein Beispiel: Ein Smart-Home-Router fällt voraussichtlich als wichtiges Produkt der Klasse I in den Anwendungsbereich des CRA. Der WLAN-Chipsatz darin ist ein Standardprodukt. Der Chipsatz-Hersteller bewertet seinen Beitrag und stellt die zugehörige Konformitätserklärung bereit, der Router-Hersteller bewertet das Endprodukt einschließlich Firmware, Konfigurationsmöglichkeiten und Schwachstellenbehandlung.