Nachweisführung und Zertifizierung

Konformität nachweisen

Ein mittelständischer Hersteller von Smart-Building-Controllern steht vor einer konkreten Frage: Das Unternehmen hat die vorherigen Teile dieser Serie beherzigt, einen Secure Development Lifecycle implementiert, SBOM-Generierung automatisiert und Schwachstellenprozesse etabliert. Aber wie weist es gegenüber Kunden und Behörden nach, dass seine Produkte tatsächlich CRA-konform sind? Die Antwort liegt im Konformitätsbewertungsverfahren, einem strukturierten Prozess, der je nach Produktkategorie unterschiedliche Anforderungen stellt.

Für Leser, die direkt mit diesem Teil einsteigen: Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen definiert. Security-by-Design bedeutet, dass Sicherheit von Anfang an in die Produktentwicklung integriert wird. Eine SBOM (Software Bill of Materials) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts. Der CRA verpflichtet Hersteller zur Dokumentation, zum Schwachstellenmanagement und zur Bereitstellung von Sicherheitsupdates während des gesamten Support-Zeitraums.

Der CRA folgt dem bewährten New Legislative Framework (NLF) der EU, das auch anderen Produktvorschriften wie der Maschinenverordnung oder der Funkanlagenrichtlinie zugrunde liegt. Am Ende des Prozesses steht die CE-Kennzeichnung, das sichtbare Zeichen, dass ein Produkt alle anwendbaren EU-Anforderungen erfüllt. Dieser abschließende Teil behandelt die praktischen Schritte zur Konformitätsbewertung: von der technischen Dokumentation über die verschiedenen Bewertungsverfahren bis zur CE-Kennzeichnung, die Rolle harmonisierter Standards und die Möglichkeiten der Zertifizierung.

Das Konformitätsbewertungsverfahren

Konformitätsbewertung ist der formale Prozess, durch den nachgewiesen wird, dass ein Produkt die geltenden Anforderungen erfüllt. Der CRA definiert in Artikel 32 verschiedene Verfahren, die je nach Risikokategorie des Produkts anzuwenden sind. Die Verfahren unterscheiden sich im Grad der externen Prüfung: von der reinen Selbstbewertung bis zur verpflichtenden Zertifizierung durch akkreditierte Stellen.

Welche Produktkategorien unterscheidet der CRA?

Der CRA unterscheidet vier Kategorien von Produkten mit digitalen Elementen. Standardprodukte (Default) sind alle Produkte, die nicht in den Anhängen III oder IV aufgeführt sind. Für sie genügt die Selbstbewertung nach Modul A. Wichtige Produkte der Klasse I (Anhang III, Teil I) umfassen beispielsweise Passwortmanager, VPN-Software, Netzwerkmanagement-Systeme und Smart-Home-Geräte mit Sicherheitsfunktionen. Wichtige Produkte der Klasse II (Anhang III, Teil II) sind unter anderem Betriebssysteme, Hypervisoren, Firewalls und industrielle Steuerungssysteme. Kritische Produkte (Anhang IV) umfassen Hardware-Sicherheitsmodule, Smart-Meter-Gateways und sichere Elemente.

Modul A: Interne Fertigungskontrolle

Modul A ist das einfachste und für die meisten Produkte ausreichende Verfahren. Der Hersteller bewertet selbst, ob sein Produkt die Anforderungen des CRA erfüllt. Er erstellt die technische Dokumentation, führt die Risikobewertung durch und erklärt durch die EU-Konformitätserklärung, dass alle Anforderungen erfüllt sind. Eine externe Prüfung durch Dritte ist nicht erforderlich.

Modul A ist anwendbar für alle Standardprodukte sowie für Klasse-I-Produkte, wenn der Hersteller harmonisierte Standards anwendet, die alle relevanten Anforderungen abdecken. Die Selbstbewertung bedeutet nicht, dass die Prüfung oberflächlich sein darf. Der Hersteller muss nachweislich alle Anforderungen aus Anhang I erfüllen. Die technische Dokumentation muss vollständig sein und die Konformität belegen. Marktüberwachungsbehörden können jederzeit Nachweise anfordern.

Modul B und C: EU-Baumusterprüfung

Bei Modul B prüft eine notifizierte Stelle ein repräsentatives Muster des Produkts (das Baumuster) und bescheinigt, dass es die grundlegenden Anforderungen erfüllt. Die Prüfung umfasst die Begutachtung der technischen Dokumentation und Tests am Produktmuster. Bei positivem Ergebnis stellt die notifizierte Stelle eine EU-Baumusterprüfbescheinigung aus, die fünf Jahre gültig ist.

Modul C ergänzt Modul B durch die Konformität mit dem Baumuster. Der Hersteller erklärt, dass die Serienprodukte dem geprüften Baumuster entsprechen und die Anforderungen erfüllen. Die Kombination B+C ist erforderlich für Klasse-I-Produkte, wenn keine harmonisierten Standards angewendet werden, sowie für alle Klasse-II-Produkte. Der Aufwand und die Kosten sind höher als bei Modul A, aber die externe Prüfung bietet zusätzliche Rechtssicherheit.

Modul H: Umfassende Qualitätssicherung

Modul H bietet eine Alternative zu Modul B+C, die für Hersteller mit etabliertem Qualitätsmanagementsystem attraktiv sein kann. Die notifizierte Stelle bewertet und genehmigt das QM-System des Herstellers und überwacht dessen Anwendung durch regelmäßige Audits. Das QM-System muss die Einhaltung aller CRA-Anforderungen sicherstellen.

Der Vorteil von Modul H liegt in der Effizienz bei vielen Produkten: Statt jedes Produkt einzeln prüfen zu lassen, wird das System geprüft, das alle Produkte hervorbringt. Für Hersteller mit breitem Portfolio kann das wirtschaftlicher sein. Die Voraussetzung ist ein ausgereiftes QM-System, typischerweise nach ISO 9001 mit spezifischen Erweiterungen für Cybersicherheit. Modul H ist wie B+C für Klasse-I-Produkte ohne harmonisierte Standards und für Klasse-II-Produkte anwendbar.

Notifizierte Stellen

Notifizierte Stellen sind Organisationen, die von einem EU-Mitgliedstaat für die Konformitätsbewertung nach bestimmten Rechtsvorschriften benannt (notifiziert) wurden. Sie müssen ihre Kompetenz, Unabhängigkeit und Unparteilichkeit nachweisen. Für den CRA werden die Mitgliedstaaten bis zur vollständigen Anwendung im Dezember 2027 notifizierte Stellen benennen.

Was müssen notifizierte Stellen erfüllen?

Notifizierte Stellen müssen strenge Anforderungen erfüllen, die in Artikel 39 des CRA definiert sind. Sie müssen als juristische Person nach dem Recht eines Mitgliedstaats gegründet sein. Sie müssen über die technische Kompetenz verfügen, die spezifischen Produkte zu bewerten. Das Personal muss entsprechend qualifiziert sein. Die Stelle muss unabhängig von den Herstellern sein, deren Produkte sie bewertet.

Die Akkreditierung erfolgt durch die nationale Akkreditierungsstelle, in Deutschland durch die DAkkS (Deutsche Akkreditierungsstelle). Die Akkreditierung nach ISO/IEC 17065 für Produktzertifizierung ist typischerweise Voraussetzung. Nach erfolgreicher Akkreditierung meldet der Mitgliedstaat die Stelle bei der EU-Kommission an, die sie in das NANDO-Verzeichnis aufnimmt.

Aufgaben bei der CRA-Bewertung

Bei Modul B prüft die notifizierte Stelle die technische Dokumentation auf Vollständigkeit und Plausibilität. Sie verifiziert, dass die Risikobewertung angemessen durchgeführt wurde und die identifizierten Risiken durch geeignete Maßnahmen adressiert werden. Sie führt Tests am Produktmuster durch: Funktionsprüfungen, Sicherheitstests, Überprüfung der Update-Mechanismen. Sie prüft die SBOM auf Vollständigkeit und bekannte Schwachstellen.

Bei Modul H bewertet die notifizierte Stelle das Qualitätsmanagementsystem. Sie prüft, ob das System alle relevanten Prozesse abdeckt: Entwicklung, Test, Release, Schwachstellenmanagement. Sie führt ein initiales Audit durch und plant regelmäßige Überwachungsaudits, typischerweise jährlich. Bei Nichtkonformitäten fordert sie Korrekturmaßnahmen und verifiziert deren Umsetzung.

Wie wählt man eine notifizierte Stelle aus?

Hersteller können frei wählen, welche notifizierte Stelle sie beauftragen, unabhängig vom Sitz des Herstellers oder dem Zielmarkt. Die Stelle muss lediglich für den CRA und die relevante Produktkategorie notifiziert sein. Das NANDO-Verzeichnis der EU-Kommission listet alle notifizierten Stellen mit ihrem Geltungsbereich. Stand Dezember 2025 sind noch keine Stellen spezifisch für den CRA notifiziert; dies wird sich bis Ende 2027 ändern.

Die Kosten für die Bewertung durch notifizierte Stellen variieren erheblich je nach Produktkomplexität, Prüfumfang und gewählter Stelle. Erfahrungswerte aus vergleichbaren Verfahren (etwa nach RED oder MDR) zeigen Spannen von einigen tausend Euro für einfache Produkte bis zu sechsstelligen Beträgen für komplexe Systeme. Frühzeitige Kontaktaufnahme ermöglicht belastbare Angebote und hilft bei der Budgetplanung.

Die technische Dokumentation

Die technische Dokumentation ist das Kernstück des Konformitätsnachweises. Sie muss alle Informationen enthalten, die für die Bewertung der Konformität erforderlich sind. Anhang VII des CRA definiert die Mindestinhalte. Die Dokumentation muss vor Inverkehrbringen erstellt werden und zehn Jahre nach dem letzten Inverkehrbringen des Produkts aufbewahrt werden. Sie muss Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden.

Pflichtinhalte nach Anhang VII

Die allgemeine Beschreibung umfasst Produktname und -typ, bestimmungsgemäße Verwendung, Versionen und Varianten, Hardware- und Softwarekomponenten. Die Design- und Entwicklungsbeschreibung erläutert die Systemarchitektur, Datenflüsse zwischen Komponenten und externen Systemen, Schnittstellen und Protokolle. Sie beschreibt, wie die Sicherheitsanforderungen im Design berücksichtigt wurden.

Die Cybersicherheitsbewertung dokumentiert die durchgeführte Risikobewertung nach Artikel 13: identifizierte Bedrohungen und Risiken, deren Bewertung und die ergriffenen Maßnahmen zur Mitigierung. Für jede Anforderung aus Anhang I muss beschrieben werden, wie sie erfüllt wird. Die SBOM in maschinenlesbarem Format (CycloneDX oder SPDX) ist Pflichtbestandteil. Testberichte dokumentieren die durchgeführten Sicherheitstests und deren Ergebnisse.

Nutzerinformationen nach Anhang II

Zusätzlich zur technischen Dokumentation müssen Informationen für Nutzer bereitgestellt werden. Diese umfassen die bestimmungsgemäße Verwendung und Sicherheitshinweise, Informationen zur Installation und sicheren Erstkonfiguration, Anweisungen für sichere Updates und deren Verifikation, Kontaktinformationen für Schwachstellenmeldungen, den Support-Zeitraum mit End-Datum, Informationen zu bekannten Einschränkungen und Risiken.

Die Nutzerinformationen müssen in einer für den Nutzer verständlichen Sprache verfasst sein, konkret in der Amtssprache des Mitgliedstaats, in dem das Produkt verkauft wird. Für den deutschen Markt sind deutsche Nutzerinformationen Pflicht. Die technische Dokumentation selbst kann in einer von den Behörden akzeptierten Sprache erstellt werden, typischerweise Englisch. Marktüberwachungsbehörden können jedoch Übersetzungen anfordern.

Dokumentation als lebender Prozess

Die technische Dokumentation ist kein einmaliges Dokument, sondern muss während des gesamten Produktlebenszyklus gepflegt werden. Bei wesentlichen Änderungen am Produkt, neuen Versionen oder Sicherheitsupdates muss die Dokumentation aktualisiert werden. Die SBOM muss bei jeder Änderung der Abhängigkeiten aktuell gehalten werden. Automatisierte Generierung aus dem Build-Prozess ist die praktikabelste Lösung.

CE-Kennzeichnung und Konformitätserklärung

Die CE-Kennzeichnung ist das sichtbare Zeichen der Konformität mit allen anwendbaren EU-Harmonisierungsvorschriften. Mit dem CRA wird die CE-Kennzeichnung auch die Einhaltung der Cybersicherheitsanforderungen bestätigen. Für viele Produkte, die bereits anderen CE-pflichtigen Vorschriften unterliegen (etwa der Funkanlagenrichtlinie RED), ändert sich optisch nichts: Ein CE-Zeichen bestätigt alle anwendbaren Anforderungen.

Anbringung der CE-Kennzeichnung

Die CE-Kennzeichnung wird auf dem Produkt selbst angebracht, sichtbar, lesbar und dauerhaft. Die Mindesthöhe beträgt 5 mm. Die Proportionen müssen dem in der Verordnung 765/2008 definierten Raster entsprechen. Wenn das Produkt zu klein ist oder die Anbringung aus technischen Gründen nicht möglich ist, kann die Kennzeichnung auf der Verpackung oder in den Begleitunterlagen erscheinen.

Bei rein softwarebasierten Produkten ohne physische Komponente wird die CE-Kennzeichnung typischerweise in den Begleitunterlagen oder auf der Verpackung (falls vorhanden) angebracht. Auch eine digitale Anzeige beim Start der Software ist möglich. Die Konformitätserklärung muss in jedem Fall zugänglich sein, etwa als Download oder in der Dokumentation.

Die EU-Konformitätserklärung

Zusätzlich zur CE-Kennzeichnung erstellt der Hersteller eine EU-Konformitätserklärung (Declaration of Conformity, DoC). Diese enthält: eindeutige Identifikation des Herstellers (Name, Anschrift), eindeutige Identifikation des Produkts (Typ, Version, Seriennummer oder Charge), die Erklärung, dass das Produkt die Anforderungen des CRA erfüllt, Verweis auf angewendete harmonisierte Standards oder andere technische Spezifikationen.

Falls eine notifizierte Stelle eingebunden war, werden deren Name und Kennnummer sowie die Nummer der ausgestellten Bescheinigung angegeben. Die Erklärung trägt Datum und Unterschrift einer verantwortlichen Person. Die Konformitätserklärung muss zusammen mit dem Produkt geliefert werden oder für den Nutzer abrufbar sein. Sie ist in der Sprache des Ziellandes bereitzustellen oder muss auf Anfrage übersetzt werden.

Harmonisierte Standards

Harmonisierte Standards sind europäische Normen, die auf Auftrag der EU-Kommission von den europäischen Normungsorganisationen CEN, CENELEC und ETSI entwickelt werden. Ihre Anwendung löst eine Konformitätsvermutung aus: Wer einen im Amtsblatt der EU veröffentlichten harmonisierten Standard anwendet, kann davon ausgehen, dass die durch diesen Standard abgedeckten Anforderungen erfüllt sind. Diese Vermutungswirkung vereinfacht die Konformitätsbewertung erheblich.

Die EN 40000-Normreihe

Die EU-Kommission hat CEN, CENELEC und ETSI mit der Entwicklung harmonisierter Standards für den CRA beauftragt. Die entstehende EN 40000-Normreihe umfasst horizontale Standards, die allgemeine Anforderungen für alle Produkte definieren, sowie produktspezifische Standards für bestimmte Kategorien. Die Arbeiten begannen 2024, erste Entwürfe wurden im Herbst 2025 zur öffentlichen Kommentierung veröffentlicht.

Der Zeitplan ist ambitioniert: Die Standards sollen parallel zur vollständigen Anwendung des CRA ab Dezember 2027 verfügbar sein. Kritiker bemängeln, dass der Zeitrahmen für die üblichen Normungsprozesse zu knapp ist. Die Normungsorganisationen arbeiten im beschleunigten Verfahren. Ob alle geplanten Standards rechtzeitig fertiggestellt und im Amtsblatt veröffentlicht werden, bleibt abzuwarten.

Bestehende Standards als Orientierung

Bis harmonisierte Standards verfügbar sind, können Hersteller bestehende internationale oder europäische Normen als Stand der Technik heranziehen. Die IEC 62443-Reihe für industrielle Cybersicherheit ist besonders relevant für Automatisierungsprodukte. ISO/IEC 27001 für Informationssicherheitsmanagement bietet Orientierung für organisatorische Prozesse. ETSI EN 303 645 definiert Basissicherheitsanforderungen für Consumer-IoT-Geräte.

Die Anwendung dieser bestehenden Standards löst keine automatische Konformitätsvermutung aus. Der Hersteller muss dennoch nachweisen, dass alle CRA-Anforderungen erfüllt werden. Die Standards können aber als Referenz dienen und zeigen, dass anerkannte Praktiken befolgt werden. Für Klasse-I-Produkte ohne harmonisierte Standards ist die Einbindung einer notifizierten Stelle erforderlich, unabhängig davon, welche anderen Standards angewendet werden.

Bedeutung für die Konformitätsbewertung

Die Verfügbarkeit harmonisierter Standards hat erhebliche praktische Auswirkungen. Für Klasse-I-Produkte ermöglicht ihre Anwendung die Selbstbewertung nach Modul A, statt eine notifizierte Stelle einbinden zu müssen. Das spart Zeit und Kosten. Die Standards bieten konkrete Prüfkriterien und reduzieren Interpretationsspielräume. Sie erleichtern auch die Arbeit der notifizierten Stellen und Marktüberwachungsbehörden.

EU-Cybersicherheitszertifizierung

Für kritische Produkte nach Anhang IV des CRA ist eine Zertifizierung nach einem europäischen Cybersicherheitszertifizierungsschema verpflichtend. Der CRA verweist auf den Cybersecurity Act (CSA) von 2019, der den Rahmen für europäische Zertifizierungsschemata bildet. ENISA koordiniert die Entwicklung der Schemata, die EU-Kommission verabschiedet sie als Durchführungsverordnungen.

Das EUCC-Schema

Das European Cybersecurity Certification Scheme for ICT Products (EUCC) ist das erste unter dem CSA entwickelte Schema. Es basiert auf den Common Criteria (ISO/IEC 15408), einem international anerkannten Standard für die Sicherheitsevaluierung von IT-Produkten. Die Durchführungsverordnung zum EUCC wurde im Januar 2024 verabschiedet. Das Schema ist seit Februar 2025 vollständig anwendbar.

Der Cybersecurity Act definiert drei Vertrauenswürdigkeitsstufen (Assurance Levels): basic, substantial und high. Das EUCC-Schema implementiert davon zwei Stufen. Die substanzielle Stufe (substantial) erfordert vertiefte Prüfungen einschließlich Schwachstellenanalyse und Penetrationstests (AVA_VAN Level 1 oder 2). Die hohe Stufe (high) umfasst umfassende Prüfungen mit detaillierter Analyse des Designs und der Implementierung (AVA_VAN Level 3, 4 oder 5). Für CRA-Anhang-IV-Produkte ist mindestens die substanzielle Stufe erforderlich.

Praktisches Beispiel: Hardware-Sicherheitsmodul

Ein Hersteller von Hardware-Sicherheitsmodulen (HSM) für kritische Infrastruktur muss sein Produkt nach EUCC zertifizieren lassen. Er erstellt zunächst ein Security Target, das die Sicherheitsziele und den Evaluierungsumfang definiert. Er wählt eine akkreditierte Konformitätsbewertungsstelle (CAB), die Common-Criteria-Evaluierungen durchführen darf.

Die Evaluierung auf substanzieller Stufe umfasst die Prüfung der Sicherheitsarchitektur und des Designs, Review des Quellcodes auf sicherheitsrelevante Schwachstellen, Penetrationstests durch erfahrene Evaluatoren, Prüfung der Dokumentation und der Entwicklungsprozesse. Der Prozess dauert typischerweise sechs bis zwölf Monate und kostet je nach Produktkomplexität zwischen 100.000 und 500.000 Euro. Bei erfolgreicher Evaluierung stellt die CAB ein Zertifikat aus, das fünf Jahre gültig ist.

Herausforderungen bei der Nachweisführung

Die Konformitätsbewertung nach CRA stellt Hersteller vor praktische Herausforderungen. Knappe Zeitpläne, fehlende Kapazitäten bei notifizierten Stellen und unfertige Standards erzeugen Unsicherheit. Eine realistische Einschätzung dieser Herausforderungen hilft bei der Planung.

Kapazitäten notifizierter Stellen

Stand Dezember 2025 sind noch keine Stellen spezifisch für den CRA notifiziert. Die Notifizierungsverfahren laufen. Bestehende notifizierte Stellen für andere Vorschriften (RED, MDR) erweitern ihren Geltungsbereich. Neue Stellen werden akkreditiert. Dennoch ist absehbar, dass die Kapazitäten zum Start der vollständigen Anwendung Ende 2027 knapp sein werden.

Hersteller von Klasse-I-Produkten ohne harmonisierte Standards und von Klasse-II-Produkten sollten frühzeitig Kontakt zu potenziellen notifizierten Stellen aufnehmen. Wartezeiten von mehreren Monaten für Bewertungen sind realistisch. Wer erst kurz vor der Deadline anfängt, riskiert Engpässe. Die Selbstbewertung nach Modul A (wo zulässig) umgeht dieses Problem, setzt aber die Anwendung harmonisierter Standards voraus.

Unfertige Standards

Die harmonisierten Standards der EN 40000-Reihe sind noch in Entwicklung. Ob sie rechtzeitig zur vollständigen Anwendung des CRA fertiggestellt und im Amtsblatt veröffentlicht werden, ist nicht garantiert. Für Hersteller bedeutet das Unsicherheit: Können sie sich auf die Konformitätsvermutung verlassen, oder müssen sie notifizierte Stellen einbinden?

Die pragmatische Empfehlung lautet: Prozesse und Dokumentation auf Basis der CRA-Anforderungen und bestehender Standards (IEC 62443, ETSI EN 303 645) aufbauen. Wenn harmonisierte Standards verfügbar werden, die Umsetzung anpassen. Der Mehraufwand für die Einbindung notifizierter Stellen sollte budgetiert werden, falls Standards nicht rechtzeitig kommen.

Mit welchen Kosten müssen Hersteller rechnen?

Die Kosten für CRA-Compliance variieren erheblich je nach Produktkategorie und Ausgangslage. Für Standardprodukte mit Selbstbewertung sind primär interne Aufwände für Dokumentation und Prozessanpassung relevant. Für Produkte, die notifizierte Stellen erfordern, kommen externe Kosten hinzu. Zertifizierungen nach EUCC für kritische Produkte sind die teuerste Kategorie.

KMU stehen vor besonderen Herausforderungen. Die Fixkosten für Dokumentation und Prozesse verteilen sich auf weniger Produkte. Externe Beratung und notifizierte Stellen belasten das Budget überproportional. Die EU hat Unterstützungsmaßnahmen angekündigt, aber deren konkrete Ausgestaltung ist noch offen. Branchenverbände und Normungsgremien arbeiten an vereinfachten Leitfäden für KMU.

Wie unterscheiden sich die Ansätze international?

Der europäische CRA-Ansatz unterscheidet sich grundlegend vom US-amerikanischen Modell. In den USA setzt das NIST Cybersecurity Framework den Maßstab für Produktsicherheit, bleibt aber freiwillig. Es gibt keine verpflichtende Produktzertifizierung für Cybersicherheit. Hersteller können sich an NIST-Richtlinien orientieren, müssen aber keine Konformitätsbewertung durchlaufen. Executive Order 14028 von 2021 verpflichtet zwar Bundesbehörden zu bestimmten Standards bei Beschaffungen, erfasst aber nicht den gesamten Verbrauchermarkt.

Die EU verfolgt mit dem CRA einen regulatorischen Ansatz: Verpflichtende Anforderungen, CE-Kennzeichnung als Marktzugangsvoraussetzung, Drittprüfung für kritische Produkte und empfindliche Sanktionen bei Verstößen. Dieser Unterschied hat praktische Auswirkungen für internationale Hersteller. Wer in beide Märkte liefert, muss in Europa deutlich höhere Compliance-Aufwände einplanen. Allerdings arbeiten EU und USA an einer Harmonisierung der Standards: Bilateral wird diskutiert, wie Common Criteria, NIST-Richtlinien und europäische Normen besser aufeinander abgestimmt werden können.

Fazit der Serie

Der Cyber Resilience Act markiert einen Paradigmenwechsel für die Produktsicherheit in Europa. Security-by-Design wird vom Schlagwort zur Rechtspflicht. Die Anforderungen erstrecken sich über den gesamten Produktlebenszyklus: von der ersten Konzeption über die Entwicklung, das Inverkehrbringen, den Betrieb bis zum Ende des Support-Zeitraums. Die Nachweisführung durch technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung macht die Einhaltung überprüfbar.

In dieser Serie haben wir den CRA aus verschiedenen Perspektiven betrachtet: den rechtlichen Rahmen und die betroffenen Wirtschaftsakteure, die Security-by-Design-Prinzipien und ihre technische Umsetzung, die Integration in Entwicklungsprozesse durch SDLC und automatisierte Tests, die betrieblichen Pflichten für Schwachstellenmanagement und Meldepflichten, und schließlich die Nachweisführung durch Konformitätsbewertung und Zertifizierung. Der entscheidende Punkt: Diese Aspekte sind keine isolierten Einzelmaßnahmen, sondern Bestandteile eines integrierten Operating Models. Entwicklung, Betrieb und Nachweis müssen als zusammenhängende Prozesse gedacht und organisatorisch verankert werden.

Ich halte den CRA für einen notwendigen und im Kern richtigen Schritt. Die zunehmende Vernetzung von Produkten erfordert verbindliche Sicherheitsstandards. Die Herausforderungen bei der Umsetzung sind real, insbesondere der enge Zeitplan, die noch unfertigen Standards und die Belastung für KMU. Aber die Alternative, unsichere Produkte weiterhin unreguliert auf den Markt zu lassen, ist langfristig nicht tragbar.

Der Weg zur CRA-Konformität ist kein Sprint, sondern ein Marathon. Wer heute mit der Vorbereitung beginnt, sollte drei Prioritäten setzen: Erstens eine Bestandsaufnahme der eigenen Produkte und ihrer Kategorisierung. Zweitens den Aufbau der erforderlichen Prozesse und Dokumentation. Drittens die frühzeitige Klärung des Konformitätsbewertungswegs und gegebenenfalls Kontaktaufnahme mit notifizierten Stellen. Die Investition in sichere Produkte zahlt sich aus: durch Compliance, durch Kundenvertrauen und durch Wettbewerbsvorteile in einem Markt, der Cybersicherheit zunehmend als Qualitätsmerkmal bewertet.

Quellenverzeichnis

^[1] Europäische Union: Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act). Amtsblatt der Europäischen Union L 2024/2847. Insbesondere Artikel 32-45 (Konformitätsbewertung), Anhang VII (Technische Dokumentation), Anhang VIII (EU-Konformitätserklärung).

^[2] Europäische Union: Beschluss Nr. 768/2008/EG über einen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten (New Legislative Framework). Definiert die Konformitätsbewertungsmodule A, B, C, H.

^[3] Europäische Union: Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Cybersecurity Act). Rahmen für europäische Zertifizierungsschemata.

^[4] Europäische Kommission: Durchführungsverordnung (EU) 2024/482 zur Festlegung des europäischen Schemas für die Cybersicherheitszertifizierung auf Grundlage der Common Criteria (EUCC). Januar 2024.

^[5] CEN-CENELEC: Standardization Request for Cyber Resilience Act. Normungsauftrag für die Entwicklung harmonisierter Standards (EN 40000-Reihe).

^[6] ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security (Common Criteria). Basis für Sicherheitsevaluierungen nach EUCC.

^[7] EU-Kommission: NANDO (New Approach Notified and Designated Organisations) Datenbank. https://webgate.ec.europa.eu/single-market-compliance-space/notified-bodies Verzeichnis aller notifizierten Stellen in der EU.

^[8] ENISA: EU Cybersecurity Certification. https://certification.enisa.europa.eu/ Informationen zu europäischen Zertifizierungsschemata einschließlich EUCC.

^[9] NIST: Cybersecurity Framework. https://www.nist.gov/cyberframework Freiwilliger US-Rahmen für Cybersicherheit. Executive Order 14028 (2021): Improving the Nation's Cybersecurity.