CRA Konformitätsbewertung: Von der Produktkategorie zur CE-Kennzeichnung
Bis zum 11. Dezember 2027 darf kein Produkt mit digitalen Elementen ohne CRA-konforme CE-Kennzeichnung neu in den EU-Markt gebracht werden. Der Weg dorthin ist allerdings je nach Produkt sehr unterschiedlich: Während Hersteller einfacher Industrie-Sensoren das Verfahren eigenständig durchlaufen können, führt für Hersteller von Firewalls oder Hypervisoren kein Weg an einer akkreditierten Prüfstelle vorbei.
Die Konformitätsbewertung ist das formale Herzstück des CRA. Sie verbindet alle anderen Anforderungen, also sichere Produkteigenschaften, Schwachstellenmanagement und Dokumentationspflichten, zu einem nachweisbaren Gesamtergebnis. Wer bei Annex I noch eine Auffrischung braucht, findet sie in unserem Artikel CRA umsetzen: Cyber Security Anforderungen an den Produktlebenszyklus nach Anhang 1 sowie in den Vertiefungen zu Anforderung 2 aus Teil I und zur Schwachstellenbehandlung nach Annex I Teil II. Für die beiden Dokumentationsbausteine, die in der Konformitätsbewertung ständig wieder auftauchen, sind außerdem unsere Artikel zur Nutzerdokumentation und zur technischen Dokumentation hilfreich. Dieser Artikel richtet sich an Hersteller von Industrie- und Maschinenbau-Produkten, Embedded-System-Entwickler und Produktverantwortliche. Er fokussiert auf die Bewertungsverfahren, die EU-Konformitätserklärung, die CE-Kennzeichnung und eine praxisnahe Schritt-für-Schritt-Anleitung für die häufigste Gruppe: Hersteller der Default-Kategorie.
Die drei Produktkategorien und ihre Konsequenzen
Welches Bewertungsverfahren ein Hersteller durchlaufen muss, hängt zuerst von der Produktkategorie ab. Eine ausführliche Beschreibung der Kategorien bietet unser Artikel: CRA-02: Produkte mit digitalen Elementen. Hier die wesentlichen Unterschiede für den Konformitätsbewertungskontext.
Die große Mehrheit der betroffenen Produkte fällt in die Default-Kategorie: alle Produkte, die nicht in Annex III oder IV des CRA gelistet sind. Typische Beispiele im Maschinenbau sind Industrie-Sensoren ohne Sicherheitsfunktion, einfache IoT-Gateways oder Standard-Firmware für Maschinen. Für diese Produkte ist ein Self-Assessment zulässig, kein externer Prüfer notwendig.
Important Products der Klasse I (Annex III) umfassen Produkte mit erhöhtem Sicherheitsrisiko, zum Beispiel Browser, Passwortmanager, VPN-Software oder Betriebssysteme. Hier ist eine interne Kontrolle nur dann möglich, wenn passende harmonisierte Normen oder Common Specifications die relevanten CRA-Anforderungen vollständig abdecken. Ist das nicht der Fall, wird ein Notified Body verpflichtend. Important Products der Klasse II sind noch sicherheitskritischer, darunter Hypervisoren, Firewalls und SIEM-Systeme. Für sie ist immer ein Notified Body erforderlich, unabhängig von verfügbaren Normen. Critical Products (Annex IV), wie Smart-Meter-Gateways oder Hardware Security Modules, benötigen eine europäische Cybersicherheitszertifizierung nach einem für den Produkttyp einschlägigen Schema des Cybersecurity Act. Wie das derzeit verfügbare EUCC-Schema funktioniert und wie die BSI-TR-03183 dabei als Vorbereitung helfen kann, erklärt unser Artikel CRA-05: EUCC und BSI-TR-03183.
| Kategorie | Beispiele | Zulässige Verfahren | Externe Drittpartei? |
|---|---|---|---|
| Default | Industrie-Sensor, einfaches IoT-Gateway | Interne Kontrolle | Nein |
| Annex III Class I | Browser, VPN-Software, Passwortmanager | Interne Kontrolle (wenn passende hEN oder Common Specifications vollständig abdecken) oder externes Verfahren | Nur ohne vollständige Abdeckung |
| Annex III Class II | Hypervisor, Firewall, SIEM | EU-Typ-Prüfung oder vollständige Qualitätssicherung | Immer |
| Annex IV (Critical) | Smart-Meter-Gateway, HSM | Europäische Cybersicherheitszertifizierung nach CSA-Schema | Immer |
Ein häufiges erstes Problem ist die unsichere Einordnung des eigenen Produkts. Die Klassifizierung sollte frühzeitig geprüft werden, im Zweifel mit rechtlichem Beistand und unter Heranziehung der Durchführungsverordnung der Kommission.
Die Konformitätsbewertungsverfahren im Überblick
Artikel 28 CRA definiert die zulässigen Verfahren je Produktkategorie. Die Details sind im CRA bei den jeweiligen Bewertungsverfahren beschrieben.
Das einfachste Verfahren ist die interne Kontrolle, auch bekannt als Self-Assessment oder Modul A. Der Hersteller führt die Bewertung vollständig selbst durch, kein externer Auditor ist involviert. Voraussetzung ist eine vollständige technische Dokumentation und der lückenlose Nachweis aller Annex-I-Anforderungen. Das Ergebnis ist eine EU-Konformitätserklärung (DoC), die der Hersteller selbst ausstellt. Der Hersteller trägt damit die alleinige Verantwortung und muss bei einer Marktüberwachung alle Nachweise vorlegen können.
Für Annex-III-Class-I-Produkte ohne passende harmonisierte Normen oder Common Specifications und für alle Class-II-Produkte kommt die EU-Typ-Prüfung zum Einsatz, vereinfacht gesprochen also Modul B mit anschließender Konformität zum geprüften Typ. Eine akkreditierte Prüfstelle, der Notified Body, prüft das Produkt und stellt eine EU-Typ-Prüfbescheinigung aus. Modul B ist die eigentliche Typ-Prüfung durch den Notified Body. Modul C ist die anschließende Konformitätserklärung des Herstellers, dass produzierte Einheiten dem geprüften Typ entsprechen. Die offizielle Liste akkreditierter Notified Bodies ist in der NANDO-Datenbank der EU-Kommission abrufbar.
Als Alternative zur wiederholten Typ-Prüfung bei regelmäßigen Produktänderungen steht die vollständige Qualitätssicherung (Modul H) zur Verfügung. Hier prüft der Notified Body nicht nur das Produkt, sondern auch das gesamte Qualitätsmanagementsystem des Herstellers. Das ist aufwändiger, aber bei häufig aktualisierten Produkten effizienter als eine neue Typ-Prüfung bei jeder wesentlichen Änderung.
| Verfahren | Wer führt durch? | Ergebnis | Zulässig für | Aufwand |
|---|---|---|---|---|
| Interne Kontrolle | Hersteller allein | DoC | Default, Annex III Class I (wenn passende hEN oder Common Specifications vollständig abdecken) | Niedrig |
| EU-Typ-Prüfung + Konformität zum geprüften Typ | Notified Body + Hersteller | NB-Bescheinigung + DoC | Annex III Class I/II | Mittel |
| Vollst. Qualitätssicherung | Notified Body + Hersteller | NB-Bescheinigung + DoC | Annex III Class I/II | Hoch |
| Europäische Cybersicherheitszertifizierung | ITSEF-Labor + CAB | Europäisches Cybersicherheitszertifikat | Annex IV | Sehr hoch |
Technische Dokumentation als Fundament
Die technische Dokumentation nach dem CRA ist nicht das Ziel der Konformitätsbewertung, sie ist der Beweis für alle durchgeführten Maßnahmen. Ohne sie ist keine Konformitätsbewertung möglich, ob mit oder ohne Notified Body. Unser Artikel CRA-10: Technische Dokumentation beschreibt alle Anforderungen im Detail. Dieser Abschnitt fasst die wesentlichen Punkte für den Konformitätsbewertungskontext zusammen.
Der CRA nennt folgende Pflichtinhalte:
- Allgemeine Beschreibung des Produkts (Name, Typenbezeichnung, Versionen, Zweckbestimmung)
- Technisches Design, Entwicklungsprozess, Systemarchitektur
- Cybersicherheitsrisikobewertung gemäß Annex I
- Festgelegter Unterstützungszeitraum mit Begründung
- Angewandte Normen und Standards (harmonisierte Normen, gemeinsame Spezifikationen, CSA-Zertifizierungen)
- Testberichte und Prüfnachweise
- EU-Konformitätserklärung (Annex V) als Bestandteil der Doku
- SBOM auf Anfrage der Marktüberwachungsbehörde; wie eine belastbare SBOM entsteht, beschreibt unser Artikel: SBOM für Embedded Systeme
Die Aufbewahrungspflicht beträgt 10 Jahre ab dem letzten Inverkehrbringen des jeweiligen Produkts. Einsicht verlangen dürfen Marktüberwachungsbehörden, in Deutschland voraussichtlich das BSI.
Ein wichtiger Praxishinweis: Die technische Dokumentation ist kein einzelnes PDF. Eine strukturierte Dokumentationsinfrastruktur aus Wiki, SBOM-Tool und Testberichten reicht aus, solange sie vollständig, aktuell und schnell abrufbar ist.
EU-Konformitätserklärung: Inhalt, Form und Verantwortung
Die EU Declaration of Conformity (DoC) ist das zentrale Rechtsdokument, mit dem der Hersteller erklärt, dass das Produkt alle Anforderungen des CRA erfüllt. Rechtsgrundlage ist Artikel 28 Absatz 7 i.V.m. Annex V des CRA.
Die Pflichtinhalte nach Annex V:
- Name und vollständige Adresse des Herstellers (oder EU-Bevollmächtigten bei Drittlandherstellern)
- Eindeutige Bezeichnung des Produkts: Name, Typ, Modell, Seriennummer oder Chargenbezeichnung
- Erklärung der alleinigen Verantwortung des Herstellers für die Konformität
- Gegenstand der Erklärung als Verweis auf das konkrete Produkt oder die Produktfamilie
- Verweis auf Verordnung (EU) 2024/2847 und alle weiteren anwendbaren EU-Rechtsvorschriften
- Angewandte harmonisierte Normen, gemeinsame Spezifikationen oder EU-Cybersicherheitszertifizierungen mit genauen Referenzen inkl. Versionsnummer
- Ggf. Name, Adresse und Kennnummer des Notified Body sowie Bescheinigungsnummer und Geltungsdauer
- Datum und Ort der Ausstellung, Name und Unterschrift der bevollmächtigten Person
Die DoC muss in der Amtssprache des Mitgliedstaats ausgestellt werden, in dem das Produkt in Verkehr gebracht wird, Mehrsprachigkeit ist zulässig. Es gibt kein vorgeschriebenes Format: ein PDF oder Papierdokument reicht, solange es dem Produkt beigefügt oder dauerhaft öffentlich zugänglich ist. Für Software-Produkte ist eine URL, die im Installer oder in der Produktoberfläche verlinkt wird, eine praktikable Lösung.
Ein häufiges Praxisproblem ist, dass Hersteller die DoC nach Produktänderungen nicht aktualisieren. Die DoC ist kein einmaliges Dokument, sondern muss mit dem Produkt mitgepflegt werden. Wesentliche Produktänderungen, der Ablauf einer referenzierten Norm oder ein Wechsel der Rechtsgrundlage erfordern eine neue Ausstellung. Der EU Blue Guide 2022 bietet einen praxisnahen Leitfaden zu DoC und CE-Kennzeichnung, auch wenn er nicht CRA-spezifisch ist.
CE-Kennzeichnung: Wann, wo und wie
Die CE-Kennzeichnung darf erst nach abgeschlossener Konformitätsbewertung angebracht werden, also nach vollständiger technischer Dokumentation und ausgestellter DoC. Sie muss vor dem Inverkehrbringen auf dem EU-Markt vorhanden sein, nicht nachträglich. Artikel 30 bis 32 CRA regeln die Anforderungen im Detail.
Die Kennzeichnung gehört bevorzugt auf das Produkt selbst. Ist das physisch nicht möglich, ist die Verpackung der nächste Ort. Für Software-Produkte ohne physisches Trägermedium sind Begleitdokumente oder eine dauerhaft zugängliche Webseite ausdrücklich zulässig.
Das CE-Zeichen muss sichtbar, lesbar und dauerhaft sein, mit einer Mindesthöhe von 5 mm, wenn die Produktgröße das erlaubt. Es darf nicht verändert, verdeckt oder mit Zusätzen ergänzt werden, ausgenommen die vorgeschriebene vierstellige Kennnummer des Notified Body, falls einer beteiligt war (zum Beispiel CE 1234). Beim Self-Assessment ist keine NB-Kennnummer notwendig.
Eine CE-Kennzeichnung ohne abgeschlossene Konformitätsbewertung kann zur Marktrücknahme durch die Aufsichtsbehörden führen. Die Bußgelder nach CRA betragen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Was das konkret bedeutet, beschreibt unser Artikel: CRA-Strafen und Sanktionen.
Harmonisierte Normen als Weg zur Konformitätsvermutung
Artikel 27 CRA enthält eine strategisch wichtige Vereinfachung: Wer eine harmonisierte Norm anwendet, die im Amtsblatt der EU veröffentlicht ist, gilt als konform mit den dadurch abgedeckten Anforderungen, ohne weiteren Einzelnachweis. Das ist die Konformitätsvermutung. Statt jeden Annex-I-Anforderungspunkt einzeln zu belegen, genügt der Verweis auf eine anerkannte Norm.
Zum Stand Mitte 2026 sind jedoch noch keine vollständig veröffentlichten harmonisierten Normen für den CRA verfügbar. Der Normungsauftrag M/606 an CEN, CENELEC und ETSI läuft seit 2025. Erste horizontale Normen befinden sich in der Enquiry-Phase, produktspezifische Normen sind noch in früher Entwicklung. Der aktuelle Normungsfortschritt lässt sich bei stan4cra.eu und im BSI CRA Standards Dashboard verfolgen. Unser Artikel CRA: Harmonisierte Standards Status erklärt den Normungsprozess im Detail.
Was tun, wenn bis Dezember 2027 keine passenden Normen veröffentlicht sind? Drei Einordnungen sind dann wichtig. Erstens können Gemeinsame Spezifikationen (Common Specifications) nach Artikel 27 Absatz 2 die Lücke füllen, wenn die Kommission diese per Durchführungsrechtsakt erlässt. Zweitens liefert der JRC/ENISA Mapping Report (JRC137340) eine Einordnung, welche bestehenden Normen wie IEC 62443, EN 303 645 oder ISO 27001 als Orientierung dienen können, auch wenn sie keine Konformitätsvermutung begründen. Drittens kann auch eine europäische Cybersicherheitszertifizierung nach einem einschlägigen Schema des Cybersecurity Act eine Konformitätsvermutung nach Artikel 27 Absatz 3 begründen, sofern das Schema den Produkttyp und die relevanten Anforderungen abdeckt.
Für Hersteller von Annex-III-Class-I-Produkten hat das eine direkte strategische Konsequenz. Wenn bis Dezember 2027 weder passende harmonisierte Normen noch Common Specifications verfügbar sind und kein einschlägiges europäisches Zertifizierungsschema sinnvoll nutzbar ist, bleibt für viele Produkte dieser Klasse nur ein externes Bewertungsverfahren über einen Notified Body. Notified-Body-Kapazitäten können knapp werden. Wer diese Konstellation nicht ausschließen kann, sollte jetzt prüfen, ob ein Notified Body eingeplant werden muss.
| Weg zur Konformitätsvermutung | Rechtsgrundlage | Verfügbarkeit (Mitte 2026) |
|---|---|---|
| Harmonisierte Norm (hEN) | Art. 27 Abs. 1 | Noch keine veröffentlicht |
| Gemeinsame Spezifikation | Art. 27 Abs. 2 | In Vorbereitung |
| EU-Cybersicherheitszertifizierung | Art. 27 Abs. 3 | EUCC verfügbar; Eignung hängt vom Produkttyp ab |
Schritt für Schritt zur CRA-Konformität
Dieser Abschnitt gilt für Hersteller der Default-Kategorie, also die Mehrheit der betroffenen Industrie- und Maschinenbauunternehmen. Die Konformitätsbewertung ist der abschließende, formale Schritt, der auf einem funktionierenden Risikoanalyse-Prozess, umgesetzten Annex-I-Anforderungen und einer aktuellen SBOM aufbaut. Den übergeordneten Fahrplan beschreibt unser Artikel: CRA-12: In 10 Schritten zur Konformität.
Schritt 1: Produktkategorie bestätigen. Prüfe, ob das Produkt wirklich in die Default-Kategorie fällt und nicht in Annex III oder IV gelistet ist. Bei Unsicherheit hilft die Durchführungsverordnung der Kommission; im Zweifel ist eine rechtliche Einschätzung sinnvoll. Das Ergebnis gehört ins interne Produkt-Compliance-Register dokumentiert.
Schritt 2: Vollständigkeit der technischen Dokumentation prüfen. Gehe die Pflichtinhalte der technischen Dokumentation systematisch durch. Die Risikobewertung muss aktuell und nachvollziehbar sein. Die SBOM muss maschinenlesbar vorliegen (SPDX oder CycloneDX). Testberichte müssen zur Risikobewertung proportional vorhanden sein. Der Unterstützungszeitraum muss dokumentiert und begründet sein.
Schritt 3: Self-Assessment durchführen. Überprüfe intern, ob alle Anforderungen aus Annex I Teil I (Sicherheitsanforderungen) und Teil II (Vulnerability Handling) erfüllt sind. Schließe Lücken und aktualisiere die technische Dokumentation. Empfehlenswert ist ein strukturierter interner Audit, nicht eine informelle Selbsteinschätzung. Externe Reviewpartner können helfen, blinde Flecken zu erkennen.
Schritt 4: EU-Konformitätserklärung ausstellen. Setze die DoC nach Annex V auf, mit allen Pflichtinhalten. Referenziere die Verordnung (EU) 2024/2847 als angewandten Rechtsakt. Nenne angewandte Normen und Standards mit exakter Bezeichnung und Version. Lass die DoC von einer bevollmächtigten Person unterzeichnen und mache sie als PDF dauerhaft zugänglich, zum Beispiel auf der Produktseite der Website.
Schritt 5: CE-Kennzeichnung anbringen. Bringe die Kennzeichnung am Produkt, der Verpackung oder für Software als URL an. Bei Self-Assessment ist keine NB-Kennnummer notwendig. Dokumentiere, wann die CE-Kennzeichnung erstmals angebracht wurde, das ist relevant für die Aufbewahrungspflicht.
Schritt 6: Dokumentation aufbewahren und aktuell halten. Bewahre die technische Dokumentation 10 Jahre ab dem letzten Inverkehrbringen auf. Aktualisiere die DoC bei wesentlichen Produktänderungen. Etabliere einen Prozess für laufende Compliance: Wer ist zuständig? Wann wird die Dokumentation reviewt?
| Schritt | Bis wann? |
|---|---|
| Produktklassifizierung | Sofort |
| Risikoanalyse & Annex-I-Umsetzung | Laufend, bis November 2027 abgeschlossen |
| Technische Dokumentation vollständig | Oktober/November 2027 |
| Self-Assessment | November 2027 |
| DoC ausstellen | November/Dezember 2027 |
| CE-Kennzeichnung anbringen | Vor dem 11. Dezember 2027 |
| Meldepflichten (Art. 14) | Ab dem 11. September 2026 – unabhängig von CE |
Ein wichtiger Hinweis zu Übergangsprodukten: Die CE-Pflicht gilt ab dem 11. Dezember 2027 für Produkte, die nach diesem Datum erstmals in Verkehr gebracht werden. Für Produkte, die bereits am Markt sind, gelten Übergangsregelungen. Es lohnt sich zu prüfen, ob ein Produkt als wesentlich geändert eingestuft wird und damit erneut bewertet werden muss. Fördermöglichkeiten für die CRA-Umsetzung beschreibt unser Artikel: Förderoptionen für die CRA-Umsetzung.
Jetzt prüfen, bevor die Frist zur Herausforderung wird
Das Bewertungsverfahren hängt von der Produktkategorie ab. Default-Produkte ermöglichen interne Kontrolle. Annex-III-Class-I-Produkte nur bei vollständiger Normen- oder Spezifikationsabdeckung, andernfalls braucht es ein externes Verfahren. Class-II-Produkte benötigen immer einen Notified Body, Critical Products eine europäische Cybersicherheitszertifizierung nach einem einschlägigen CSA-Schema. Die technische Dokumentation ist die Grundlage für alles; ohne sie gibt es kein Assessment, keine DoC und keine CE-Kennzeichnung. DoC und CE-Kennzeichnung sind rechtliche Selbstverpflichtungen, die bei einer Marktüberwachung lückenlos belegt werden müssen.
Default-Hersteller haben einen klaren, durchführbaren Sechsschritte-Prozess. Der Aufwand ist machbar, wenn frühzeitig begonnen wird. Drei Schritte sollten jetzt angegangen werden: Produktkategorie bestätigen, technische Dokumentation auf Vollständigkeit prüfen und einschätzen, ob eine externe Drittpartei eingeplant werden muss. Wer diesen Weg braucht, sollte nicht zu lange warten: Kapazitäten bei akkreditierten Prüfstellen werden voraussichtlich knapp.
Weiterführende Artikel der Reihe: CRA-10: Technische Dokumentation, CRA: Harmonisierte Standards Status und CRA: Meldepflichten.
Wie weit ist dein Unternehmen bei der Vorbereitung auf die Konformitätsbewertung? Schau gerne bei uns auf LinkedIn vorbei und diskutiere mit.
Autoren
Lars Roith
Lars ist Solution Consultant und berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.
Verwandte Beiträge
Weitere Artikel zu ähnlichen Themen.
CRA als Reifegradtest für Softwareentwicklung: Unser dotnetpro-Artikel als PDF
CRA und Lieferkette: Was Hersteller von ihren Lieferanten fordern müssen
CVD-Policy unter dem CRA: So baust du eine echte Vulnerability Disclosure Policy auf
CRA Meldepflichten: Was Hersteller ab September 2026 melden müssen
CRA Funding: Wie KMU die Umsetzung des Cyber Resilience Act fördern lassen
CRA: Den Supportzeitraum nachvollziehbar herleiten
Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren
CRA & Long-Term-Support: Warum Git und Code allein nicht reichen