Cybervize - Cybersecurity Beratung

Konformitätsbewertung und CE-Kennzeichnung nach dem Cyber Resilience Act

Cyber Resilience ActCISOProduct Security LeadHead of ComplianceGeschäftsführung

Kernaussage

Die CE-Kennzeichnung nach dem Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ist kein Logo, sondern eine rechtsverbindliche Herstellererklärung: Das Produkt erfüllt die wesentlichen Cybersicherheitsanforderungen, und es existieren technische Nachweise, die das belegen. Ohne diese Konformität darf ein Produkt mit digitalen Elementen ab voller Geltung nicht mehr auf dem EU-Markt bereitgestellt werden.

Die Steuerungsfrage für das Management lautet nicht "Wie bekommen wir das CE-Zeichen?", sondern "In welche Produktklasse fällt unser Produkt, welches Konformitätsbewertungsverfahren ist dafür zulässig, und reicht eine eigene Bewertung oder brauchen wir eine notifizierte Stelle?". Diese Einstufung entscheidet über Aufwand, Zeitplan und Marktzugang.

Problem in der Praxis

Viele Hersteller behandeln die CE-Kennzeichnung als formalen Schlussschritt am Ende der Entwicklung. Im CRA-Kontext ist das ein Steuerungsfehler. Die Konformität entsteht über den gesamten Lebenszyklus: aus Security-by-Design, aus Schwachstellenbehandlung und aus einer technischen Dokumentation, die parallel zur Entwicklung wächst. Wer sie nachträglich erzeugen will, produziert Papier ohne belastbare Substanz.

Hinzu kommt eine Klassifizierungslücke. Ob ein Produkt als Standardprodukt, als wichtiges Produkt (Anhang III, Klasse I oder II) oder als kritisches Produkt (Anhang IV) gilt, bestimmt, ob eine Selbstbewertung genügt oder eine Drittprüfung verpflichtend ist. Unternehmen, die diese Einstufung spät vornehmen, entdecken oft erst kurz vor dem geplanten Marktstart, dass sie eine notifizierte Stelle einbinden müssen, deren Prüfkapazität und Vorlaufzeit nicht über Nacht verfügbar sind.

Spätestens wenn Marktüberwachungsbehörden, Einkaufsabteilungen von Kunden oder ein Importeur die technische Dokumentation und die EU-Konformitätserklärung sehen wollen, zeigt sich, ob die Konformität betrieben oder nur behauptet wurde.

CISO-Einordnung

Der CRA verbindet zwei Welten, die in vielen Organisationen getrennt laufen: Produktsicherheit als Engineering-Thema und Konformität als regulatorisches Thema. Die Konformitätsbewertung ist die Brücke. Sie zwingt dazu, technische Sicherheitsentscheidungen so zu dokumentieren, dass sie prüfbar werden.

Aus CISO-Sicht sind vier Bausteine zu unterscheiden, die zusammen die CE-Konformität tragen:

  • Die wesentlichen Anforderungen (Anhang I): Produkteigenschaften (Teil I) und Schwachstellenbehandlung über den Lebenszyklus (Teil II). Sie sind das materielle Ziel.
  • Das Konformitätsbewertungsverfahren: der Weg, auf dem die Erfüllung nachgewiesen wird. Die Strenge richtet sich nach der Produktklasse.
  • Die technische Dokumentation (Anhang VII) und die Nutzerinformationen (Anhang II): die Nachweis- und Informationsbasis, inklusive Angabe des Unterstützungszeitraums.
  • Die EU-Konformitätserklärung und die CE-Kennzeichnung: die formale, haftungsrelevante Selbstverpflichtung des Herstellers.

Harmonisierten Normen kommt eine Sonderrolle zu. Wendet ein Hersteller eine im Amtsblatt gelistete harmonisierte Norm vollständig an, gilt für die abgedeckten Anforderungen eine Konformitätsvermutung. Das verschiebt die Beweislast und kann bei wichtigen Produkten der Klasse I den Weg für die Selbstbewertung öffnen. Der Bestand solcher harmonisierter Normen wird über ein Mandat an CEN/CENELEC erst aufgebaut und verändert sich laufend; der jeweils aktuelle Stand ist vor verbindlichen Entscheidungen zu prüfen. Als fachlicher Kandidat für diesen Bereich gilt die Normenreihe IEC 62443 (sicherer Produktentwicklungsprozess und Komponentenanforderungen), eine endgültige Listung ist damit aber nicht vorweggenommen.

Umsetzungsperspektive

Die Produktklasse steuert das Verfahren. In der Logik des CRA lässt sich das so ordnen:

  • Standardprodukte (nicht in den Anhängen gelistet): in der Regel Selbstbewertung im Wege der internen Kontrolle (Modul A). Der Hersteller bewertet und erklärt die Konformität eigenverantwortlich.
  • Wichtige Produkte, Klasse I (Anhang III): Selbstbewertung ist nur zulässig, wenn einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder ein passendes Cybersicherheits-Zertifizierungsschema vollständig angewendet werden. Andernfalls ist eine Drittprüfung durch eine notifizierte Stelle erforderlich. Beispiele aus Anhang III sind unter anderem Passwortmanager, Identitäts- und Zugriffsmanagement, VPN-Produkte, Netzmanagementsysteme, SIEM, Betriebssysteme sowie Router, Modems und Switches.
  • Wichtige Produkte, Klasse II (Anhang III): Eine Drittprüfung durch eine notifizierte Stelle oder ein EU-Zertifizierungsschema ist verpflichtend; reine Selbstbewertung genügt nicht. Beispiele sind unter anderem Hypervisoren und Container-Runtimes, Firewalls sowie Intrusion-Detection- und -Prevention-Systeme.
  • Kritische Produkte (Anhang IV): höchste Stufe; hier kann die Kommission per delegiertem Rechtsakt eine verpflichtende europäische Cybersicherheits-Zertifizierung vorsehen. Beispiele sind unter anderem Hardware-Sicherheitsmodule, Smartcards und Secure Elements sowie Smart-Meter-Gateways.

Die konkrete Einstufung eines Produkts ist anhand der Original-Anhänge III und IV vorzunehmen; konkrete Listen und Präzisierungen können durch delegierte oder Durchführungsrechtsakte ergänzt werden. Diese Einzeleinstufung ist damit kein einmaliger, sondern ein zu beobachtender Schritt.

Die technische Dokumentation (Anhang VII) ist dabei kein Anhang zur Erklärung, sondern deren Grundlage. Sie umfasst Produktbeschreibung, Risikobewertung, die getroffenen Sicherheitsmaßnahmen, Angaben zur Schwachstellenbehandlung und zum Unterstützungszeitraum. Sie muss aktuell gehalten und auf Verlangen der Marktüberwachung vorgelegt werden können.

Für Hersteller mit Drittprüferpflicht bestimmt die Zeitachse den Handlungsspielraum. Die Vorschriften zur Notifizierung der Konformitätsbewertungsstellen (Kapitel IV, Artikel 35 bis 51) gelten ab dem 11. Juni 2026; erst danach baut sich die Landschaft notifizierter Stellen auf. Die volle Anwendung der Konformitätsbewertungs- und CE-Pflichten greift zum 11. Dezember 2027. Wer eine notifizierte Stelle braucht, sollte Kapazität und Vorlauf frühzeitig einplanen.

Als nationale Orientierungs- und Umsetzungshilfe kann die BSI TR-03183 ("Cyber-Resilienz-Anforderungen an Hersteller und Produkte") dienen, unter anderem mit Teilen zu allgemeinen Anforderungen, zur SBOM und zum Umgang mit Schwachstellen. Sie ist frei zugänglich, aber nicht rechtsverbindlich und entfaltet keine Konformitätsvermutung; der jeweilige Versionsstand ist vor Nutzung zu prüfen.

Typische Fehler

  1. Die Produktklasse wird zu spät bestimmt, sodass eine Drittprüfung den Marktstart blockiert.
  2. Die technische Dokumentation wird erst kurz vor der CE-Kennzeichnung erstellt statt entwicklungsbegleitend gepflegt.
  3. Eine harmonisierte Norm wird nur teilweise angewendet, die Konformitätsvermutung aber dennoch beansprucht.
  4. Der Unterstützungszeitraum wird nicht festgelegt oder nicht in den Nutzerinformationen ausgewiesen.
  5. Wesentliche Änderungen an bestehenden Produkten werden nicht als konformitätsrelevant erkannt, obwohl sie eine erneute Bewertung auslösen können.

Risiken und Trade-offs

Die Selbstbewertung ist schneller und günstiger, verlagert aber die volle Verantwortung und Haftung auf den Hersteller. Eine Drittprüfung kostet Zeit und Geld, liefert aber externe Bestätigung und Marktvertrauen. Der CISO muss diese Abwägung gemeinsam mit Produktmanagement und Recht treffen, nicht allein technisch.

Ein zweiter Trade-off betrifft harmonisierte Normen. Ihre vollständige Anwendung kann den Bewertungspfad vereinfachen, bindet aber an einen Normenrahmen, der noch im Aufbau ist. Wer sich früh festlegt, gewinnt Planungssicherheit, trägt aber das Risiko späterer Anpassungen.

Drittens besteht ein Klassifizierungsrisiko. Eine zu konservative Einstufung erzeugt unnötigen Prüfaufwand, eine zu optimistische führt zu nicht konformen Produkten am Markt mit entsprechenden aufsichtsrechtlichen Folgen.

Entscheidungspunkte

  • In welche Produktklasse fällt das Produkt nach Anhang III beziehungsweise IV, und wer verantwortet diese Einstufung?
  • Ist eine Selbstbewertung zulässig, oder ist eine notifizierte Stelle erforderlich?
  • Sollen harmonisierte Normen vollständig angewendet werden, um die Konformitätsvermutung zu nutzen?
  • Wie wird die technische Dokumentation entwicklungsbegleitend erzeugt und aktuell gehalten?
  • Welcher Unterstützungszeitraum wird zugesagt, und wie wird er kommuniziert?
  • Welche Vorlaufzeit braucht eine notifizierte Stelle im Verhältnis zum geplanten Marktstart?

Praktische Empfehlungen

  1. Klassifizieren Sie jedes Produkt frühzeitig anhand der Original-Anhänge und dokumentieren Sie die Begründung.
  2. Bauen Sie die technische Dokumentation als laufendes Nebenprodukt der Entwicklung, nicht als Abschlussdokument.
  3. Klären Sie den Drittprüferbedarf, bevor der Marktzeitplan steht, und sichern Sie Prüfkapazität rechtzeitig.
  4. Behandeln Sie harmonisierte Normen als Chance für die Konformitätsvermutung, aber prüfen Sie deren jeweils aktuellen Listungsstand.
  5. Verankern Sie die Schwachstellenbehandlung und den Unterstützungszeitraum fest in Produkt- und Supportprozessen.
  6. Definieren Sie ein Kriterium für "wesentliche Änderung", das eine erneute Konformitätsbewertung auslöst.

Relevante Normreferenzen

  • Cyber Resilience Act, Verordnung (EU) 2024/2847: maßgeblicher Rechtsrahmen für Konformitätsbewertung, technische Dokumentation (Anhang VII), wesentliche Anforderungen (Anhang I), Produktklassen (Anhang III/IV) und CE-Kennzeichnung; unmittelbar in allen Mitgliedstaaten geltend.
  • IEC 62443 (Reihe): fachliche Referenz für sicheren Produktentwicklungsprozess und Komponentenanforderungen; Kandidat für harmonisierte Normen, ohne dass eine Listung vorweggenommen wird.
  • ISO/IEC 27001: organisatorische Referenz für den sicheren Entwicklungs- und Schwachstellenprozess (nur als allgemeiner Strukturbezug).
  • NIST SSDF (SP 800-218): prozessuale Referenz für sichere Softwareentwicklung und Schwachstellenbehandlung (Public Domain).
  • BSI TR-03183: nationale Orientierungs- und Umsetzungshilfe zum CRA; nicht rechtsverbindlich, keine Konformitätsvermutung.

Häufige Fragen

Ist die CE-Kennzeichnung beim CRA nur eine Formalität?+

Nein. Sie ist eine rechtsverbindliche Herstellererklärung, die auf technischer Dokumentation und einem durchgeführten Konformitätsbewertungsverfahren beruht.

Wann genügt eine Selbstbewertung?+

Bei Standardprodukten in der Regel ja. Bei wichtigen Produkten der Klasse I nur, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewendet werden; sonst ist eine Drittprüfung nötig.

Wann ist eine notifizierte Stelle verpflichtend?+

Bei wichtigen Produkten der Klasse II grundsätzlich; bei Klasse I, wenn keine harmonisierten Normen vollständig angewendet werden; bei kritischen Produkten kann eine EU-Zertifizierung vorgeschrieben werden.

Was bringt eine harmonisierte Norm?+

Ihre vollständige Anwendung begründet eine Konformitätsvermutung für die abgedeckten Anforderungen. Der Bestand solcher Normen ist noch im Aufbau und vor Nutzung zu prüfen.

Welche Fristen sind für die Konformitätsbewertung wichtig?+

Die Notifizierung der Konformitätsbewertungsstellen gilt ab 11. Juni 2026, die volle Anwendung der CE- und Konformitätspflichten ab 11. Dezember 2027.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Cyber Resilience Act prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: cra-005.