CRA Konformitätsbewertung: Von der Produktkategorie zur CE-Kennzeichnung
Ab dem 11. Dezember 2027 darf kein Produkt mit digitalen Elementen ohne CRA-konforme CE-Kennzeichnung erstmals in den EU-Markt gebracht werden. Der Weg dorthin ist allerdings je nach Produkt sehr unterschiedlich: Während Hersteller einfacher Industrie-Sensoren das Verfahren eigenständig durchlaufen können, führt für Hersteller von Firewalls oder Hypervisoren in der Regel kein Weg an einer Drittbewertung vorbei.
Die Konformitätsbewertung ist das formale Herzstück des CRA. Sie verbindet alle anderen Anforderungen, also technische Dokumentation, Sicherheitsanforderungen und Schwachstellenmanagement, zu einem nachweisbaren Gesamtergebnis. Wer die Anforderungen aus Annex I noch nicht im Detail kennt, findet in unseren Artikeln zur technischen Dokumentation und zu den harmonisierten Standards eine gute Grundlage. Dieser Artikel richtet sich an Hersteller von Industrie- und Maschinenbau-Produkten, Embedded-System-Entwickler und Produktverantwortliche. Er fokussiert auf die Bewertungsverfahren, die EU-Konformitätserklärung, die CE-Kennzeichnung und eine praxisnahe Schritt-für-Schritt-Anleitung für die häufigste Gruppe: Hersteller der Default-Kategorie.
Die drei Produktkategorien und ihre Konsequenzen
Welches Bewertungsverfahren ein Hersteller durchlaufen muss, hängt zuerst von der Produktkategorie ab. Eine ausführliche Beschreibung der Kategorien bietet unser Artikel: CRA-02: Produkte mit digitalen Elementen. Hier die wesentlichen Unterschiede für den Konformitätsbewertungskontext.
Die große Mehrheit der betroffenen Produkte fällt in die Default-Kategorie: alle Produkte, die nicht in Annex III oder IV des CRA gelistet sind. Typische Beispiele im Maschinenbau sind Industrie-Sensoren ohne Sicherheitsfunktion, einfache IoT-Gateways oder Standard-Firmware für Maschinen. Für diese Produkte ist ein Self-Assessment zulässig, kein externer Prüfer notwendig.
Important Products der Klasse I (Annex III) umfassen Produkte mit erhöhtem Sicherheitsrisiko, zum Beispiel Browser, Passwortmanager, Virtual Private Network (VPN)-Software, Security Information and Event Management (SIEM)-Systeme oder Betriebssysteme. Hier ist interne Kontrolle nur dann möglich, wenn für die relevanten Anforderungen harmonisierte Normen, Common Specifications oder ein passendes europäisches Zertifizierungsschema vollständig angewendet werden können. Ist das nicht der Fall, braucht es ein Drittverfahren nach Artikel 32 Absatz 2. Important Products der Klasse II sind noch sicherheitskritischer, darunter Hypervisoren und Firewalls. Für sie sieht Artikel 32 Absatz 3 zwingend ein Drittverfahren vor: EU-Typ-Prüfung, vollständige Qualitätssicherung oder, falls verfügbar und anwendbar, ein europäisches Zertifizierungsschema. Critical Products (Annex IV), wie Smart-Meter-Gateways oder Hardware Security Modules, benötigen nicht automatisch eine EU-Cybersicherheitszertifizierung nach dem Cybersecurity Act. Sie werden nur dann einem verpflichtenden europäischen Zertifizierungsschema unterworfen, wenn die Kommission dies per delegiertem Rechtsakt festlegt und ein passendes Schema verfügbar ist. Solange diese Voraussetzungen nicht vorliegen, gilt der Fallback aus Artikel 32 Absatz 4 auf die Verfahren aus Artikel 32 Absatz 3. Details dazu erklärt unser Artikel: CRA-05: EUCC und BSI-TR-03183.
| Kategorie | Beispiele | Zulässige Verfahren | Notified Body? |
|---|---|---|---|
| Default | Industrie-Sensor, einfaches IoT-Gateway | Interne Kontrolle (Annex VIII) | Nein |
| Annex III Class I | Browser, VPN-Software, Passwortmanager, SIEM | Interne Kontrolle (bei voller Abdeckung) oder EU-Typ-Prüfung / Vollqualitätssicherung (Annex VIII) | Nur wenn kein Self-Assessment-Pfad greift |
| Annex III Class II | Hypervisor, Firewall | EU-Typ-Prüfung / Vollqualitätssicherung oder EU-Zertifizierung (Art. 32 Abs. 3) | Grundsätzlich Drittverfahren |
| Annex IV (Critical) | Smart-Meter-Gateway, Hardware Security Module | EU-Zertifizierung nur bei delegiertem Rechtsakt; sonst Verfahren nach Art. 32 Abs. 3 | Nicht pauschal |
Ein häufiges erstes Problem ist die unsichere Einordnung des eigenen Produkts. Die Klassifizierung sollte frühzeitig geprüft werden, im Zweifel mit rechtlichem Beistand sowie anhand der technischen Beschreibung der Produktkategorien nach Artikel 7 Absatz 4 und der einschlägigen Leitlinien der Kommission.
Die Konformitätsbewertungsverfahren im Überblick
Artikel 32 CRA definiert die zulässigen Verfahren je Produktkategorie. Die Details der Verfahren stehen in Annex VIII.
Das einfachste Verfahren ist die interne Kontrolle nach Annex VIII, auch bekannt als Self-Assessment oder Modul A. Der Hersteller führt die Bewertung vollständig selbst durch, kein externer Auditor ist involviert. Voraussetzung ist eine vollständige technische Dokumentation und der lückenlose Nachweis aller Annex-I-Anforderungen. Das Ergebnis ist eine EU-Konformitätserklärung (DoC), die der Hersteller selbst ausstellt. Der Hersteller trägt damit die alleinige Verantwortung und muss bei einer Marktüberwachung alle Nachweise vorlegen können.
Für Annex-III-Class-I-Produkte ohne passende harmonisierte Normen, Common Specifications oder einschlägige Zertifizierung und für Annex-III-Class-II-Produkte kommt die EU-Typ-Prüfung nach Annex VIII zum Einsatz (Modul B + C). Eine benannte Konformitätsbewertungsstelle, der Notified Body, prüft das Produkt und stellt eine EU-Typ-Prüfbescheinigung aus. Modul B ist die eigentliche Typ-Prüfung durch den Notified Body. Modul C ist die anschließende Konformitätserklärung des Herstellers, dass produzierte Einheiten dem geprüften Typ entsprechen. Die offizielle Liste der benannten Stellen ist in der NANDO-Datenbank der EU-Kommission abrufbar.
Als Alternative zur wiederholten Typ-Prüfung bei regelmäßigen Produktänderungen steht die vollständige Qualitätssicherung nach Annex VIII (Modul H) zur Verfügung. Hier prüft der Notified Body nicht nur das Produkt, sondern auch das gesamte Qualitätsmanagementsystem des Herstellers. Das ist aufwändiger, aber bei häufig aktualisierten Produkten effizienter als eine neue Typ-Prüfung bei jeder wesentlichen Änderung.
Für Critical Products aus Annex IV gilt eine Sonderlogik. Eine verpflichtende europäische Cybersicherheitszertifizierung greift nur, wenn die Kommission dies per delegiertem Rechtsakt für die jeweilige Produktkategorie festlegt und ein passendes Zertifizierungsschema verfügbar ist. Andernfalls verweist Artikel 32 Absatz 4 auf dieselben Drittverfahren wie bei Annex-III-Class-II-Produkten.
| Verfahren | Wer führt durch? | Ergebnis | Zulässig für | Aufwand |
|---|---|---|---|---|
| Interne Kontrolle (Annex VIII) | Hersteller allein | DoC | Default, Annex III Class I (bei voller Abdeckung) | Niedrig |
| EU-Typ-Prüfung + Konformität zum Typ (Annex VIII) | Notified Body + Hersteller | NB-Bescheinigung + DoC | Annex III Class I/II; Annex IV im Fallback | Mittel |
| Vollst. Qualitätssicherung (Annex VIII) | Notified Body + Hersteller | NB-Bescheinigung + DoC | Annex III Class I/II; Annex IV im Fallback | Hoch |
| Europäische Cybersicherheitszertifizierung | Zertifizierungsstelle nach Schema | EU-Zertifikat | Annex IV, wenn delegierter Rechtsakt + Schema vorhanden | Sehr hoch |
Technische Dokumentation als Fundament
Die technische Dokumentation nach Artikel 31 und Annex VII ist nicht das Ziel der Konformitätsbewertung, sie ist der Beweis für alle durchgeführten Maßnahmen. Ohne sie ist keine Konformitätsbewertung möglich, ob mit oder ohne Notified Body. Unser Artikel CRA-10: Technische Dokumentation beschreibt alle Anforderungen im Detail. Dieser Abschnitt fasst die wesentlichen Punkte für den Konformitätsbewertungskontext zusammen.
Annex VII nennt folgende Pflichtinhalte:
- Allgemeine Beschreibung des Produkts (Name, Typenbezeichnung, Versionen, Zweckbestimmung)
- Technisches Design, Entwicklungsprozess, Systemarchitektur
- Cybersicherheitsrisikobewertung gemäß Annex I
- Festgelegter Unterstützungszeitraum mit Begründung
- Angewandte Normen und Standards (harmonisierte Normen, gemeinsame Spezifikationen, CSA-Zertifizierungen)
- Testberichte und Prüfnachweise
- Kopie der EU-Konformitätserklärung (Annex V) als Bestandteil der Doku
- Software Bill of Materials (SBOM) auf Anfrage der Marktüberwachungsbehörde; wie eine belastbare SBOM entsteht, beschreibt unser Artikel: SBOM für Embedded Systeme
Die Aufbewahrungspflicht beträgt mindestens 10 Jahre ab dem Inverkehrbringen oder länger, wenn der festgelegte Unterstützungszeitraum darüber hinausgeht. Einsicht verlangen dürfen die jeweils zuständigen Marktüberwachungsbehörden.
Ein wichtiger Praxishinweis: Die technische Dokumentation ist kein einzelnes PDF. Eine strukturierte Dokumentationsinfrastruktur aus Wiki, SBOM-Tool und versionierten Testberichten kann in der Praxis ausreichen, solange sie vollständig, aktuell, nachvollziehbar und schnell abrufbar ist.
EU-Konformitätserklärung: Inhalt, Form und Verantwortung
Die EU Declaration of Conformity (DoC) ist das zentrale Rechtsdokument, mit dem der Hersteller erklärt, dass das Produkt alle Anforderungen des CRA erfüllt. Rechtsgrundlage ist Artikel 28 i.V.m. Annex V des CRA.
Die Pflichtinhalte nach Annex V:
- Name und vollständige Adresse des Herstellers (oder EU-Bevollmächtigten bei Drittlandherstellern)
- Eindeutige Bezeichnung des Produkts: Name, Typ, Modell, Seriennummer oder Chargenbezeichnung
- Erklärung der alleinigen Verantwortung des Herstellers für die Konformität
- Gegenstand der Erklärung als Verweis auf das konkrete Produkt oder die Produktfamilie
- Verweis auf Verordnung (EU) 2024/2847 und alle weiteren anwendbaren EU-Rechtsvorschriften
- Angewandte harmonisierte Normen, gemeinsame Spezifikationen oder EU-Cybersicherheitszertifizierungen mit genauen Referenzen inkl. Versionsnummer
- Ggf. Name und Nummer des Notified Body, Beschreibung des Verfahrens und Identifikation der Bescheinigung
- Datum und Ort der Ausstellung, Name und Unterschrift der bevollmächtigten Person
Die DoC muss in den Sprachen verfügbar sein, die der jeweilige Mitgliedstaat für das Inverkehrbringen oder Bereitstellen auf dem Markt verlangt, Mehrsprachigkeit ist zulässig. Ein starres Format gibt der CRA nicht vor. Praktisch reicht ein PDF, rechtlich muss dem Produkt aber entweder die vollständige DoC oder eine vereinfachte DoC beigefügt sein. Bei der vereinfachten Fassung muss die exakte Internetadresse der vollständigen DoC angegeben sein. Für Software-Produkte lässt sich das gut über eine im Download, Installer oder Produktmenü verlinkte URL lösen.
Ein häufiges Praxisproblem ist, dass Hersteller die DoC nach Produktänderungen nicht aktualisieren. Die DoC ist kein einmaliges Dokument, sondern muss mit dem Produkt mitgepflegt werden. Wesentliche Produktänderungen, der Ablauf einer referenzierten Norm oder ein Wechsel der Rechtsgrundlage erfordern eine neue Ausstellung. Der EU Blue Guide 2022 bietet einen praxisnahen Leitfaden zu DoC und CE-Kennzeichnung, auch wenn er nicht CRA-spezifisch ist.
CE-Kennzeichnung: Wann, wo und wie
Die CE-Kennzeichnung darf erst nach abgeschlossener Konformitätsbewertung angebracht werden, also nach vollständiger technischer Dokumentation und ausgestellter DoC. Sie muss vor dem Inverkehrbringen auf dem EU-Markt vorhanden sein, nicht nachträglich. Artikel 29 und 30 CRA regeln die Anforderungen im Detail.
Die Kennzeichnung gehört bevorzugt auf das Produkt selbst. Ist das physisch nicht möglich, ist die Verpackung der nächste Ort. Für Software-Produkte ohne physisches Trägermedium darf die CE-Kennzeichnung an der EU-Konformitätserklärung oder auf der das Produkt begleitenden Website angebracht werden.
Das CE-Zeichen muss sichtbar, lesbar und dauerhaft sein, mit einer Mindesthöhe von 5 mm, wenn die Produktgröße das erlaubt. Es darf nicht verändert, verdeckt oder mit Zusätzen ergänzt werden, ausgenommen die Kennnummer des Notified Body, aber nur wenn dieser im Verfahren der vollständigen Qualitätssicherung (Modul H) beteiligt war. Beim Self-Assessment ist keine Kennnummer der benannten Stelle notwendig.
Eine CE-Kennzeichnung ohne abgeschlossene Konformitätsbewertung kann zur Marktrücknahme durch die Aufsichtsbehörden führen. Die Bußgelder nach CRA betragen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Was das konkret bedeutet, beschreibt unser Artikel: CRA-Strafen und Sanktionen.
Harmonisierte Normen als Weg zur Konformitätsvermutung
Artikel 27 CRA enthält eine strategisch wichtige Vereinfachung: Wer eine harmonisierte Norm anwendet, die im Amtsblatt der EU veröffentlicht ist, gilt als konform mit den dadurch abgedeckten Anforderungen, ohne weiteren Einzelnachweis. Das ist die Konformitätsvermutung. Statt jeden Annex-I-Anforderungspunkt einzeln zu belegen, genügt der Verweis auf eine anerkannte Norm.
Zum Stand Mitte 2026 sind jedoch noch keine vollständig veröffentlichten harmonisierten Normen für den CRA verfügbar. Der Normungsauftrag M/606 an CEN, CENELEC und ETSI läuft seit 2025. Erste horizontale Normen befinden sich in der Enquiry-Phase, produktspezifische Normen sind noch in früher Entwicklung. Der aktuelle Normungsfortschritt lässt sich bei stan4cra.eu und im BSI CRA Standards Dashboard verfolgen. Unser Artikel CRA: Harmonisierte Standards Status erklärt den Normungsprozess im Detail.
Was tun, wenn bis Dezember 2027 keine passenden Normen veröffentlicht sind? Drei Alternativen stehen zur Verfügung. Erstens können Gemeinsame Spezifikationen (Common Specifications) nach Artikel 27 Absatz 2 die Lücke füllen, wenn die Kommission diese per Durchführungsrechtsakt erlässt. Zweitens liefert der JRC/ENISA Mapping Report (JRC137340) eine Einordnung, welche bestehenden Normen wie IEC 62443, EN 303 645 oder ISO 27001 als Orientierung dienen können, auch wenn sie keine Konformitätsvermutung begründen. Drittens kann eine europäische Cybersicherheitszertifizierung Konformitätsvermutung nach Artikel 27 Absatz 8 begründen, soweit Zertifikat oder EU statement of conformity die betreffenden Anforderungen abdecken.
Für Hersteller von Annex-III-Class-I-Produkten hat das eine direkte strategische Konsequenz. Wenn bis Dezember 2027 weder passende harmonisierte Normen noch Common Specifications oder ein anwendbares Zertifizierungsschema verfügbar sind, wird für viele dieser Produkte ein Drittverfahren erforderlich. Kapazitäten bei Notified Bodies und anderen Drittstellen können knapp werden. Wer diese Möglichkeit nicht ausschließen kann, sollte jetzt prüfen, ob ein externer Pfad eingeplant werden muss.
| Weg zur Konformitätsvermutung | Rechtsgrundlage | Verfügbarkeit (Mitte 2026) |
|---|---|---|
| Harmonisierte Norm (hEN) | Art. 27 Abs. 1 | Noch keine veröffentlicht |
| Gemeinsame Spezifikation | Art. 27 Abs. 2 | In Vorbereitung |
| EU-Cybersicherheitszertifizierung | Art. 27 Abs. 8 | Abhängig vom verfügbaren Schema |
Schritt für Schritt zur CRA-Konformität
Dieser Abschnitt gilt für Hersteller der Default-Kategorie, also die Mehrheit der betroffenen Industrie- und Maschinenbauunternehmen. Die Konformitätsbewertung ist der abschließende, formale Schritt, der auf einem funktionierenden Risikoanalyse-Prozess, umgesetzten Annex-I-Anforderungen und einer aktuellen SBOM aufbaut. Den übergeordneten Fahrplan beschreibt unser Artikel: CRA-12: In 10 Schritten zur Konformität.
Schritt 1: Produktkategorie bestätigen. Prüfe, ob das Produkt wirklich in die Default-Kategorie fällt und nicht in Annex III oder IV gelistet ist. Bei Unsicherheit helfen die technische Beschreibung der Produktkategorien und die einschlägigen Leitlinien der Kommission; im Zweifel ist eine rechtliche Einschätzung sinnvoll. Das Ergebnis gehört ins interne Produkt-Compliance-Register dokumentiert. Das Ergebnis gehört dokumentiert ins interne Produkt-Compliance-Register.
Schritt 2: Vollständigkeit der technischen Dokumentation prüfen. Gehe die Pflichtinhalte aus Artikel 31 und Annex VII durch. Die Risikobewertung muss aktuell und nachvollziehbar sein. Die SBOM muss maschinenlesbar vorliegen (SPDX oder CycloneDX). Testberichte müssen zur Risikobewertung proportional vorhanden sein. Der Unterstützungszeitraum muss dokumentiert und begründet sein.
Schritt 3: Self-Assessment nach Annex VIII durchführen. Überprüfe intern, ob alle Anforderungen aus Annex I Teil I (Sicherheitsanforderungen) und Teil II (Vulnerability Handling) erfüllt sind. Schließe Lücken und aktualisiere die technische Dokumentation. Empfehlenswert ist ein strukturierter interner Audit, nicht eine informelle Selbsteinschätzung. Externe Reviewpartner können helfen, blinde Flecken zu erkennen.
Schritt 4: EU-Konformitätserklärung ausstellen. Setze die DoC nach Annex V auf, mit allen Pflichtinhalten. Referenziere die Verordnung (EU) 2024/2847 als angewandten Rechtsakt. Nenne angewandte Normen und Standards mit exakter Bezeichnung und Version. Lass die DoC von einer bevollmächtigten Person unterzeichnen und mache sie als PDF dauerhaft zugänglich, zum Beispiel auf der Produktseite der Website.
Schritt 5: CE-Kennzeichnung anbringen. Bringe die Kennzeichnung am Produkt, an der Verpackung oder bei Software an der DoC beziehungsweise auf der begleitenden Website an. Bei Self-Assessment ist keine Kennnummer der benannten Stelle notwendig. Dokumentiere, wann die CE-Kennzeichnung erstmals angebracht wurde, das ist relevant für die Aufbewahrungspflicht.
Schritt 6: Dokumentation aufbewahren und aktuell halten. Bewahre die technische Dokumentation 10 Jahre ab dem letzten Inverkehrbringen auf. Aktualisiere die DoC bei wesentlichen Produktänderungen. Etabliere einen Prozess für laufende Compliance: Wer ist zuständig? Wann wird die Dokumentation reviewt?
| Schritt | Bis wann? |
|---|---|
| Produktklassifizierung | Sofort |
| Risikoanalyse & Annex-I-Umsetzung | Laufend, bis November 2027 abgeschlossen |
| Technische Dokumentation vollständig | Oktober/November 2027 |
| Self-Assessment | November 2027 |
| DoC ausstellen | November/Dezember 2027 |
| CE-Kennzeichnung anbringen | Vor dem 11. Dezember 2027 |
| Meldepflichten (Art. 14) | Ab dem 11. September 2026 – unabhängig von CE |
Ein wichtiger Hinweis zu Übergangsprodukten: Die CE-Pflicht gilt ab dem 11. Dezember 2027 für Produkte, die nach diesem Datum erstmals in Verkehr gebracht werden. Produkte, die vor diesem Datum in Verkehr gebracht wurden, unterfallen dem CRA grundsätzlich erst dann, wenn sie ab diesem Stichtag wesentlich geändert werden. Davon ausgenommen sind die Meldepflichten aus Artikel 14, die auch für bereits zuvor in Verkehr gebrachte Produkte gelten. Es lohnt sich daher frühzeitig zu prüfen, ob ein Produkt als wesentlich geändert eingestuft wird und damit erneut bewertet werden muss. Fördermöglichkeiten für die CRA-Umsetzung beschreibt unser Artikel: Förderoptionen für die CRA-Umsetzung.
Jetzt prüfen, bevor die Frist zur Herausforderung wird
Das Bewertungsverfahren hängt von der Produktkategorie ab: Default-Produkte ermöglichen interne Kontrolle. Annex-III-Class-I-Produkte kommen nur dann ohne Drittverfahren aus, wenn passende harmonisierte Normen, Common Specifications oder Zertifizierungsschemata die relevanten Anforderungen abdecken. Class-II-Produkte brauchen grundsätzlich ein Drittverfahren, und Critical Products folgen einer Sonderlogik aus möglicher EU-Zertifizierung plus Fallback nach Artikel 32 Absatz 4. Die technische Dokumentation ist die Grundlage für alles; ohne sie gibt es kein Assessment, keine DoC und keine CE-Kennzeichnung. DoC und CE-Kennzeichnung sind rechtliche Selbstverpflichtungen, die bei einer Marktüberwachung lückenlos belegt werden müssen.
Default-Hersteller haben einen klaren Sechsschritte-Prozess. Der Aufwand ist beherrschbar, wenn Risikoanalyse, Testnachweise und Verantwortlichkeiten frühzeitig aufgebaut werden; als Last-Minute-Projekt funktioniert das in der Praxis selten. Drei Schritte sollten jetzt angegangen werden: Produktkategorie bestätigen, technische Dokumentation auf Vollständigkeit prüfen und einschätzen, ob ein Notified Body benötigt wird. Wer letzteren braucht, sollte nicht zu lange warten: Kapazitäten bei akkreditierten Prüfstellen werden voraussichtlich knapp.
Weiterführende Artikel der Reihe: CRA-10: Technische Dokumentation, CRA: Harmonisierte Standards Status und CRA: Meldepflichten.
Wie weit ist dein Unternehmen bei der Vorbereitung auf die Konformitätsbewertung? Schau gerne bei uns auf LinkedIn vorbei und diskutiere mit.
Autoren
Lars Roith
Lars ist Solution Consultant und berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.
Verwandte Beiträge
Weitere Artikel zu ähnlichen Themen.
CRA und Open Source: Die neue Rolle des Open Source Stewards erklärt
CRA und Lieferkette: Was Hersteller von ihren Lieferanten fordern müssen
CVD-Policy unter dem CRA: So baust du eine echte Vulnerability Disclosure Policy auf
CRA Meldepflichten: Was Hersteller ab September 2026 melden müssen
CRA Funding: Wie KMU die Umsetzung des Cyber Resilience Act fördern lassen
CRA: Den Supportzeitraum nachvollziehbar herleiten
Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren
CRA & Long-Term-Support: Warum Git und Code allein nicht reichen