Wie stelle ich die Konformität meines Produktes nach dem Cyber Resilience Act sicher?

Wie stelle ich die Konformität meines Produktes nach dem Cyber Resilience Act sicher?

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) verlangt, dass Hersteller nachweisen, dass ihre Produkte mit digitalen Elementen sicher sind, nicht nur beim Verkaufsstart, sondern über den gesamten Lebenszyklus hinweg. Dieser Nachweis erfolgt über ein Konformitätsbewertungsverfahren, das je nach Kritikalität des Produkts unterschiedlich streng ausfällt.

Während Standardprodukte mit einer Selbsterklärung auskommen, müssen wichtige Produkte durch externe Audits überprüft werden. Für kritische Produkte ist eine EU-weite Cybersecurity-Zertifizierung verpflichtend. Im Rahmen des Konformitätsbewertungsverfahren wird nicht nur das Produkt an sich bewertet, sondern auch die begleitenden Prozesse wie das Schwachstellenmanagement, die Prozesse zum Security-Update und die technische Dokumentation.

Was ist eine Konformitätsbewertung?

Eine Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die in einer Verordnung oder Richtlinie festgelegten Anforderungen erfüllt. Im Fall des CRA bedeutet das:

  • Das Produkt selbst darf keine bekannten Schwachstellen enthalten.
  • Es muss den Anforderungen aus Anhang I Teil I entsprechen (z. B. sichere Standardeinstellungen, Minimierung der Angriffsflächen, Verschlüsselung).
  • Der Hersteller muss Prozesse nach Anhang I Teil II etabliert haben (z. B. Schwachstellenmanagement, Incident-Handling, Security-Updates, Vulnerability Disclosure).
  • Die Produktsicherheit muss während der gesamten Produktlebensdauer gewährleistet sein.
  • Es muss eine technische Dokumentation und entsprechende Nutzerdokumentation erstellt werden.
  • Vor Markteinführung muss eine EU-Konformitätserklärung erstellt werden.
  • Sichtbares Zeichen dieser Bewertung ist die CE-Kennzeichnung.

Die Bewertung umfasst nicht nur das Produkt selbst, sondern auch die dazugehörigen Prozesse und die technische Dokumentation. Diese drei Dimensionen greifen ineinander und müssen im Zusammenspiel nachweisen, dass ein Produkt nicht nur zum Zeitpunkt des Verkaufs, sondern auch während seiner gesamten Lebensdauer sicher bleibt.

Die CE-Kennzeichnung

Das CE-Zeichen ist das sichtbarste Ergebnis einer erfolgreichen Konformitätsbewertung und signalisiert, dass ein Produkt die grundlegenden Anforderungen erfüllt. Es muss so angebracht sein, dass es für den Nutzer sichtbar, lesbar und dauerhaft erkennbar bleibt. Wenn dies aufgrund der Bauform nicht möglich ist beispielsweise bei sehr kleinen Geräten oder bei reinen Softwareprodukten, darf das Zeichen auch auf der Verpackung, in den Begleitunterlagen oder in digitaler Form z. B. auf der Website erscheinen. Wurde die Konformitätsbewertung durch ein externes Audit durchgeführt wird die entsprechende Kennung des Unternehmens ebenfalls in der Dokumentation ergänzt. Damit wird das CE-Kennzeichen zu der eigentlichen Marktzugangsbeschränkung. Ohne Konformität kein CE, und ohne CE gibt es keinen Zugang zum europäischen Markt.

CRA Gap-Analyse

Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

Zur Gap-Analyse
Illustration Cyber Resilience Act Gap Analyse

Verfahren der Konformitätsbewertung

Der CRA sieht unterschiedliche Verfahren vor, die je nach Kritikalität des Produkts angewendet werden. Grundlage ist Artikel 32 in Verbindung mit Anhang VIII.

1. Interne Kontrolle (Modul A)

Bei Standardprodukten genügt es, wenn der Hersteller selbst prüft, ob sein Produkt und die dazugehörigen Prozesse den Anforderungen entsprechen. Er erstellt die technische Dokumentation, führt eine Risikobewertung durch und legt eine EU-Konformitätserklärung ab.

Diese Variante ist der „einfache Weg“, aber nur für Produkte zulässig, die nicht als „wichtig“ oder „kritisch“ eingestuft sind.

2. EU-Typprüfung (Modul B) + Produktionskontrolle (Modul C)

Bei vielen wichtigen Produkten reicht eine reine Selbsterklärung nicht mehr. Hier muss ein externes Audit-Unternehmen das technische Design und den Entwicklungsprozess prüfen (Typprüfung). Der Hersteller bleibt anschließend verantwortlich, dass alle in Serie produzierten Geräte mit dem geprüften Typ übereinstimmen (Produktionskontrolle).

Das Modell B+C ist typisch für wichtige Produkte der Klasse I und II, etwa Betriebssysteme, Firewalls oder VPN-Lösungen.

3. Volle Qualitätssicherung (Modul H)

Für Produkte mit besonders hohem Risiko wird eine umfassende Qualitätsprüfung verlangt. Hier muss der Hersteller ein vollständiges Qualitätssicherungssystem nachweisen, das Design, Entwicklung und Produktion umfasst. Ein externes Audit-Unternehmen prüft und zertifiziert dieses System.

Dieses Verfahren ist besonders relevant für wichtige Produkte der Klasse II und teilweise für kritische Produkte.

4. EU-Cybersicherheitszertifizierung

Kritische Produkte, die in Anhang IV gelistet sind, müssen zwingend durch eine EU-weite Cybersecurity-Zertifizierung auf dem Niveau „substantial“ oder höher bewertet werden. Alternativ kann eine Typprüfung + Qualitätssicherung erfolgen, aber das Ziel bleibt: ein hohes, überprüftes Sicherheitsniveau.

Zu diesen Produkten gehören beispielsweise Smart Meter Gateways, Hardware-Sicherheitsmodule oder Smartcards.

Welche Produkte benötigen welches Verfahren?

Die Anforderungen an die Konformitätsbewertung hängen direkt von der Kritikalität eines Produkts ab. Während Standardprodukte noch mit einer einfachen Selbsterklärung in Verkehr gebracht werden dürfen, steigt mit wachsender Bedeutung für die Cybersicherheit der Prüfungsaufwand deutlich an. Die folgende Übersicht zeigt, welches Verfahren für welche Produktkategorie anzuwenden ist:

KlassifizierungBeispieleVerfahren der Konformitätsbewertung
StandardprodukteEinfache IoT-Geräte, Consumer-AppsInterne Kontrolle (Selbstbewertung)
Wichtige Produkte Klasse IBetriebssysteme, Browser, VPNs, SIEM-Systeme, Smart-Home-SicherheitsgeräteSelbsterklärung mit Bezug auf harmonisierte Standards; in Ausnahmefällen Typprüfung
Wichtige Produkte Klasse IIFirewalls, IDS/IPS, Hypervisoren, Container-Runtimes, SicherheitschipsPrüfung durch externe Audit-Unternehmen (Typprüfung + Produktionskontrolle oder vollständige Qualitätsbewertung)
Kritische ProdukteSmart Meter Gateways, Hardware-Sicherheitsmodule (HSMs), SmartcardsVerpflichtende EU-Zertifizierung auf Assurance Level „substantial“ oder gleichwertiges Verfahren

Technische Dokumentation

Ein Kernstück der Konformitätsbewertung ist die technische Dokumentation. Sie ist weit mehr als ein geschriebenes Papier, sie ist die Grundlage dafür, dass Marktaufsichtsbehörden die Einhaltung der Anforderungen überprüfen können, und sie dient Herstellern als Nachweis, dass ihre Produkte nicht nur zu Beginn, sondern über ihre gesamte Lebensdauer hinweg sicher betrieben werden können.

Die technische Dokumentation muss umfassend sein und alle wesentlichen Aspekte der Produktentwicklung abbilden. Dazu gehören eine Beschreibung des Designs, der Entwicklungs- und Produktionsprozesse sowie die Ergebnisse der Risikobewertung, die während der Konzeption durchgeführt wurde. Darüber hinaus müssen Hersteller belegen können, wie sie Schwachstellenmanagement und Security-Update-Prozesse organisiert haben. Auch Testberichte, Prüfnachweise und weitere Nachweise zur Konformität mit den Anforderungen des CRA gehören dazu. Einen besonders wichtigen Bestandteil bildet die Software Bill of Materials (SBOM), eine detaillierte Liste aller eingesetzten Software-Komponenten, die fortlaufend aktuell gehalten werden muss. Schließlich darf auch die EU-Konformitätserklärung in der Dokumentation nicht fehlen.

Die Aufbewahrungsfrist für diese Dokumentation beträgt mindestens zehn Jahre. Wenn die Supportperiode des Produkts länger läuft beispielsweise bei langlebigen Geräten wie Routern, industriellen Steuerungen oder Betriebssystemen, muss die Dokumentation entsprechend über diesen Zeitraum hinaus verfügbar bleiben. Damit wird sichergestellt, dass die Sicherheit auch dann noch überprüfbar ist, wenn das Produkt viele Jahre im Einsatz bleibt.

In gewisser Weise ist die technische Dokumentation das Gedächtnis eines Produkts. Sie zeigt nachvollziehbar, wie Sicherheit bereits bei der Entwicklung berücksichtigt wurde, wie Risiken bewertet und adressiert wurden und welche Prozesse der Hersteller eingerichtet hat, um Schwachstellen und Vorfälle im Feld zu managen. Die technische Dokumentation muss vor Produkt Release verfügbar sein und muss kontinuierlich erweitert werden, falls notwendig.

Prozesse als Teil der Konformitätsbewertung

Ein wichtiger Aspekt des Cyber Resilience Act ist, dass sich die Konformitätsbewertung nicht allein auf das Produkt in seiner physischen oder digitalen Form konzentriert. Stattdessen wird auch geprüft, ob der Hersteller die notwendigen Prozesse etabliert hat, die dafür sorgen, dass das Produkt über seinen gesamten Lebenszyklus hinweg sicher bleibt. Ein einmalig geprüftes „sicheres Gerät“ genügt nicht. Entscheidend ist die Fähigkeit des Herstellers, kontinuierlich auf neue Risiken und Schwachstellen zu reagieren, um zu gewährleisten, dass das Produkt den ganzen Lebenszyklus über sicher bleibt.

Risikomanagement

Hersteller müssen für jedes Produkt mit digitalen Elementen ein strukturiertes Risikomanagement betreiben. Das umfasst die Identifikation möglicher Bedrohungen, die Bewertung der Eintrittswahrscheinlichkeit und der Auswirkungen sowie die Definition von Maßnahmen zur Risikominderung. Dieses Verfahren ist nicht einmalig, sondern muss regelmäßig wiederholt und aktualisiert werden, etwa wenn neue Funktionen hinzugefügt oder neue Angriffsmethoden bekannt werden. Das Risikomanagement ist die Grundlage, um während der Konzeption festzulegen, welche Securityanforderungen in welchem Rahmen umgesetzt werden sollen, um die entsprechenden Risiken zu mitigieren.

Vulnerability Management

Ein weiterer zentraler Bestandteil ist ein wirksamer Prozess zum Umgang mit Schwachstellen. Hersteller müssen sicherstellen, dass Schwachstellenmeldungen von außen (z. B. durch Pentester oder Kunden) zuverlässig entgegengenommen, analysiert und priorisiert werden. Dazu gehört auch die Verpflichtung, eine leicht auffindbare Kontaktstelle einzurichten, die nicht bloß ein allgemeiner Supportkanal, sondern eine dedizierte Anlaufstelle für Sicherheitsfragen ist. Entscheidend ist, dass Schwachstellen nicht nur verwaltet, sondern auch zeitnah behoben werden, mit Hilfe von Security-Updates, die den Nutzern sicher und kostenfrei bereitgestellt werden.

Incident Handling

Darüber hinaus müssen Hersteller Prozesse für den Umgang mit schwerwiegenden Sicherheitsvorfällen etablieren. Das bedeutet, dass sie in der Lage sein müssen, Vorfälle schnell zu erkennen, ihre Tragweite einzuschätzen, Gegenmaßnahmen einzuleiten und die betroffenen Akteure, sowohl Behörden als auch Kunden, rechtzeitig zu informieren. Gerade im Falle aktiv ausgenutzter Schwachstellen ist ein koordiniertes Vorgehen entscheidend, um größeren Schaden zu verhindern.

Security-Updates

Auch das Thema Security-Updates ist nicht nur ein technisches, sondern auch ein prozessuales Erfordernis. Hersteller müssen sicherstellen, dass Sicherheitsupdates während des gesamten Supportzeitraums verfügbar sind. Diese Updates müssen sicher (d. h. signiert und manipulationsgeschützt), zuverlässig und für den Nutzer einfach installierbar sein. Zudem ist der Hersteller verpflichtet, die Security-Updates kostenlos bereitzustellen.

BSI-Perspektive

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht in seinen Begleitmaterialien deutlich, dass die Konformitätsbewertung keineswegs als reine Pflichtübung verstanden werden darf. Sie ist nicht bloß ein Formular, das für die Marktaufsicht ausgefüllt wird, sondern ein Instrument der Qualitätssicherung, das in den gesamten Lebenszyklus eines Produkts integriert sein muss.

Hersteller sollten schon in der frühen Entwicklungsphase auf einen strukturierten Secure Development Lifecycle setzen, der Sicherheitsaspekte von Anfang an berücksichtigt. Ebenso wichtig sind klare Verantwortlichkeiten im Schwachstellenmanagement, damit im Ernstfall keine Unklarheit darüber besteht, wer für Analyse, Behebung und Kommunikation zuständig ist. Ein weiterer zentraler Punkt ist die Pflege einer aussagekräftigen und aktuellen Software Bill of Materials (SBOM), die jederzeit Auskunft über alle eingesetzten Komponenten gibt. Ergänzt wird dies durch regelmäßige interne und externe Prüfungen, um kontinuierlich zu überprüfen, ob die eingeführten Maßnahmen greifen.

Für besonders sicherheitskritische Produkte empfiehlt das BSI zusätzliche Schritte wie Penetrationstests durch unabhängige Experten oder auch vollständige Audits, die über das gesetzlich geforderte Minimum hinausgehen. Ziel ist es, nicht nur die Konformität nachzuweisen, sondern ein Sicherheitsniveau zu erreichen, das auch gegenüber neuen und bislang unbekannten Bedrohungen Bestand hat.

Fazit

Die Konformitätsbewertung ist der Dreh- und Angelpunkt des Cyber Resilience Act. Sie entscheidet darüber, ob ein Produkt Zugang zum europäischen Markt erhält, und stellt sicher, dass Sicherheit nicht nur am Tag der Markteinführung gegeben ist, sondern über viele Jahre hinweg aufrechterhalten bleibt.

Die Verfahren sind dabei klar abgestuft. Standardprodukte können mit einer einfachen Selbsterklärung in Verkehr gebracht werden. Wichtige Produkte müssen durch unabhängige Prüfstellen überprüft werden. Für kritische Produkte schließlich ist eine EU-weite Zertifizierung auf hohem Assurance Level vorgeschrieben.

Besonders wichtig ist, dass sich die Konformitätsbewertung nicht ausschließlich auf das fertige Produkt konzentriert. Auch die begleitenden Prozesse und die Dokumentation sind Teil des Verfahrens. Nur wenn der Hersteller nachweisen kann, dass Sicherheit über den gesamten Lebenszyklus hinweg gewährleistet ist, von der Entwicklung über die Produktion bis hin zu Updates und Support, gelten die Anforderungen des CRA als erfüllt.

Für Hersteller bedeutet dies, dass sie frühzeitig Strukturen schaffen, Prozesse klar dokumentieren und die Zusammenarbeit mit benannten Stellen oder Zertifizierungsorganisationen vorbereiten müssen. Für Verbraucherinnen und Verbraucher entsteht dadurch ein hohes Maß an Vertrauen, da sie sich auf die Aussagekraft des CE-Kennzeichens verlassen können, ganz gleich ob ein Produkt in Europa, den USA oder Asien entwickelt und produziert wurde.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

Welche Produkte fallen unter den Cyber Resilience Act?

Welche Produkte fallen unter den Cyber Resilience Act?

Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die in der EU vertrieben werden, unabhängig davon, wo sie entwickelt wurden oder wo der Hersteller sitzt. Erfasst werden sowohl physische als auch virtuelle Produkte, deren Funktion auf Vernetzung und Datenverarbeitung basiert.

Mehr lesen
Was sind die Ziele vom CRA?

Was sind die Ziele vom CRA?

Der Cyber Resilience Act (CRA) ist die Reaktion der EU auf das niedrige Sicherheitsniveau vieler digitaler Produkte in Kombination mit den stetig wachsenden Schwachstellen und den daraus resultierenden Risiken. Der CRA soll sicherstellen, dass Geräte und Software künftig über den gesamten Lebenszyklus hinweg geschützt bleiben.

Mehr lesen
Was sind die Pflichten für Importeure und Distributoren nach dem Cyber Resilience Act?

Was sind die Pflichten für Importeure und Distributoren nach dem Cyber Resilience Act?

Bisher standen beim Thema Cyber Resilience Act vor allem die Hersteller im Rampenlicht. Doch der CRA geht deutlich weiter, er verpflichtet auch Importeure und Distributoren, aktiv Verantwortung für die Sicherheit von Produkten mit digitalen Elementen zu übernehmen.

Mehr lesen