Zum Inhalt springen

CRA

Cyber Resilience Act

Cybersicherheit von vernetzten Geräten

Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.

So unterstützen wir Sie
PCB-Board

Was ist der Cyber Resilience Act?

Der CRA legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.

Anforderungen und Aktuelles

Was bringt der CRA mit sich?

Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
 

Anforderungen, die an Hersteller gestellt werden, sind unter anderem:

  • Berücksichtigung & Umsetzung von Cybersicherheit über den gesamten Produktlebenszyklus (Planung, Entwicklung, Produktion, Betrieb)
  • Dokumentation aller Cybersicherheitsrisiken
  • Meldung von Cybersicherheitsvorfällen sowohl an die ENISA als auch an betroffene Nutzer:innen
  • Sicherstellung, dass mögliche Schwachstellen über die erwartete Produktlebensdauer (maximal 5 Jahre) wirksam behandelt werden
  • Bereitstellung von Sicherheitsupdates für mindestens 5 Jahre
  • Klare & verständliche Bedienungsanleitungen für Produkte mit digitalen Elementen

Wie ist der aktuelle Stand?

Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.

Die Fristen zur Umsetzung:

  • 10. Dezember 2024: Inkrafttreten des CRA
  • 11. Juni 2026: Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) tritt in Kraft.
  • 11. September 2026: Hersteller sind verpflichtet, nationale Behörden sowie die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren (Meldepflichten).  
  • 11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen des CRA. Das bedeutet, dass alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, eine CE-Kennzeichnung tragen müssen. 
Standard, wichtig oder kritisch?

Diese Produktkategorien definiert der CRA

Der CRA definiert grundlegende Cybersicherheitsanforderungen, die für alle Produkte mit digitalem Element gelten, die nach Ablauf einer Übergangsfrist in der EU in Verkehr gebracht werden. Demgegenüber richtet sich die Art des zulässigen Konformitätsbewertungsverfahrens danach, wie kritisch bzw. sensibel einzelne Produkte unter dem Gesichtspunkt der Cybersicherheit eingestuft werden. Dabei differenziert der CRA die im Folgenden beschriebenen Produktkategorien.

Entscheidend ist die Cyberrisikoeinstufung

Standardprodukte (Default-Produkte) sind Produkte mit digitalen Elementen, die weder als wichtige Produkte der Klasse I oder II noch als kritische Produkte eingestuft sind und den grundlegenden Cybersicherheitsanforderungen unterliegen

  • Beispielhafte Auflistung: Verbraucherprodukte wie Spiele, Software, Geräte zur Bildbearbeitung.
  • Referenz: Kein eigener Artikel im CRA; ergeben sich indirekt aus Art. 7 und 8 und sind nicht in Anhang III oder IV aufgeführt

Wichtige Produkte Klasse I sind Produkte mit digitalen Elementen, deren Kernfunktion sicherheitsrelevante IT- oder Netzfunktionen unterstützt und daher erhöhten Cybersicherheits-Konformitätsanforderungen unterliegt.

  • Beispielhafte Auflistung: Identitätsmanagementsysteme, Browser, Passwort-Manager, Sicherheitssoftware, Netzwerk-Produkte, Netzmanagementsysteme, Betriebssysteme, Hardware-Komponenten, Smart-Home-Geräte, Virtuelle Assistenten, Gesundheits-Wearables, …
  • Reference: CRA, Artikel 7 bzw. Annex III, Klasse 1

Wichtige Produkte Klasse II sind Produkte mit digitalen Elementen mit besonders kritischer Sicherheitsfunktion oder erheblichem Cyberrisikopotenzial, die strengeren Konformitätsanforderungen und umfassenderen Prüfpflichten unterliegen.

  • Beispielhafte Auflistung: Betriebssysteme, Virtualisierungssoftware, Netzwerksicherheit, Hardware-Sicherheitskomponenten, Sicherheitssoftware, …
  • Referenz: gem. CRA, Artikel 7 bzw. Annex III, Klasse II

Kritische Produkte sind Produkte mit digitalen Elementen, deren Kernfunktion besonders sensible Sicherheits- oder Kryptografieaufgaben erfüllt und deren Kompromittierung erhebliche Auswirkungen auf Cybersicherheit und kritische Infrastrukturen haben kann.

  • Beispielhafte Auflistung: Hardware mit Sicherheitsboxen, Smart-Meter-Gateways, andere Geräte für fortgeschrittene Sicherheitszwecke, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselementen, …
  • Referenz: gem. CRA, Artikel 8 bzw. Annex IV)

Ihr Weg zur CRA-Compliance

Der Weg zur Erreichung der CRA Compliance ist selten ein Sprint. Unter dem Dach der TÜV NORD GROUP finden sich eine Vielzahl von helfenden Händen, die Hersteller von Produkten mit digitalem Element auf ihrem Weg zum erfolgreichen Konformitätsnachweis unterstützen - und darüber hinaus. 

  • Compliance Readiness
    Mit Grundlagen-Seminaren, individuellen Strategie-Workshops, oder entwicklungsbegleitenden Produkt-Checks unterstützen wir Hersteller Schritt für Schritt auf ihrem Weg, die CRA-Anforderungen zu erfüllen.
    Jetzt starten
     
  • Proof of Compliance
    Als zugelassenes Prüflabor (ITSEF) oder akkreditierte Konformitätsbewertungsstelle (CAB) prüfen oder bewerten wir die Konformität wichtiger oder kritischer Produkte auf Basis möglicher Konformitätsbewertungsverfahren.
    Zum Konformitätsnachweis
     
  • Post Market Obligations
    Über den geforderten Supportzeitraum begleiten wir Hersteller beim Schwachstellenmanagement und in der Erfüllung ihrer Überwachungs- und Reaktionspflichten aus dem CRA.
    So unterstützen unsere Experten
Jetzt mit der Vorbereitung starten

#1 CRA Compliance Readiness

Starten Sie jetzt und bereiten sie sich intensiv auf die neuen Anforderungen des Cyber Resilience Act vor. Damit stellen Sie sicher, dass Ihre Produkte mit Inkrafttreten der EU-Verordnung auch wirklich konform sind. Mit unseren Service-Bausteinen zur Erreichung der CRA Readiness unterstützen wir Entwickler dabei, die vielfältigen Anforderungen der EU-Verordnung zu verstehen, rechtzeitig zu erfüllen und sicherzustellen, dass Ihre Produkte den erforderlichen Cybersicherheitsstandards entsprechen.

Jetzt Kontakt aufnehmen

Ready to Go

  • Gewusst wie: Starten Sie effizient und ohne unnötige Umwege in die Umsetzung der CRA-Anforderungen.
  • Überblick gewinnen: Erkennen Sie rechtzeitig Schwachstellen und Sicherheitslücken in Ihren Produkten.
  • Gut vorbereitet: Heute schon die Weichen stellen für einen gelungenen Go-2-Market Ihrer Produkte ab dem 11. Dezember 2027
Harmonisierte Europäische Standards (hEN)

Normen & Standards für ein einheitliches Sicherheitsniveau

Die Anforderungen des CRA werden derzeit von CEN, CENELEC und ETSI in harmonisierten Normen (hEN) konkretisiert. Sie sollen die Umsetzung der Vorgaben erleichtern und ein einheitliches Sicherheitsniveau im EU-Binnenmarkt fördern. Viele hEN sind noch in Entwicklung, orientieren sich aber an bestehen Standards.

Pressemeldungen

17.04.2026

Von Sicherheitsbewertung bis Zertifikat


TÜVIT übernimmt die unabhängige Sicherheitsbewertung, TÜV NORD CERT die Zertifizierungsentscheidung. Für Hersteller entsteht ein kontinuierlicher Weg zur EUCC-Zertifizierung als Nachweis für die Anforderungen des Cyber Security Acts (CSA) und des Cyber Resilience Acts (CRA).
08.05.2025

Befugnis als ITSEF


TÜV Informationstechnik GmbH (TÜV NORD GROUP) mit Sitz in Essen gibt bekannt, ab sofort die offizielle Befugnis zu haben, als Information Technology Security Evaluation Facility (ITSEF) für die European Union Cybersecurity Certification (EUCC) zu wirken.

#3 Post-Market & Reporting

Konformität auf Basis umfassender Qualitätssicherung

Die im Folgenden aufgelisteten Kriterien können für einen Konformitätsnachweis auf Basis von Modul H sprechen:

  • Wiederkehrende Produktentwicklungen, umfangreichere Produktportfolios, Produktfamilien oder langfristige Marktbereitstellung (u. a.  Software) stehen im Vordergrund
  • Es ist bereits ein etabliertes Informationssicherheitsmanagementsystem (ISMS), z. B. nach ISO/IEC 27001, vorhanden oder geplant
  • Wunsch nach regulatorische Effizienz durch Compliance Nachweise für ein Gesamtsystem

  • Wichtige Produkte Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein erhöhtes Cybersicherheitsrisiko aufweisen, aber nicht als „kritisch“ eingestuft sind.
    Beispielhafte Auflistung: Identitätsmanagementsysteme, Browser, Passwort-Manager, Sicherheitssoftware, Netzwerk-Produkte, Netzmanagementsysteme, Betriebssysteme, Hardware-Komponenten, Smart-Home-Geräte, Virtuelle Assistenten, Gesundheits-Wearables, …
     
  • Wichtige Produkte Klasse II (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein höheres Cybersicherheitsrisiko aufweisen als Klasse I und oft essenzielle Sicherheitsfunktionen in IT-Infrastrukturen übernehmen. Diese Produkte erfordern eine strengere Konformitätsbewertung.
    Beispielhafte Auflistung: Betriebssysteme, Virtualisierungssoftware, Netzwerksicherheit, Hardware-Sicherheitskomponenten, Sicherheitssoftware, …
     
  • Kritische Produkte (gem. CRA, Artikel 8 bzw. Annex IV)
    Ein Nachweis über Modul H ist zulässig, wenn kein Schema bzw. Verfahren nach CRA Article 8(1) identifiziert, zugewiesen oder angewendet werden kann.
    Beispielhafte Auflistung: Hardware mit Sicherheitsboxen, Smart-Meter-Gateways, andere Geräte für fortgeschrittene Sicherheitszwecke, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselementen, …

Hinweis: Während Klasse I oft Sicherheitskomponenten für Endnutzer umfasst (z. B. Passwortmanager), konzentriert sich Klasse II stärker auf infrastrukturkritische Komponenten. Die Anforderungen für Klasse-II-Produkte sind deshalb höher, da ihre Kompromittierung signifikante negative Auswirkungen auf eine große Anzahl anderer Produkte, Nutzer oder kritische Infrastrukturen haben kann. Deshalb müssen diese Produkte zwingend einer Konformitätsbewertung durch eine zugelassene Konformitätsbewertungsstelle (Notified Body), wie TÜV NORD, unterzogen werden.

Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung. 

  • DE: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt mit der Technical Guideline TR-03183-H einen praktikablen Weg, diese Qualitätssicherung auf Basis eines wirksamen Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 nachzuweisen – erweitert um die CRA-spezifischen Anforderungen der TR-03183-H.
     
  • Andere EU-Länder: Die Nachweisgrundlagen können je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Wird Modul H gewählt, um nachzuweisen, dass die Anforderungen des CRA erfüllt werden, ist folgendes zu beachten:

DE

  • Nachweis einer umfassenden Qualitätssicherung über den gesamten Lebenszyklus der Produkte muss erbracht werden; von der Entwicklung, über die Herstellung, die Implementierung und den Betrieb bis zur Stilllegung der Produkte.
  • Die Einführung und der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 erweitert um die spezifischen Anforderungen der BSI Technical Guideline TR-03183-H wird in Deutschland durch das BSI favorisiert.
  • Der Geltungsbereich des ISMS umfasst dabei nicht nur das Inverkehrbringen der Produkte mit digitalen Elementen (PwDE), sondern auch die Bereitstellung zugehöriger Remote Data Processing Solutions (RDPS) – also z. B. Cloud-Backends oder Server-Dienste, ohne die das Produkt eine seiner Funktionen nicht erbringen könnte. Jeweils sind sowohl die Entwicklungs- und Produktionsprozesse als auch die Vulnerability-Handling-Prozesse abzudecken.
  • Die Konformitätsbewertung erfolgt durch eine notifizierte Konformitätsbewertungsstelle (Notified Body), die nach dem CRA-Notifizierungsverfahren für Modul H benannt ist. TÜV NORD wird diese Benennung beim BSI beantragen. Dabei kann die bereits bestehenden Akkreditierungen bei der Deutschen Akkreditierungsstelle (DAkkS) zurückgegriffen werden, wie z.B. für die ISO/IEC 27001.
  • Die Konformitätsbewertungsstelle auditiert und prüft die Konformität und Wirksamkeit des ISMS (ISO/IEC 27001 plus BSI TR-03183-H) und erstellt hierüber einen Bericht sowie ein entsprechendes Zertifikat, das als Nachweis gegenüber Dritten verwendet werden kann.

Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Baumusterprüfung und Serienkonformitätserklärung im Paket

Die im Folgenden aufgelisteten Kriterien können für einen Konformitätsnachweis auf Basis von Modul B/C sprechen:

  • Fokus liegt auf einzelnen Produkten, ggf. geringer Stückzahl oder projektspezifischen Entwicklungen
  • Es ist kein kein etabliertes Qualitätsmanagementsystem z. B. nach ISO/IEC 27001 oder ähnlichen Normen vorhanden
  • Eine externe technische Prüfung ist gewünscht bzw. infolge der Kritikalität erforderlich

  • Wichtige Produkte Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein erhöhtes Cybersicherheitsrisiko aufweisen, aber nicht als „kritisch“ eingestuft sind.
    Beispielhafte Auflistung: Identitätsmanagementsysteme, Browser, Passwort-Manager, Sicherheitssoftware, Netzwerk-Produkte, Netzmanagementsysteme, Betriebssysteme, Hardware-Komponenten, Smart-Home-Geräte, Virtuelle Assistenten, Gesundheits-Wearables, …
     
  • Wichtige Produkte Klasse II (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein höheres Cybersicherheitsrisiko aufweisen als Klasse I und oft essenzielle Sicherheitsfunktionen in IT-Infrastrukturen übernehmen. Diese Produkte erfordern eine strengere Konformitätsbewertung.
    Beispielhafte Auflistung: Betriebssysteme, Virtualisierungssoftware, Netzwerksicherheit, Hardware-Sicherheitskomponenten, Sicherheitssoftware, …
     
  • Kritische Produkte (gem. CRA, Artikel 8 bzw. Annex IV)
    Ein Nachweis über Modul H ist zulässig, wenn kein Schema bzw. Verfahren nach CRA Article 8(1) identifiziert, zugewiesen oder angewendet werden kann.
    Beispielhafte Auflistung: Hardware mit Sicherheitsboxen, Smart-Meter-Gateways, andere Geräte für fortgeschrittene Sicherheitszwecke, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselementen, …

Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung. 

  • DE: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt mit der Technical Guideline TR-03183-H einen praktikablen Weg, diese Qualitätssicherung auf Basis eines wirksamen Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 nachzuweisen – erweitert um die CRA-spezifischen Anforderungen der TR-03183-H.
     
  • Andere EU-Länder: Die Nachweisgrundlagen können je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Modul B - Baumusterprüfung

Im Rahmen von Modul B reichen Hersteller einen Antrag auf EU‑Baumusterprüfung bei TÜV NORD als notifizierter Stelle ein. Zu den Pflichten der Hersteller gehören:

  • Erstellung der technischen Dokumentation gemäß den CRA‑Vorgaben
  • Durchführung einer Risikoanalyse und Risikobewertung
  • Nachweis, dass die gewählten Maßnahmen geeignet sind, die Sicherheitsanforderungen zu erfüllen (Auch wenn keine harmonisierte Norm (hEN) zugrunde liegt)

Die technische Dokumentation muss alle Informationen enthalten, die notwendig sind, um die Konformität des Produkts zu beurteilen.

So prüfen wir:

  • die vollständige technische Dokumentation
  • das Baumuster des Produkts
  • die Einhaltung harmonisierter Normen, sofern angewendet
  • die Eignung der Sicherheitsmaßnahmen, wenn keine hEN verwendet wurden

Bei erfolgreicher Prüfung stellt TÜV NORD eine EU‑Baumusterprüfungsbescheinigung aus.

Modul C - Interne Fertigungskontrolle

Modul C ergänzt verpflichtend Modul B und betrifft die Serienfertigung. Dabei gelten folgende Grundsätze:

  • Es ist keine erneute Einbindung einer notifizierten Stelle erforderlich.
  • Der Hersteller stellt sicher, dass alle hergestellten Produkte dem nach Modul B geprüften Baumuster entsprechen.
  • Der Hersteller bringt die CE‑Kennzeichnung an und erstellt die EU‑Konformitätserklärung.

Modul C basiert vollständig auf der zuvor ausgestellten EU‑Baumusterprüfungsbescheinigung aus Modul B.

Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Modul A

Konformität auf Basis Herstellerselbsterklärung

  • Default Produkte mit digitalen Elementen 
    Produkte, die keine anderen Klasse zugeordnet sind.
     
  • Wichtige Produkte mit digitalen Elementen Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Beispielhafte Auflistung: Passwort-Manager, Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate, Router, Modems für die Internetanbindung und Switches, Netzmanagementsysteme

Wichtige Produkte mit digitalen Elementen Klasse I

  • Harmonisierte europäische Norm (hEN): Technische Standards, die von einer der europäischen Normungsorganisationen (CEN, CENELEC, ETSI) im Mandat der Europäischen Kommission entwickelt, verabschiedet und nach Prüfung und Veranlassung durch die Europäische Kommission im Amtsblatt der Europäischen Union veröffentlicht wurden.
  • Schemata nach CSA
  • Technische Spezifikationen

Default Produkte mit digitalen Elementen

  • Auch herstellerspezifische Verfahren anwendbar

  • Default Produkte mit digitalen Elementen
    Herstellerselbsterklärung auf Basis interner Fertigungsprotokolle 
     
  • Wichtige Produkte mit digitalen Elementen Klasse I
    Herstellerselbsterklärung auf Basis harmonisierter Europäischer Normen (hEN)

Merke: Im Rahmen der Herstellerselbsterklärung in Modul A ist keine Einbindung einer notifizierten Stelle erforderlich.

Fragen, Anmerkungen & mehr rund um den CRA

Ihr Ansprechpartner
Eric Behrendt, TÜV Informationstechnik

Eric Behrendt