Zum Inhalt springen

CRA

Cyber Resilience Act

Cybersicherheit von vernetzten Geräten

Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.

So unterstützen wir Sie
PCB-Board

Was ist der Cyber Resilience Act?

Der CRA legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.

Cyber Resilience Act sicher umsetzen

Ihr Leitfaden zur CRA-Compliance für Produkte mit digitalen Elementen

Der Cyber Resilience Act stellt Hersteller vor neue, verbindliche Anforderungen an die Cybersicherheit ihrer Produkte – über den gesamten Lebenszyklus hinweg. Von der Risikobewertung über sichere Entwicklungsprozesse bis hin zu Konformitätsbewertung und Marktüberwachung: CRA-Compliance erfordert Struktur, Fachwissen und klare Verantwortlichkeiten.

TÜVIT unterstützt Hersteller entlang aller relevanten Schritte auf dem Weg zur Compliance – praxisnah, unabhängig und normenkonform.
Unser kostenloses Guidance-Dokument zeigt, worauf es ankommt, welche Pflichten konkret gelten und wie TÜVIT Sie gezielt dabei begleiten kann, die CRA-Anforderungen effizient und nachhaltig zu erfüllen.

Jetzt kostenlos das Dokument auf Englisch herunterladen und den Weg zur CRA-Compliance strukturiert planen.

DOWNLOAD
Your_Path_to_CRA_Compliance.pdf
PDF
624 KB
Mikroelektronik Elemente

Wer ist betroffen?

Der Cyber Resilience Act der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Betroffen sind Hersteller, Importeure und Händler solcher Produkte, die in der EU auf den Markt gebracht werden. Dies umfasst eine breite Palette von Produkten, von IoT-Geräten sowie Softwareanwendungen, die mit dem Internet verbunden sind oder digitale Funktionen haben bis hin zu Industrie-Komponenten.

Der Act legt Anforderungen an die Cybersicherheit fest, die diese Produkte erfüllen müssen, bevor sie in der EU verkauft werden dürfen. Dazu gehören unter anderem Sicherheitsmaßnahmen, die während des gesamten Lebenszyklus des Produkts aufrechterhalten werden müssen, sowie die Verpflichtung zur Offenlegung von Sicherheitslücken und zur Bereitstellung von Sicherheitsupdates.

Unternehmen, die solche Produkte herstellen, importieren oder vertreiben, müssen sicherstellen, dass ihre Produkte den im Cyber Resilience Act festgelegten Standards entsprechen, um rechtliche und finanzielle Konsequenzen zu vermeiden.

Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte.

Risikobewertung

Der CRA definiert Produktkategorien basierend auf ihrem Cyber-Risiko

Default Kategorie

In die “Default-Kategorie” fallen Produkte mit digitalen Komponenten, die ein geringes Cyberrisiko haben. Dazu gehören z. B. Verbraucherprodukte wie Spiele, Software, Geräte zur Bildbearbeitung.

  • Prüfungen: Selbstbewertung durch den Hersteller
  • Sicherheitsupdates und Schwachstellenmanagement sind erforderlich

Wichtige Produkte Klasse I

In die Kategorie der „Wichtigen Produkte I“ fallen Produkte, die eine Sicherheitsfunktion enthalten, die wiederum weitere Produkte betreffen. Dazu gehören z. B. Browser, Mikrocontroller, Mikroprozessoren, Passwortmanager, Betriebssysteme, Smart Home, Virtuelle Assistenzen.

  • Prüfungen: Zertifizierung durch eine Konformitätsbewertungsstelle (KBS)
  • Regelmäßige Sicherheitsüberprüfungen und Updates sind erforderlich

Wichtige Produkte Klasse II

In die Kategorie der „Wichtigen Produkte Klasse II“ fallen Produkte mit digitalen Komponenten, die eine Funktion erfüllen, die ein erhebliches Risiko birgt. Dieses Risiko kann eine große Anzahl an der Produkte schädigen oder die Gesundheit und Sicherheit der Nutzer durch Manipulation stören. Zu diesen Produkten gehören z. B. Firewalls, Systeme zur Angriffserkennung und -prävention, manipulationssichere Mikrokontroller und -prozessoren.

  • Prüfungen: Intensive Prüfungen durch eine KBS
  • Detaillierte Risikobewertungen, regelmäßige Sicherheitsüberprüfungen und sofortige Reaktionen auf Schwachstellen sind erforderlich

Kritische Produkte

In die Kategorie der „Kritischen Produkte“ fallen Produkte, die eine kritische Abhängigkeit für von NIS-2 betroffenen Unternehmen darstellen (Artikel 3 der Richtlinie (EU) 2022/2555). Es handelt sich dabei um Produkte, die bei Fehlfunktion zu ernsthaften Unterbrechungen oder Störungen in Diensten oder Lieferketten führen können. Dazu gehören z. B. Smartcards und SEs, Smart Meter Gateways, Hardwaregeräte mit Security Boxes.

  • Hier gelten verpflichtende Konformitätsbewertung und Zertifizierung durch eine Zertifizierungsstelle

Ihr Weg zur CRA-Compliance

Der Weg zur Erreichung der CRA Compliance ist selten ein Sprint. Unter dem Dach der TÜV NORD GROUP finden sich eine Vielzahl von helfenden Händen, die Hersteller von Produkten mit digitalem Element auf ihrem Weg unterstützen. Vom initialen Training bei TÜV NORD Akademie, über Produktprüfungen der TÜVIT bis hin zur Zertifikatsvergabe durch TÜV NORD CERT.

CRA Compliance Readiness

Jetzt Kontakt aufnehmen
1
Schulung im Unternehmen
By TÜV NORD Akademie

Grundlagen-Seminar

Cyber Resilience Act (CRA): Europäische Cybersecurity Strategie, Technische Umsetzung der Anforderungen in der Praxis, Vertragsgestaltung und Haftung.

2
By TÜVIT

Scoping Workshop for Starters

CRA auf einen Blick, einschließlich Geltungsbereichen, Verpflichtungen, Fristen, Produktklassifizierung, Risikomanagement, Dokumentationspflichten, Konformitätspfade, Rollen und nächste Schritte für eine effektive Vorbereitung auf den CRA.

3
By TÜVIT

Gap Analysis

Analyse einschließlich Anforderungsabgleich, Architekturüberprüfung, Dokumentationsabgleich (nach Definition), Lieferkettenprüfungen, Schwachstellenmanagement und Planung von Abhilfemaßnahmen.

4
By TÜVIT

Pre-Penetration Testing

Pentesting und Test Reports aus der Hand eines unabhängigen Labors als technisches Quality Gate im Rahmen von Hersteller-Self Assessments.

5
By TÜVIT

Produkt-Evaluation

Produkt-Evaluation durch eine benannte Bewertungsstelle (TÜVIT) gemäß EUCC oder speziellen harmonisierten Normen (hEN), die derzeit auf Grundlage von z. B. IEC 62443, ETSI EN 303 645 entwickelt werden.

6
By TÜV NORD CERT

Zertifizierung

Zertifizierungsentscheidung und Ausstellung des Zertifikats.

So decken Sie die Anforderungen des CRA ab

Eine Frau arbeitet in einem Hardware Labor.

EUCC

EUCC als europäisches Zertifizierungsschema auf Basis der Common Criteria bietet eine anerkannte Möglichkeit, die Konformität sicherheitskritischer Produkte mit den regulatorischen Anforderungen nachzuweisen.
Ein Mann arbeitet an einem industriellen Gerät.

IEC 62443

IEC 62443 liefert einen etablierten technischen Rahmen, um Security-by-Design- und Security-by-Default-Anforderungen insbesondere für industrielle Produkte und Komponenten systematisch und prüfbar umzusetzen.
CE-Kennzeichen

Compliance Nachweis

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
By TÜVIT

CSA Artikel 8 (1)

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt
Mehr erfahren
By TÜV NORD CERT

Modul H

Umfassende Qualitätssicherung: Basis ist ein ISMS nach ISO/IEC 27001 mit weiteren Anforderungen der BSI TR-03183-H.
Mehr erfahren
By TÜV NORD CERT

Modul B/C

Einmalige Baumusterprüfung (Modul B) durch Notified Body UND Herstellerselbsterklärung der Serienkonformität (Modul C).
Mehr erfahren
By Developer

Modul A

Selbstbewertung der Umsetzung der Sicherheitsanforderungen und Konformitätserklärung durch Hersteller.
Mehr erfahren

Anforderungen und Aktuelles

Was bringt der CRA mit sich?

Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
 

Anforderungen, die an Hersteller gestellt werden, sind unter anderem:

  • Berücksichtigung & Umsetzung von Cybersicherheit über den gesamten Produktlebenszyklus (Planung, Entwicklung, Produktion, Betrieb)
  • Dokumentation aller Cybersicherheitsrisiken
  • Meldung von Cybersicherheitsvorfällen sowohl an die ENISA als auch an betroffene Nutzer:innen
  • Sicherstellung, dass mögliche Schwachstellen über die erwartete Produktlebensdauer (maximal 5 Jahre) wirksam behandelt werden
  • Bereitstellung von Sicherheitsupdates für mindestens 5 Jahre
  • Klare & verständliche Bedienungsanleitungen für Produkte mit digitalen Elementen

Wie ist der aktuelle Stand?

Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.

Die Fristen zur Umsetzung:

  • 10. Dezember 2024: Inkrafttreten des CRA
  • 11. Juni 2026: Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) tritt in Kraft.
  • 11. September 2026: Hersteller sind verpflichtet, nationale Behörden sowie die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren (Meldepflichten).  
  • 11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen des CRA. Das bedeutet, dass alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, eine CE-Kennzeichnung tragen müssen. 

Modul A

Konformität auf Basis Herstellerselbsterklärung

  • Default Produkte mit digitalen Elementen 
    Produkte, die keine anderen Klasse zugeordnet sind.
     
  • Wichtige Produkte mit digitalen Elementen Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Beispielhafte Auflistung: Passwort-Manager, Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate, Router, Modems für die Internetanbindung und Switches, Netzmanagementsysteme

Wichtige Produkte mit digitalen Elementen Klasse I

  • Harmonisierte europäische Norm (hEN): Technische Standards, die von einer der europäischen Normungsorganisationen (CEN, CENELEC, ETSI) im Mandat der Europäischen Kommission entwickelt, verabschiedet und nach Prüfung und Veranlassung durch die Europäische Kommission im Amtsblatt der Europäischen Union veröffentlicht wurden.
  • Schemata nach CSA
  • Technische Spezifikationen

Default Produkte mit digitalen Elementen

  • Auch herstellerspezifische Verfahren anwendbar

  • Default Produkte mit digitalen Elementen
    Herstellerselbsterklärung auf Basis interner Fertigungsprotokolle 
     
  • Wichtige Produkte mit digitalen Elementen Klasse I
    Herstellerselbsterklärung auf Basis harmonisierter Europäischer Normen (hEN)

Merke: Im Rahmen der Herstellerselbsterklärung in Modul A ist keine Einbindung einer notifizierten Stelle erforderlich.

Modul H

Mehr zu Modul H

Konformität auf Basis umfassender Qualitätssicherung

  • Wichtige Produkte Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein erhöhtes Cybersicherheitsrisiko aufweisen, aber nicht als „kritisch“ eingestuft sind.
    Beispielhafte Auflistung: Identitätsmanagementsysteme, Browser, Passwort-Manager, Sicherheitssoftware, Netzwerk-Produkte, Netzmanagementsysteme, Betriebssysteme, Hardware-Komponenten, Smart-Home-Geräte, Virtuelle Assistenten, Gesundheits-Wearables, …
     
  • Wichtige Produkte Klasse II (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein höheres Cybersicherheitsrisiko aufweisen als Klasse I und oft essenzielle Sicherheitsfunktionen in IT-Infrastrukturen übernehmen. Diese Produkte erfordern eine strengere Konformitätsbewertung.
    Beispielhafte Auflistung: Betriebssysteme, Virtualisierungssoftware, Netzwerksicherheit, Hardware-Sicherheitskomponenten, Sicherheitssoftware, …
     
  • Kritische Produkte (gem. CRA, Artikel 8 bzw. Annex IV)
    Ein Nachweis über Modul H ist zulässig, wenn kein Schema bzw. Verfahren nach CRA Article 8(1) identifiziert, zugewiesen oder angewendet werden kann.
    Beispielhafte Auflistung: Hardware mit Sicherheitsboxen, Smart-Meter-Gateways, andere Geräte für fortgeschrittene Sicherheitszwecke, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselementen, …

Hinweis: Während Klasse I oft Sicherheitskomponenten für Endnutzer umfasst (z. B. Passwortmanager), konzentriert sich Klasse II stärker auf infrastrukturkritische Komponenten. Die Anforderungen für Klasse-II-Produkte sind deshalb höher, da ihre Kompromittierung signifikante negative Auswirkungen auf eine große Anzahl anderer Produkte, Nutzer oder kritische Infrastrukturen haben kann. Deshalb müssen diese Produkte zwingend einer Konformitätsbewertung durch eine zugelassene Konformitätsbewertungsstelle (Notified Body), wie TÜV NORD, unterzogen werden.

Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung. 

  • DE: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt mit der Technical Guideline TR-03183-H einen praktikablen Weg, diese Qualitätssicherung auf Basis eines wirksamen Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 nachzuweisen – erweitert um die CRA-spezifischen Anforderungen der TR-03183-H.
     
  • Andere EU-Länder: Die Nachweisgrundlagen können je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Wird Modul H gewählt, um nachzuweisen, dass die Anforderungen des CRA erfüllt werden, ist folgendes zu beachten:

DE

  • Nachweis einer umfassenden Qualitätssicherung über den gesamten Lebenszyklus der Produkte muss erbracht werden; von der Entwicklung, über die Herstellung, die Implementierung und den Betrieb bis zur Stilllegung der Produkte.
  • Die Einführung und der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 erweitert um die spezifischen Anforderungen der BSI Technical Guideline TR-03183-H wird in Deutschland durch das BSI favorisiert.
  • Der Geltungsbereich des ISMS umfasst dabei nicht nur das Inverkehrbringen der Produkte mit digitalen Elementen (PwDE), sondern auch die Bereitstellung zugehöriger Remote Data Processing Solutions (RDPS) – also z. B. Cloud-Backends oder Server-Dienste, ohne die das Produkt eine seiner Funktionen nicht erbringen könnte. Jeweils sind sowohl die Entwicklungs- und Produktionsprozesse als auch die Vulnerability-Handling-Prozesse abzudecken.
  • Die Konformitätsbewertung erfolgt durch eine notifizierte Konformitätsbewertungsstelle (Notified Body), die nach dem CRA-Notifizierungsverfahren für Modul H benannt ist. TÜV NORD wird diese Benennung beim BSI beantragen. Dabei kann die bereits bestehenden Akkreditierungen bei der Deutschen Akkreditierungsstelle (DAkkS) zurückgegriffen werden, wie z.B. für die ISO/IEC 27001.
  • Die Konformitätsbewertungsstelle auditiert und prüft die Konformität und Wirksamkeit des ISMS (ISO/IEC 27001 plus BSI TR-03183-H) und erstellt hierüber einen Bericht sowie ein entsprechendes Zertifikat, das als Nachweis gegenüber Dritten verwendet werden kann.

Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Modul B/C

Mehr zu Modul B/C

Baumusterprüfung und Serienkonformitätserklärung im Paket

Die im Folgenden aufgelisteten Kriterien können für einen Konformitätsnachweis auf Basis von Modul B/C sprechen:

  • Fokus liegt auf einzelnen Produkten, ggf. geringer Stückzahl oder projektspezifischen Entwicklungen
  • Es ist kein kein etabliertes Qualitätsmanagementsystem z. B. nach ISO/IEC 27001 oder ähnlichen Normen vorhanden
  • Eine externe technische Prüfung ist gewünscht bzw. infolge der Kritikalität erforderlich

  • Wichtige Produkte Klasse I (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein erhöhtes Cybersicherheitsrisiko aufweisen, aber nicht als „kritisch“ eingestuft sind.
    Beispielhafte Auflistung: Identitätsmanagementsysteme, Browser, Passwort-Manager, Sicherheitssoftware, Netzwerk-Produkte, Netzmanagementsysteme, Betriebssysteme, Hardware-Komponenten, Smart-Home-Geräte, Virtuelle Assistenten, Gesundheits-Wearables, …
     
  • Wichtige Produkte Klasse II (gem. CRA, Artikel 7 bzw. Annex III)
    Produkte, die ein höheres Cybersicherheitsrisiko aufweisen als Klasse I und oft essenzielle Sicherheitsfunktionen in IT-Infrastrukturen übernehmen. Diese Produkte erfordern eine strengere Konformitätsbewertung.
    Beispielhafte Auflistung: Betriebssysteme, Virtualisierungssoftware, Netzwerksicherheit, Hardware-Sicherheitskomponenten, Sicherheitssoftware, …
     
  • Kritische Produkte (gem. CRA, Artikel 8 bzw. Annex IV)
    Ein Nachweis über Modul H ist zulässig, wenn kein Schema bzw. Verfahren nach CRA Article 8(1) identifiziert, zugewiesen oder angewendet werden kann.
    Beispielhafte Auflistung: Hardware mit Sicherheitsboxen, Smart-Meter-Gateways, andere Geräte für fortgeschrittene Sicherheitszwecke, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselementen, …

Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung. 

  • DE: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt mit der Technical Guideline TR-03183-H einen praktikablen Weg, diese Qualitätssicherung auf Basis eines wirksamen Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 nachzuweisen – erweitert um die CRA-spezifischen Anforderungen der TR-03183-H.
     
  • Andere EU-Länder: Die Nachweisgrundlagen können je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Modul B - Baumusterprüfung

Im Rahmen von Modul B reichen Hersteller einen Antrag auf EU‑Baumusterprüfung bei TÜV NORD als notifizierter Stelle ein. Zu den Pflichten der Hersteller gehören:

  • Erstellung der technischen Dokumentation gemäß den CRA‑Vorgaben
  • Durchführung einer Risikoanalyse und Risikobewertung
  • Nachweis, dass die gewählten Maßnahmen geeignet sind, die Sicherheitsanforderungen zu erfüllen (Auch wenn keine harmonisierte Norm (hEN) zugrunde liegt)

Die technische Dokumentation muss alle Informationen enthalten, die notwendig sind, um die Konformität des Produkts zu beurteilen.

So prüfen wir:

  • die vollständige technische Dokumentation
  • das Baumuster des Produkts
  • die Einhaltung harmonisierter Normen, sofern angewendet
  • die Eignung der Sicherheitsmaßnahmen, wenn keine hEN verwendet wurden

Bei erfolgreicher Prüfung stellt TÜV NORD eine EU‑Baumusterprüfungsbescheinigung aus.

Modul C - Interne Fertigungskontrolle

Modul C ergänzt verpflichtend Modul B und betrifft die Serienfertigung. Dabei gelten folgende Grundsätze:

  • Es ist keine erneute Einbindung einer notifizierten Stelle erforderlich.
  • Der Hersteller stellt sicher, dass alle hergestellten Produkte dem nach Modul B geprüften Baumuster entsprechen.
  • Der Hersteller bringt die CE‑Kennzeichnung an und erstellt die EU‑Konformitätserklärung.

Modul C basiert vollständig auf der zuvor ausgestellten EU‑Baumusterprüfungsbescheinigung aus Modul B.

Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.

Fragen, Anmerkungen & mehr rund um den CRA

Ihr Ansprechpartner

Eric Behrendt

Business Development Manager
+49 160 8880296
e.behrendt@tuvit.de
Nachricht senden