CRA
Cybersicherheit von vernetzten Geräten
Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.
So unterstützen wir Sie
Der CRA legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.
Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.
Der CRA definiert grundlegende Cybersicherheitsanforderungen, die für alle Produkte mit digitalem Element gelten, die nach Ablauf einer Übergangsfrist in der EU in Verkehr gebracht werden. Demgegenüber richtet sich die Art des zulässigen Konformitätsbewertungsverfahrens danach, wie kritisch bzw. sensibel einzelne Produkte unter dem Gesichtspunkt der Cybersicherheit eingestuft werden. Dabei differenziert der CRA die im Folgenden beschriebenen Produktkategorien.
Standardprodukte (Default-Produkte) sind Produkte mit digitalen Elementen, die weder als wichtige Produkte der Klasse I oder II noch als kritische Produkte eingestuft sind und den grundlegenden Cybersicherheitsanforderungen unterliegen
Wichtige Produkte Klasse I sind Produkte mit digitalen Elementen, deren Kernfunktion sicherheitsrelevante IT- oder Netzfunktionen unterstützt und daher erhöhten Cybersicherheits-Konformitätsanforderungen unterliegt.
Wichtige Produkte Klasse II sind Produkte mit digitalen Elementen mit besonders kritischer Sicherheitsfunktion oder erheblichem Cyberrisikopotenzial, die strengeren Konformitätsanforderungen und umfassenderen Prüfpflichten unterliegen.
Kritische Produkte sind Produkte mit digitalen Elementen, deren Kernfunktion besonders sensible Sicherheits- oder Kryptografieaufgaben erfüllt und deren Kompromittierung erhebliche Auswirkungen auf Cybersicherheit und kritische Infrastrukturen haben kann.

Der Weg zur Erreichung der CRA Compliance ist selten ein Sprint. Unter dem Dach der TÜV NORD GROUP finden sich eine Vielzahl von helfenden Händen, die Hersteller von Produkten mit digitalem Element auf ihrem Weg zum erfolgreichen Konformitätsnachweis unterstützen - und darüber hinaus.
Starten Sie jetzt und bereiten sie sich intensiv auf die neuen Anforderungen des Cyber Resilience Act vor. Damit stellen Sie sicher, dass Ihre Produkte mit Inkrafttreten der EU-Verordnung auch wirklich konform sind. Mit unseren Service-Bausteinen zur Erreichung der CRA Readiness unterstützen wir Entwickler dabei, die vielfältigen Anforderungen der EU-Verordnung zu verstehen, rechtzeitig zu erfüllen und sicherzustellen, dass Ihre Produkte den erforderlichen Cybersicherheitsstandards entsprechen.
Jetzt Kontakt aufnehmenDie im Folgenden aufgelisteten Kriterien können für einen Konformitätsnachweis auf Basis von Modul H sprechen:
Hinweis: Während Klasse I oft Sicherheitskomponenten für Endnutzer umfasst (z. B. Passwortmanager), konzentriert sich Klasse II stärker auf infrastrukturkritische Komponenten. Die Anforderungen für Klasse-II-Produkte sind deshalb höher, da ihre Kompromittierung signifikante negative Auswirkungen auf eine große Anzahl anderer Produkte, Nutzer oder kritische Infrastrukturen haben kann. Deshalb müssen diese Produkte zwingend einer Konformitätsbewertung durch eine zugelassene Konformitätsbewertungsstelle (Notified Body), wie TÜV NORD, unterzogen werden.
Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung.
Wird Modul H gewählt, um nachzuweisen, dass die Anforderungen des CRA erfüllt werden, ist folgendes zu beachten:
DE
Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.
Die im Folgenden aufgelisteten Kriterien können für einen Konformitätsnachweis auf Basis von Modul B/C sprechen:
Der CRA fordert die Anwendung einer umfassenden Qualitätssicherung.
Modul B - Baumusterprüfung
Im Rahmen von Modul B reichen Hersteller einen Antrag auf EU‑Baumusterprüfung bei TÜV NORD als notifizierter Stelle ein. Zu den Pflichten der Hersteller gehören:
Die technische Dokumentation muss alle Informationen enthalten, die notwendig sind, um die Konformität des Produkts zu beurteilen.
So prüfen wir:
Bei erfolgreicher Prüfung stellt TÜV NORD eine EU‑Baumusterprüfungsbescheinigung aus.
Modul C - Interne Fertigungskontrolle
Modul C ergänzt verpflichtend Modul B und betrifft die Serienfertigung. Dabei gelten folgende Grundsätze:
Modul C basiert vollständig auf der zuvor ausgestellten EU‑Baumusterprüfungsbescheinigung aus Modul B.
Andere EU-Länder: Das Konformitätsverfahren kann je nach EU-Land in Teilen abweichen. Bitte sprechen Sie uns an, wir recherchieren das für Sie.
Wichtige Produkte mit digitalen Elementen Klasse I
Default Produkte mit digitalen Elementen
Merke: Im Rahmen der Herstellerselbsterklärung in Modul A ist keine Einbindung einer notifizierten Stelle erforderlich.