CRA EU-Konformitätserklärung: Vorlage und Schritt-für-Schritt-Anleitung
Wie Sie eine CRA-konforme EU-Konformitätserklärung erstellen. Mit gebrauchsfertiger Vorlage, Checkliste erforderlicher Elemente und häufigen Fehlern, die es zu vermeiden gilt.
In diesem Artikel
- Kurzfassung
- Was ist die EU-Konformitätserklärung?
- Was fordert der CRA in der Konformitätserklärung?
- Vollständige Vorlage für die Konformitätserklärung
- Abschnitt-für-Abschnitt-Anleitung
- Wann muss die CE-Kennzeichnung in Bezug auf die Konformitätserklärung angebracht werden?
- Muss die Konformitätserklärung übersetzt werden?
- Benötigt jedes Produktmodell oder jede Version eine eigene Konformitätserklärung?
- Verteilung der Konformitätserklärung
- Vereinfachte EU-Konformitätserklärung
- Häufige Fehler
- Checkliste für die Konformitätserklärung
- Vorlagenvarianten
- Aufbewahrungsanforderungen
- Häufig gestellte Fragen
- Nächste Schritte
Jedes Produkt mit digitalen Elementen benötigt eine EU-Konformitätserklärung, bevor es legal die CE-Kennzeichnung tragen darf. Die Konformitätserklärung ist Ihre formelle Aussage, dass das Produkt die CRA-Anforderungen erfüllt. Sie sind rechtlich für ihre Richtigkeit verantwortlich.
Dieser Leitfaden bietet eine vollständige Vorlage und erklärt jedes erforderliche Element.
Kurzfassung
- Die EU-Konformitätserklärung ist für alle CRA-Produkte verpflichtend und muss vor dem Inverkehrbringen vorliegen
- Muss vom Hersteller oder einem in der EU niedergelassenen Bevollmächtigten unterzeichnet werden
- Erforderliche Elemente sind in CRA Artikel 28 und Anhang V festgelegt
- Muss in der/den Sprache(n) bereitgestellt werden, die von jedem Mitgliedstaat verlangt werden, in dem das Produkt verkauft wird (Artikel 28(2))
- Mindestens 10 Jahre nach dem Inverkehrbringen oder für die Dauer des Supportzeitraums aufbewahren, je nachdem, was länger ist (Artikel 13(13))
- Eine wesentliche Änderung erfordert eine neue Konformitätserklärung, ausgestellt von demjenigen, der die Änderung vorgenommen hat
- Eine Vorlage finden Sie weiter unten. Passen Sie sie für Ihr Produkt an.
Wichtig: Die Unterzeichnung einer Konformitätserklärung ohne abgeschlossene Konformitätsbewertung verstößt sowohl gegen Artikel 13 (bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes) als auch gegen Artikel 28 (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).
Tipp: Fügen Sie den Produkt-Supportzeitraum (mindestens 5 Jahre) und die Kontaktstelle für Schwachstellen in Ihre Konformitätserklärung ein. Von Anhang V nicht ausdrücklich gefordert, verbessert dies jedoch die regulatorische Transparenz.
Was ist die EU-Konformitätserklärung?
Die EU-Konformitätserklärung ist ein formelles Rechtsdokument, in dem der Hersteller erklärt, dass ein Produkt den geltenden EU-Rechtsvorschriften entspricht. Sie ist für alle Produkte mit digitalen Elementen verpflichtend, bevor diese die CE-Kennzeichnung tragen dürfen. Für CRA-Produkte muss sie Folgendes bestätigen:
- Das Produkt erfüllt die grundlegenden Cybersicherheitsanforderungen (Anhang I)
- Die Konformitätsbewertung wurde abgeschlossen
- Der Hersteller übernimmt die rechtliche Verantwortung
Ohne eine unterzeichnete Konformitätserklärung darf Ihr Produkt keine CE-Kennzeichnung tragen und nicht legal auf dem EU-Markt in Verkehr gebracht werden.
Was fordert der CRA in der Konformitätserklärung?
Rechtsgrundlage
CRA Artikel 28 legt die Anforderungen an die Konformitätserklärung fest und verweist auf die Struktur in Anhang V. Die Konformitätserklärung muss:
- Vor dem Inverkehrbringen des Produkts ausgestellt werden (Artikel 13(12))
- Bei Bedarf aktualisiert werden, wenn sich das Produkt oder der Konformitätsstatus ändert (Artikel 28(2))
- In der/den Sprache(n) bereitgestellt werden, die von jedem Mitgliedstaat verlangt werden, in dem das Produkt in Verkehr gebracht wird (Artikel 28(2))
- Mindestens 10 Jahre nach dem Inverkehrbringen oder für die Dauer des Supportzeitraums aufbewahrt werden, je nachdem, was länger ist (Artikel 13(13))
Hinweis: Artikel 28(3) erlaubt Herstellern, die mehreren EU-Verordnungen unterliegen, eine einzige kombinierte Konformitätserklärung zu erstellen, die alle anwendbaren Rechtsakte abdeckt. Siehe die Vorlagenvariante „Mehrere Verordnungen" weiter unten.
Erforderliche Elemente
| # | Element | Was anzugeben ist | Quelle |
|---|---|---|---|
| 1 | Ausstellungsdatum | Datum der Unterzeichnung. Muss nach Abschluss der Konformitätsbewertung liegen. | Anhang V, Punkt 1 |
| 2 | Herstelleridentifikation | Vollständiger rechtlicher Name, Postanschrift, Kontaktinformationen | Anhang V, Punkt 2 |
| 3 | Erklärung der alleinigen Verantwortung | Genaue Formulierung: „This declaration of conformity is issued under the sole responsibility of the provider" | Anhang V, Punkt 3 |
| 4 | Produktidentifikation | Name, Typ, Modell, Chargen- oder Seriennummer; optionales Foto, sofern angemessen | Anhang V, Punkt 4 |
| 5 | Konformitätserklärung | Bestätigung, dass das Produkt der Verordnung (EU) 2024/2847 entspricht | Anhang V, Punkt 5 |
| 6 | Angewandte Normen und Zertifizierungen | Herangezogene harmonisierte Normen; verwendete europäische Cybersicherheitszertifikate | Anhang V, Punkt 6 |
| 7 | Details zur Notifizierten Stelle | Name, Nummer und Zertifikatsreferenz. Nur erforderlich, wenn ein Drittbewertungsmodul verwendet wurde. | Anhang V, Punkt 7 |
| 8 | Unterschrift | Vollständiger Name, Titel/Funktion, Ort, Datum; handschriftliche oder qualifizierte elektronische Signatur | Anhang V, Punkt 8 |
Hinweis: Eine Erklärungsnummer ist von Anhang V nicht vorgeschrieben, wird jedoch für Zwecke der Versionskontrolle und internen Nachverfolgung dringend empfohlen.
Vollständige Vorlage für die Konformitätserklärung
Verwenden Sie diese Vorlage als Ausgangspunkt. Passen Sie die Abschnitte in eckigen Klammern für Ihr Produkt an.
Hinweis: Abschnitt 3 der Vorlage enthält eine gesetzlich vorgeschriebene wörtliche Formulierung (Anhang V, Punkt 3). Diese Formulierung darf nicht umschrieben oder abgewandelt werden:
„This declaration of conformity is issued under the sole responsibility of the provider."
═══════════════════════════════════════════════════════════════
EU-KONFORMITÄTSERKLÄRUNG
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
Erklärungsnummer: [KE-PRODUKT-JJJJ-NNN]
Ausstellungsdatum: [TT. Monat JJJJ]
───────────────────────────────────────────────────────────────
1. HERSTELLER
───────────────────────────────────────────────────────────────
Name: [Rechtlicher Firmenname]
Adresse: [Straße und Hausnummer]
[Postleitzahl, Ort]
[Land]
Kontakt: [E-Mail / Telefon]
Website: [URL]
───────────────────────────────────────────────────────────────
2. PRODUKTIDENTIFIKATION
───────────────────────────────────────────────────────────────
Produktname: [Produktname]
Modell/Typ: [Modellnummer / Typbezeichnung]
Hardware-Version: [Hardware-Version, falls zutreffend]
Software-Version: [Software-/Firmware-Version]
Charge/Seriennr.: [Chargennummernbereich oder Seriennummernformat]
Produktfoto: [Optionales Foto zur Rückverfolgbarkeit, soweit angemessen]
Produktbeschreibung:
[Kurze Beschreibung des Produkts und seines bestimmungsgemäßen
Verwendungszwecks, ausreichend zur eindeutigen Identifikation]
───────────────────────────────────────────────────────────────
3. ERKLÄRUNG
───────────────────────────────────────────────────────────────
Diese Konformitätserklärung wird in alleiniger Verantwortung
des Anbieters ausgestellt.
Der oben beschriebene Gegenstand dieser Erklärung entspricht
den einschlägigen Harmonisierungsrechtsvorschriften der Union:
• Verordnung (EU) 2024/2847 des Europäischen Parlaments
und des Rates vom 23. Oktober 2024 über horizontale
Cybersicherheitsanforderungen für Produkte mit digitalen
Elementen (Cyber Resilience Act)
[• Weitere anwendbare Rechtsvorschriften, z. B.:
• Richtlinie 2014/53/EU (Funkanlagenrichtlinie)
• Verordnung (EU) 2023/1230 (Maschinenverordnung)
• usw.]
───────────────────────────────────────────────────────────────
4. KONFORMITÄTSBEWERTUNG
───────────────────────────────────────────────────────────────
Angewandtes Konformitätsbewertungsverfahren:
[Bitte auswählen:]
☐ Modul A (Interne Fertigungskontrolle)
Gemäß Anhang VIII der Verordnung (EU) 2024/2847
☐ Modul B + C (EU-Baumusterprüfung + Konformität mit der Bauart)
Gemäß Anhang VIII der Verordnung (EU) 2024/2847
Notifizierte Stelle: [Name], Nr. [XXXX]
EU-Baumusterprüfbescheinigung: [Zertifikatsnummer]
Datum: [Zertifikatsdatum]
☐ Modul H (Vollständige Qualitätssicherung)
Gemäß Anhang VIII der Verordnung (EU) 2024/2847
Notifizierte Stelle: [Name], Nr. [XXXX]
QS-Systemzertifikat: [Zertifikatsnummer]
Datum: [Zertifikatsdatum]
☐ Europäisches Cybersicherheitszertifizierungssystem (Artikel 27(9))
Zertifikat ausgestellt im Rahmen eines gemäß
Verordnung (EU) 2019/881 (Cybersicherheitsgesetz) angenommenen Systems
Systemname: [Name]
Zertifikatsnummer: [Nummer]
Vertrauenswürdigkeitsstufe: [Erheblich / Hoch]
───────────────────────────────────────────────────────────────
5. ANGEWANDTE NORMEN UND SPEZIFIKATIONEN
───────────────────────────────────────────────────────────────
Angewandte harmonisierte Normen:
[Alle herangezogenen harmonisierten Normen mit vollständigen Referenzen auflisten]
• EN [XXXXX]:20XX - [Normtitel]
• EN [XXXXX]:20XX - [Normtitel]
Sonstige angewandte technische Spezifikationen:
[Alle sonstigen herangezogenen Normen oder Spezifikationen auflisten]
• ISO/IEC [XXXXX]:20XX - [Normtitel]
• [Sonstige Spezifikationen]
Angewandte Cybersicherheitszertifizierungen (falls zutreffend):
[Europäische Cybersicherheitszertifikate gemäß Anhang V, Punkt 6 auflisten]
• [Systemname - Zertifikatsreferenz]
───────────────────────────────────────────────────────────────
6. ZUSÄTZLICHE INFORMATIONEN (CRA-spezifisch)
───────────────────────────────────────────────────────────────
Supportzeitraum:
Sicherheitsupdates werden bereitgestellt bis: [TT. Monat JJJJ]
(Mindestens 5 Jahre ab dem Datum des erstmaligen Inverkehrbringens)
Erstmaliges Inverkehrbringen auf dem EU-Markt: [TT. Monat JJJJ]
Cybersicherheits-Kontakt:
Für Schwachstellenmeldungen und Sicherheitsanfragen:
E-Mail: [security@unternehmen.com]
Web: [https://unternehmen.com/security]
security.txt: [https://unternehmen.com/.well-known/security.txt]
Technische Dokumentation:
Die technische Dokumentation ist zuständigen Behörden auf
Anfrage unter der oben genannten Adresse verfügbar.
───────────────────────────────────────────────────────────────
7. UNTERSCHRIFT
───────────────────────────────────────────────────────────────
Unterzeichnet für und im Namen von:
[Rechtlicher Firmenname]
_________________________________
[Vollständiger Name]
[Titel / Funktion]
Ort: [Ort, Land]
Datum: [TT. Monat JJJJ]
═══════════════════════════════════════════════════════════════
ENDE DER ERKLÄRUNG
═══════════════════════════════════════════════════════════════
Abschnitt-für-Abschnitt-Anleitung
1. Dokumentenidentifikation
Erklärungsnummer: Von Anhang V nicht vorgeschrieben, jedoch als Best Practice für Versionskontrolle und interne Nachverfolgung dringend empfohlen. Empfohlenes Format:
DoC-[Produktcode]-[Jahr]-[Laufnummer]- Beispiel:
DoC-SSP3000-2027-001
Ausstellungsdatum: Das Datum, an dem Sie die Erklärung unterzeichnen. Muss nach Abschluss der Konformitätsbewertung liegen.
2. Herstelleridentifikation
Wer unterzeichnet die Konformitätserklärung?
- Der Hersteller: die Einheit, die das Produkt entworfen, hergestellt oder unter ihrem eigenen Namen vermarktet
- ODER ein in der EU niedergelassener Bevollmächtigter, der aufgrund einer schriftlichen Vollmacht handelt
Hat der Hersteller keine Niederlassung in der EU, ist die Bestellung eines Bevollmächtigten erforderlich. Ergänzen Sie:
Bevollmächtigter: [Name, Adresse]
handelnd im Namen von: [Herstellername, Adresse]
3. Produktidentifikation
Spezifisch genug für die Rückverfolgbarkeit:
- Modellnummern angeben, nicht nur Produktnamen
- Versionsnummern für Hardware und Software getrennt angeben
- Chargen- oder Seriennummernbereich angeben
Beispiel:
Produktname: SmartSense Pro Industrial Sensor
Modell/Typ: SSP-3000
Hardware-Version: Rev C (PCB v3.2)
Software-Version: Firmware 2.4.1
Charge/Seriennr.: Seriennummern SSP3K-2027-XXXXXX
4. Konformitätsbewertung
Welches Modul anzuwenden ist, hängt von der Einstufung Ihres Produkts ab. Orientieren Sie sich an dieser Tabelle:
| Modul | Anwendungsfall | Notifizierte Stelle? |
|---|---|---|
| Modul A (Interne Fertigungskontrolle) | Standardprodukte; Klasse I mit harmonisierten Normen | Nein |
| Modul B+C (EU-Baumusterprüfung) | Alle Produkte; verpflichtend für Klasse II (außer H); verpflichtend für Klasse I ohne harmonisierte Normen | Ja |
| Modul H (Vollständige Qualitätssicherung) | Alle Produkte; Alternative zu B+C für Klasse I und II | Ja |
| EUCC / Cybersicherheitssystem | Produkte mit europäischem Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „erheblich" (Artikel 27(9)) | Keine zusätzliche Drittbewertung erforderlich |
Hinweis: Für kritische Produkte (Anhang IV) muss die EU-Baumusterprüfung von einer spezialisierten Notifizierten Stelle durchgeführt werden. Den vollständigen Entscheidungsbaum finden Sie im CRA-Leitfaden zur Konformitätsbewertung.
Nutzen Sie dieses Flussdiagramm zur Bestimmung Ihres Weges:
flowchart TD
A["Was ist Ihre Produktklasse?"] --> B["Standard\n(nicht Anhang III/IV)"]
A --> C["Klasse I\n(Anhang III)"]
A --> D["Klasse II\n(Anhang III)"]
A --> E["Kritisch\n(Anhang IV)"]
B --> F["Modul A, B+C oder H\nIhre Wahl"]
C --> G{"Harmonisierte Normen\nvollständig angewandt?"}
G -->|Ja| H["Modul A möglich\noder B+C / H"]
G -->|Nein| I["Modul B+C oder H\nNotifizierte Stelle erforderlich"]
D --> J["Modul B+C oder H\nNotifizierte Stelle erforderlich"]
E --> K["EU-Baumusterprüfung\nspezialisierte Notifizierte Stelle"]
5. Angewandte Normen
Harmonisierte Normen:
- Im Amtsblatt der EU veröffentlichte Normen
- Begründen eine Konformitätsvermutung für die abgedeckten Anforderungen
- Vollständige Referenz angeben: Nummer, Jahr, Titel
Format:
EN 303 645:2020 - Cybersicherheit für das Verbraucher-Internet der Dinge: Basisanforderungen
Wenn keine harmonisierten Normen existieren: Angeben: „Keine harmonisierten Normen angewandt. Konformität nachgewiesen durch [Ansatz beschreiben]."
Cybersicherheitszertifizierungen (Anhang V, Punkt 6): Wurde im Rahmen der Konformitätsbewertung ein europäisches Cybersicherheitszertifikat herangezogen, ist es hier mit dem Systemnamen und der Zertifikatsreferenznummer anzugeben.
6. CRA-spezifische Zusatzinformationen
Dieser Abschnitt ist von Anhang V nicht gefordert, verbessert jedoch die regulatorische Transparenz:
Supportzeitraum: Angeben, wann Sicherheitsupdates enden. Muss mindestens 5 Jahre ab dem Inverkehrbringen betragen (Artikel 13(8)).
Cybersicherheits-Kontakt: Wohin Schwachstellenmeldungen gesendet werden sollen, einschließlich eines Verweises auf Ihre security.txt-Datei.
Hinweis: Das Enddatum des Supportzeitraums muss gemäß Artikel 13(19) auch am Verkaufspunkt angegeben werden. Die Aufnahme in die Konformitätserklärung ist eine bewährte Praxis, ersetzt jedoch nicht die Kommunikation am Verkaufspunkt.
7. Unterschrift
Wer unterzeichnen darf:
- Eine Person, die befugt ist, den Hersteller rechtlich zu verpflichten
- Typischerweise: Geschäftsführer, Direktor, Qualitätsmanager oder Leiter Regulatory Affairs
Anforderungen:
- Vollständiger Name und Titel/Funktion
- Ort und Datum (Datum muss nach Abschluss der Bewertung liegen)
- Handschriftliche Unterschrift oder qualifizierte elektronische Signatur
Wann muss die CE-Kennzeichnung in Bezug auf die Konformitätserklärung angebracht werden?
Bei physischen Produkten ist die CE-Kennzeichnung sichtbar, lesbar und dauerhaft vor dem Inverkehrbringen am Produkt anzubringen (Artikel 30(1)).
Bei reinen Softwareprodukten (Artikel 30(3)) wird die CE-Kennzeichnung entweder:
- Direkt auf der EU-Konformitätserklärung angebracht, oder
- Auf der Website des Produkts, in einem Bereich, der für Nutzer leicht und direkt zugänglich ist
Hinweis: Die CE-Kennzeichnung muss vor dem Inverkehrbringen angebracht werden, nicht danach. Bei Softwareprodukten muss die Konformitätserklärung bzw. der entsprechende Website-Bereich vor Beginn jeglicher Verteilung verfügbar sein.
Muss die Konformitätserklärung übersetzt werden?
Ja. Artikel 28(2) verlangt, dass die Konformitätserklärung in der/den Sprache(n) bereitgestellt wird, die von jedem Mitgliedstaat verlangt werden, in dem das Produkt in Verkehr gebracht wird.
In der Praxis bedeutet das:
- Verkauf nur in Deutschland → eine deutsche Konformitätserklärung ist erforderlich
- Verkauf in der gesamten EU → mehrere Sprachversionen sind erforderlich
- Alle Sprachversionen sind in der Technischen Dokumentation aufzubewahren
Auch die vereinfachte EU-Konformitätserklärung (Anhang VI) und die URL zur vollständigen Konformitätserklärung müssen in der/den erforderlichen Sprache(n) vorliegen. Die URL selbst muss stabil und dauerhaft zugänglich bleiben.
Benötigt jedes Produktmodell oder jede Version eine eigene Konformitätserklärung?
Eine Konformitätserklärung pro Produkttyp
Jedes eigenständige Produktmodell oder jeder Produkttyp benötigt im Allgemeinen eine eigene Konformitätserklärung.
Eine einzige Konformitätserklärung ist möglich, wenn:
- Produkte Varianten desselben Typs sind
- Dieselbe Konformitätsbewertung für alle Varianten gilt
- Dieselben Normen angewandt wurden
Beispiel:
Produktname: SmartSense Pro Industrial Sensor
Modell/Typ: SSP-3000 (alle Varianten)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Wann erfordert eine Änderung eine neue Konformitätserklärung?
Warnung: Eine wesentliche Änderung (jede Änderung, die die Konformität des Produkts mit den grundlegenden CRA-Anforderungen nach Anhang I, Teil I beeinträchtigt oder den bestimmungsgemäßen Verwendungszweck des Produkts ändert) macht eine neue Konformitätserklärung zwingend erforderlich (Artikel 28). Wer die wesentliche Änderung durchführt, wird zum Hersteller des geänderten Produkts und muss die neue Konformitätserklärung ausstellen. Dies gilt gleichermaßen für den ursprünglichen Hersteller bei wesentlichen Updates und für Dritte, die das Produkt modifizieren und weiterverkaufen.
| Szenario | Neue Konformitätserklärung erforderlich? |
|---|---|
| Neue Hardware-Version, die Sicherheitseigenschaften betrifft | Ja, wesentliche Änderung |
| Firmware-Update, das neue Schnittstellen oder neue Angriffsvektoren einführt | Ja, verändertes Cybersicherheitsrisikoprofil |
| Firmware-Update, das den bestimmungsgemäßen Verwendungszweck des Produkts ändert | Ja, wesentliche Änderung |
| Sicherheits-Patch (gleiche Architektur, kein neues Risiko, reduziert CVEs) | Fall zu Fall |
| Änderung angewandter harmonisierter Normen oder des Konformitätsbewertungszertifikats | Ja |
| Kosmetische, nur dokumentationsbezogene oder lokalisierungsbezogene Änderung | Nein |
| Dritter nimmt wesentliche Änderung vor und bringt das Produkt in Verkehr | Ja, Dritter stellt die neue Konformitätserklärung als neuer Hersteller aus |
Bei eigenen iterativen Software-Releases des Herstellers gilt: Handelt es sich bei dem Update nicht um eine wesentliche Änderung, bleibt die bestehende Konformitätserklärung gültig. Sie müssen dies gegenüber Marktüberwachungsbehörden nachweisen können. Die Durchführung einer Cybersicherheits-Risikoanalyse gemäß Artikel 13(2) ist der Mechanismus, den die behördlichen Leitlinien hierfür ausdrücklich empfehlen.
Verteilung der Konformitätserklärung
Mit dem Produkt (Artikel 13(20)): Artikel 13(20) verlangt, dass Sie entweder Folgendes beifügen:
- Die vollständige Anhang-V-Konformitätserklärung, oder
- Eine vereinfachte EU-Konformitätserklärung mit der genauen Internetadresse, unter der die vollständige Konformitätserklärung abrufbar ist
Beide Varianten müssen nicht gleichzeitig beigefügt werden.
Auf Anfrage:
- Muss Marktüberwachungsbehörden bereitgestellt werden
- Sollte Kunden auf Anfrage bereitgestellt werden
Vereinfachte EU-Konformitätserklärung
Artikel 13(20) erlaubt es Herstellern, dem Produkt anstelle des vollständigen Anhang-V-Dokuments eine vereinfachte EU-Konformitätserklärung beizulegen. Die vereinfachte Form ist in Anhang VI definiert und besteht aus genau zwei Sätzen:
Hiermit erklärt [Name des Herstellers], dass das Produkt mit digitalen Elementen
des Typs [Bezeichnung] der Verordnung (EU) 2024/2847 entspricht.
Der vollständige Text der EU-Konformitätserklärung ist unter folgender
Internetadresse verfügbar: [URL]
Dies ist besonders nützlich für:
- Softwareprodukte, bei denen das Beifügen eines vollständigen Rechtsdokuments zu jeder Distribution unpraktisch ist
- Hardwareprodukte mit begrenztem Platz auf der Verpackung
- Produkte, deren vollständige Konformitätserklärung online veröffentlicht ist
Anforderungen:
- Die vollständige Anhang-V-Konformitätserklärung muss existieren und unter der angegebenen URL öffentlich zugänglich sein
- Die vereinfachte Erklärung muss die URL enthalten (Artikel 13(20))
- Die vollständige Konformitätserklärung bleibt in der Technischen Dokumentation und für Behördenanfragen verpflichtend
Empfehlungen für die URL:
- Stabile URL verwenden. Nach der Produktverteilung nicht ändern
- Ohne Registrierung oder Anmeldung zugänglich
- Die Seite sollte das Herunterladen oder Ausdrucken der Konformitätserklärung ermöglichen
Häufige Fehler
| Fehler | Warum er wichtig ist | Lösung |
|---|---|---|
| Fehlende Pflichtangaben (z. B. kein Konformitätsbewertungsmodul angegeben) | Konformitätserklärung ist nicht konform | Checkliste vor der Unterzeichnung verwenden; alle Anhang-V-Punkte prüfen |
| Falsche Einheit unterzeichnet (Importeur oder Händler statt Hersteller) | Konformitätserklärung ist rechtlich ungültig | Nur der Hersteller (oder Bevollmächtigter mit Vollmacht) darf unterzeichnen |
| Veraltete Normenreferenzen (zurückgezogene oder ersetzte Normen aufgeführt) | Konformitätsvermutung entfällt | Angewandte Normen regelmäßig prüfen; Konformitätserklärung bei Normenänderungen aktualisieren |
| Keine Versionskontrolle (mehrere Versionen ohne klare Aktualitätskennzeichnung) | Prüfungs- und Durchsetzungsrisiko | Erklärungsnummern vergeben; ersetzte Versionen archivieren |
| Unterzeichnung vor Abschluss der Bewertung (Konformitätserklärung datiert vor Ende der Konformitätsaktivitäten) | Verstößt gegen Artikel 28 | Alle Bewertungsaktivitäten zuerst abschließen; Datum der Konformitätserklärung muss nach der Bewertung liegen |
| Falsche Sprache (Konformitätserklärung nur auf Englisch beim Verkauf in einem nicht englischsprachigen Mitgliedstaat) | Nicht konform für diesen Markt | Konformitätserklärung in jede erforderliche Mitgliedstaatssprache übersetzen (Artikel 28(2)) |
| Keine Aktualisierung nach wesentlicher Änderung (ursprüngliche Konformitätserklärung nach einer materiellen Änderung weiter in Gebrauch) | Konformitätserklärung deckt eine nie bewertete Version ab | Bei jeder wesentlichen Änderung eine neue Konformitätserklärung ausstellen |
Checkliste für die Konformitätserklärung
Vor der Erstellung
| Punkt | Status |
|---|---|
| Konformitätsbewertung abgeschlossen | ☐ |
| Testberichte verfügbar | ☐ |
| Technische Dokumentation erstellt | ☐ |
| Normenliste finalisiert | ☐ |
| Supportzeitraum festgelegt | ☐ |
| Sprachanforderungen für alle Ziel-Mitgliedstaaten bestätigt | ☐ |
Dokumenteninhalt
| Punkt | Status |
|---|---|
| Eindeutige Erklärungsnummer vergeben | ☐ |
| Herstellername und -anschrift korrekt | ☐ |
| Produkt vollständig identifiziert (Modell, Version, Charge/Seriennummer) | ☐ |
| CRA korrekt referenziert: „Verordnung (EU) 2024/2847" | ☐ |
| Weitere anwendbare Rechtsvorschriften aufgelistet (falls vorhanden) | ☐ |
| Konformitätsbewertungsmodul angegeben | ☐ |
| Details zur Notifizierten Stelle enthalten (falls zutreffend) | ☐ |
| Alle angewandten Normen mit vollständigen Referenzen aufgelistet | ☐ |
| Enddatum des Supportzeitraums angegeben | ☐ |
| Sicherheits-Kontaktinformationen enthalten | ☐ |
Unterschrift
| Punkt | Status |
|---|---|
| Unterzeichner ist befugt, den Hersteller zu verpflichten | ☐ |
| Vollständiger Name und Titel/Funktion angegeben | ☐ |
| Ort und Datum angegeben (Datum nach Abschluss der Bewertung) | ☐ |
| Unterschrift vorhanden (handschriftlich oder qualifiziert elektronisch) | ☐ |
Verteilung
| Punkt | Status |
|---|---|
| Kopie begleitet das Produkt (physisch oder als digitaler Link) | ☐ |
| Kopie in der Technischen Dokumentation | ☐ |
| Auf Anfrage von Behörden verfügbar | ☐ |
| Versionen verfolgt und archiviert | ☐ |
| Sprachversionen für alle Ziel-Mitgliedstaaten erstellt | ☐ |
| CE-Kennzeichnung vor der Verteilung angebracht | ☐ |
Vorlagenvarianten
Für Modul A (Selbstbewertung)
4. KONFORMITÄTSBEWERTUNG
Angewandtes Konformitätsbewertungsverfahren:
☑ Modul A (Interne Fertigungskontrolle)
Gemäß Anhang VIII der Verordnung (EU) 2024/2847
Der Hersteller hat durch interne Bewertung, dokumentiert
in der Technischen Dokumentation, verifiziert, dass das
Produkt die grundlegenden Anforderungen erfüllt.
Für Modul B+C (Drittbewertung)
4. KONFORMITÄTSBEWERTUNG
Angewandtes Konformitätsbewertungsverfahren:
☑ Modul B + C (EU-Baumusterprüfung + Konformität mit der Bauart)
Gemäß Anhang VIII der Verordnung (EU) 2024/2847
EU-Baumusterprüfung durchgeführt von:
Notifizierte Stelle: TÜV Rheinland LGA Products GmbH
Notifizierte-Stelle-Nummer: 0197
Zertifikatsnummer: EU-TYPE-2027-12345
Zertifikatsdatum: 15. Januar 2027
Der Hersteller stellt die Produktionskonformität mit dem
zertifizierten Baumuster (Modul C) durch interne
Fertigungskontrollen sicher.
Für mehrere Verordnungen (Artikel 28(3))
Wenn ein Produkt sowohl dem CRA als auch anderen EU-Rechtsvorschriften unterliegt, ist eine einzige kombinierte Konformitätserklärung nach Artikel 28(3) zulässig:
3. ERKLÄRUNG
Der oben beschriebene Gegenstand der Erklärung entspricht den
einschlägigen Harmonisierungsrechtsvorschriften der Union:
• Verordnung (EU) 2024/2847 (Cyber Resilience Act)
• Richtlinie 2014/53/EU (Funkanlagenrichtlinie)
Notifizierte Stelle: [Name], Nr. [XXXX]
Zertifikat: [Nummer]
• Richtlinie 2014/35/EU (Niederspannungsrichtlinie)
Aufbewahrungsanforderungen
| Was aufzubewahren ist | Aufbewahrungsfrist | Wo |
|---|---|---|
| Unterzeichnete Konformitätserklärung (oder beglaubigte Kopie) | 10 Jahre nach Inverkehrbringen oder für die Dauer des Supportzeitraums, je nachdem, was länger ist (Artikel 13(13)) | Technische Dokumentation; auf Anfrage für Behörden zugänglich |
| Versionshistorie und ersetzte Konformitätserklärungen | Zusammen mit der aktuellen Konformitätserklärung | Technische Dokumentation |
| In der Konformitätserklärung referenzierte Unterstützungsdokumentation | Zusammen mit der Konformitätserklärung | Technische Dokumentation |
Häufig gestellte Fragen
Kann eine Konformitätserklärung Produkte abdecken, die in allen EU-Mitgliedstaaten verkauft werden?
Dasselbe Dokument kann die gesamte EU abdecken, muss jedoch in die Sprache(n) übersetzt werden, die von jedem Mitgliedstaat verlangt werden, in dem das Produkt in Verkehr gebracht wird (Artikel 28(2)). Der inhaltliche Kern ist identisch; nur die Sprachversion ändert sich. Bewahren Sie alle Übersetzungen in der technischen Dokumentation auf.
Muss die CRA-Konformitätserklärung notariell beglaubigt oder amtlich zertifiziert werden?
Nein. Die Konformitätserklärung wird vom Hersteller oder einem Bevollmächtigten unterzeichnet. Eine handschriftliche Unterschrift oder eine qualifizierte elektronische Signatur (im Sinne der Verordnung (EU) 910/2014) ist ausreichend. Eine notarielle Beglaubigung ist nicht erforderlich, sofern ein bestimmter Mitgliedstaat dies nicht für Marktüberwachungszwecke vorschreibt.
Was passiert, wenn die Marktüberwachungsbehörde eine unvollständige oder fehlerhafte Konformitätserklärung feststellt?
Sanktionen nach Artikel 64 können 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für eine nicht konforme oder falsche Konformitätserklärung (Verstoß gegen Artikel 28) erreichen. In Deutschland ist die Bundesnetzagentur gemeinsam mit weiteren Behörden für die Marktüberwachung zuständig. Die Behörden können Korrekturmaßnahmen verlangen und in schwerwiegenden Fällen Produkte vom Markt nehmen.
Kann ein Softwareprodukt die vereinfachte EU-Konformitätserklärung anstelle des vollständigen Anhangs-V-Dokuments verwenden?
Ja. Artikel 13(20) erlaubt es Herstellern, dem Produkt nur die vereinfachte EU-Konformitätserklärung (Anhang VI) beizulegen, sofern das vollständige Anhang-V-Dokument öffentlich unter einer stabilen URL zugänglich ist. Die vereinfachte Form besteht aus zwei Sätzen: die Konformitätserklärung des Herstellers und die URL. Das vollständige Anhang-V-Dokument muss weiterhin existieren und den Behörden auf Anfrage zur Verfügung stehen.
Wie lange muss die CRA-Konformitätserklärung aufbewahrt werden?
Mindestens 10 Jahre nach dem Inverkehrbringen des Produkts oder für die Dauer des Supportzeitraums, je nachdem, was länger ist (Artikel 13(13)). Bei einem Produkt mit einem 15-jährigen Supportzeitraum müssen die Konformitätserklärung und die technische Dokumentation 15 Jahre lang aufbewahrt werden.
Wer ist berechtigt, die CRA-Konformitätserklärung zu unterzeichnen?
Der Hersteller oder ein in der EU niedergelassener Bevollmächtigter, wenn der Hersteller keine EU-Niederlassung hat. Der Unterzeichner muss befugt sein, den Hersteller rechtlich zu verpflichten: typischerweise ein CEO, Geschäftsführer oder Leiter der Regulierungsangelegenheiten. Ein Importeur oder Händler kann nicht unterzeichnen, es sei denn, er ist durch eine wesentliche Änderung des Produkts selbst zum Hersteller geworden.
Nächste Schritte
- Stufen Sie das Produkt ein (Standard, Wichtig Klasse I/II oder Kritisch) mit dem CRA-Produktklassifizierungsleitfaden.
- Bestätigen Sie das Konformitätsbewertungsmodul mit dem CRA-Leitfaden zur Konformitätsbewertung.
- Schließen Sie die Konformitätsbewertung ab und sammeln Sie alle Prüfberichte, bevor Sie die Konformitätserklärung entwerfen.
- Erstellen Sie die Konformitätserklärung auf Basis der obigen Vorlage. Vergeben Sie eine Erklärungsnummer und prüfen Sie jeden Anhang-V-Punkt.
- Übersetzen Sie die Konformitätserklärung in die Sprache(n), die von jedem Mitgliedstaat des Inverkehrbringens verlangt werden (Artikel 28(2)).
- Unterzeichnen und datieren Sie nach Abschluss der Bewertung. Bringen Sie die CE-Kennzeichnung vor dem Inverkehrbringen an.
- Legen Sie die unterzeichnete Konformitätserklärung zusammen mit Prüfberichten und dem SBOM in der technischen Dokumentation ab. Siehe CRA Technische Dokumentation (Anhang VII): Vollständiger Leitfaden.
- Veröffentlichen Sie die vollständige Konformitätserklärung unter einer stabilen URL, wenn Sie die vereinfachte Form nach Anhang VI mit dem Produkt ausliefern wollen.
- Bewahren Sie die Konformitätserklärung mindestens 10 Jahre nach dem Inverkehrbringen oder für die Dauer des Supportzeitraums auf, je nachdem, was länger ist (Artikel 13(13)).
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater.
Verwandte Artikel
Gilt der CRA für Ihr Produkt?
Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.
Bereit für CRA-Konformität?
Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.