CRA-Produktklassifizierung: Ist Ihr Produkt Standard, Wichtig oder Kritisch?
Das CRA stuft jedes Produkt mit digitalen Elementen in eine von vier Kategorien ein. Ihre Kategorie entscheidet, ob Sie sich selbst zertifizieren oder eine Notifizierte Stelle benötigen. Prüfen Sie die Listen in Anhang III und IV.
In diesem Artikel
- Zusammenfassung
- Welche vier Produktkategorien definiert der CRA?
- Entscheidungsbaum: Finden Sie Ihre Kategorie
- Konformitätsbewertungswege nach Kategorie
- Wie klassifizieren Sie ein Produkt, das in mehrere Kategorien fällt?
- Branchenspezifische Anleitung
- Eine Notifizierte Stelle finden
- Häufige Klassifizierungsfehler
- Checkliste zur Produktklassifizierung
- Häufig gestellte Fragen
- Nächste Schritte
Ihr CRA-Konformitätsbewertungsweg hängt von Ihrer Produktklassifizierung ab. „Wichtige„ und „Kritische“ Produkte unterliegen einer obligatorischen Drittbewertung. „Standard"-Produkte können selbst zertifiziert werden.
Zusammenfassung
- CRA definiert vier Kategorien: Standard, Wichtig Klasse I, Wichtig Klasse II, Kritisch
- Standard: Selbstbewertung (Modul A) erlaubt
- Wichtig Klasse I: Drittbewertung, es sei denn, harmonisierte Normen werden vollständig befolgt
- Wichtig Klasse II und Kritisch: Obligatorische Drittbewertung
- Klassifizierung basiert auf Produktfunktion und Risiko, nicht auf Marktsektor
- Im Zweifelsfall zur höheren Klassifizierung tendieren (sicherer für die Durchsetzung)
Tipp: Etwa 90% der Produkte fallen in die Kategorie Standard. Prüfen Sie zuerst Anhang III und IV – wenn Ihr Produkt dort nicht aufgeführt ist, sind Sie Standard.
Welche vier Produktkategorien definiert der CRA?
Der CRA klassifiziert Produkte mit digitalen Elementen in vier Stufen basierend auf dem Cybersicherheitsrisiko:
Standard-Produkte
Die große Mehrheit der Produkte fällt hierunter. Wenn Ihr Produkt nicht speziell in Anhang III oder IV aufgeführt ist, ist es „Standard“.
Konformitätsbewertung: Selbstbewertung (Modul A) ist ausreichend.
Beispiele:
- Einfache IoT-Sensoren
- Grundlegende Unterhaltungselektronik
- Standard-Business-Software
- Allzweck-Anwendungen
- Nicht vernetzte eingebettete Geräte
Wichtig Klasse I (Anhang III, Teil I)
Produkte mit erhöhtem Risiko aufgrund ihrer Funktion oder Nutzerbasis.
Konformitätsbewertung: Selbstbewertung erlaubt, WENN Sie relevante harmonisierte Normen vollständig anwenden. Andernfalls ist Drittbewertung erforderlich.
Vollständige Liste aus Anhang III, Teil I:
- Identitätsmanagementsysteme und Software/Hardware für privilegiertes Zugriffsmanagement, einschließlich Authentifizierungs- und Zugangskontroll-Lesegeräten, einschließlich biometrischer Lesegeräte
- Eigenständige und eingebettete Browser
- Passwort-Manager
- Software, die schädliche Software sucht, entfernt oder unter Quarantäne stellt
- Produkte mit digitalen Elementen mit VPN-Funktionalität
- Netzwerkmanagementsysteme
- SIEM-Systeme (Security Information and Event Management)
- Boot-Manager
- Public-Key-Infrastruktur und Software zur Ausstellung digitaler Zertifikate
- Physische und virtuelle Netzwerkschnittstellen
- Betriebssysteme
- Router, Modems für die Internetverbindung und Switches
- Mikroprozessoren mit sicherheitsrelevanten Funktionen
- Mikrocontroller mit sicherheitsrelevanten Funktionen
- Anwendungsspezifische integrierte Schaltungen (ASIC) und feldprogrammierbare Gate-Arrays (FPGA) mit sicherheitsbezogenen Funktionen
- Allzweck-Sprachassistenten für Smart Home
- Smart-Home-Produkte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Sicherheitskameras, Babyüberwachungssysteme und Alarmsysteme
- Internet-verbundenes Spielzeug, die von der Richtlinie 2009/48/EG abgedeckt werden und soziale interaktive Funktionen (z. B. Sprechen oder Filmen) oder Ortungsfunktionen haben
- Persönliche tragbare Produkte zur Gesundheitsüberwachung, die nicht unter die Verordnung (EU) 2017/745 über Medizinprodukte oder die Verordnung (EU) 2017/746 über In-vitro-Diagnostika fallen, sowie tragbare Produkte für Kinder
Wichtig Klasse II (Anhang III, Teil II)
Produkte mit höherem Risiko, die eine obligatorische Drittbewertung erfordern.
Konformitätsbewertung: Drittbewertung (Notifizierte Stelle) erforderlich. Keine Selbstbewertungsoption.
Vollständige Liste aus Anhang III, Teil II:
- Hypervisors und Container-Laufzeitsysteme, die die virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
- Firewalls, Systeme zur Erkennung und Verhinderung von Eindringlingen
- Manipulationssichere Mikroprozessoren
- Manipulationssichere Mikrocontroller
Kritische Produkte (Anhang IV)
Die Kategorie mit dem höchsten Risiko. Hardware-Sicherheitsmodule und Ähnliches.
Konformitätsbewertung: Drittbewertung PLUS Europäische Cybersicherheitszertifizierung (EUCC) auf „wesentlichem“ Niveau oder höher.
Vollständige Liste aus Anhang IV:
- Hardware-Geräte mit Sicherheitsboxen
- Smart-Meter-Gateways innerhalb intelligenter Messsysteme gemäß der Definition in Artikel 2 Nummer 23 der Richtlinie (EU) 2019/944 und andere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich für sicheres Kryptoprozessing
- Smartcards oder ähnliche Geräte, einschließlich sicherer Elemente
Entscheidungsbaum: Finden Sie Ihre Kategorie
Verwenden Sie diesen Prozess zur Klassifizierung Ihres Produkts:
START: Hat Ihr Produkt digitale Elemente?
│
├─ NEIN → Nicht im CRA-Anwendungsbereich. Hier aufhören.
│
└─ JA → Ist es in Anhang IV aufgelistet (Kritische Produkte)?
│
├─ JA → KRITISCH
│ Drittpartei + EUCC-Zertifizierung erforderlich
│
└─ NEIN → Ist es in Anhang III, Teil II aufgelistet (Wichtig Klasse II)?
│
├─ JA → WICHTIG KLASSE II
│ Drittbewertung erforderlich
│
└─ NEIN → Ist es in Anhang III, Teil I aufgelistet (Wichtig Klasse I)?
│
├─ JA → WICHTIG KLASSE I
│ Drittpartei ODER Selbstbewertung mit Normen
│
└─ NEIN → STANDARD
Selbstbewertung (Modul A) erlaubt
Konformitätsbewertungswege nach Kategorie
| Modul | Verfügbar für | Notifizierte Stelle |
|---|---|---|
| A – Interne Fertigungskontrolle | Standard; Klasse I mit angewendeten harmonisierten Normen | Nicht erforderlich |
| B+C – EU-Baumusterprüfung + Fertigungskontrolle | Klasse I ohne Normen; Klasse II; Kritisch | Erforderlich |
| H – Umfassende Qualitätssicherung | Alle Kategorien – Alternative zu B+C | Erforderlich |
| EUCC – EU-Cybersicherheitszertifizierung | Nur Kritisch (Anhang IV), zusätzlich zu B+C oder H | Erforderlich |
Modul A ist der vollständige Selbstbewertungszyklus: technisches Dossier, EU-Konformitätserklärung, CE-Kennzeichnung. Kein externer Prüfer erforderlich.
Modul B+C teilt die Arbeit auf: Eine Notifizierte Stelle prüft ein Baumuster und stellt ein Zertifikat aus (Modul B); der Hersteller stellt anschließend sicher, dass die gesamte Produktion diesem Baumuster entspricht (Modul C).
Modul H ersetzt den produktbezogenen Ansatz durch eine Prüfung des Qualitätsmanagementsystems des Herstellers. Besser geeignet bei umfangreichen Produktportfolios.
EUCC ergänzt Modul B+C oder H für Kritische Produkte. Ausgestellt nach dem EU Cybersecurity Act auf Sicherheitsniveau „wesentlich" oder höher durch eine akkreditierte Konformitätsbewertungsstelle.
Wie klassifizieren Sie ein Produkt, das in mehrere Kategorien fällt?
Produktklassifizierung ist nicht immer offensichtlich. Hier ist eine Anleitung für häufige Fragen:
Multifunktionsprodukte
Regel: Wenn IRGENDEINE Funktion eine höhere Kategorie auslöst, wird das gesamte Produkt auf dieser Ebene klassifiziert.
Beispiel: Ein Smart-Home-Hub, der enthält:
- Grundlegende Automatisierungssteuerung (Standard)
- VPN-Funktionalität (Wichtig Klasse I)
- Sicherheitskamera-Integration (Wichtig Klasse I)
Klassifizierung: Wichtig Klasse I (höchste ausgelöste Kategorie)
Eingebettete Komponenten
Regel: Berücksichtigen Sie, ob sicherheitsrelevante Komponenten die Klassifizierung auslösen.
Beispiel: Ein Verbrauchergerät enthält:
- Allzweck-Mikrocontroller → Standard
- Mikrocontroller „mit sicherheitsrelevanten Funktionen“ → Wichtig Klasse I
Schlüsselfrage: Führt der Mikrocontroller Sicherheitsfunktionen aus (Verschlüsselung, Authentifizierung, Secure Boot)?
Überlegungen zur „bestimmungsgemäßen Verwendung“
Einige Anhang-III-Einträge enthalten spezifische Qualifizierer für die bestimmungsgemäße Verwendung. Beispielsweise gelten bestimmte Spielzeugkategorien nur, wenn sie von der Richtlinie 2009/48/EG erfasst werden und soziale interaktive oder Ortungsfunktionen haben. Tragbare Gesundheitsprodukte sind nur dann Klasse I, wenn sie nicht bereits unter die Verordnung (EU) 2017/745 oder 2017/746 fallen.
Wenn Ihr Produkt in solchen Kontexten verwendet werden könnte, aber nicht speziell dafür vorgesehen ist, gilt die Klassifizierung möglicherweise nicht. Dokumentieren Sie Ihre bestimmungsgemäße Verwendung klar.
Betriebssysteme
Betriebssysteme fallen unter Wichtig Klasse I:
| BS-Typ | Klassifizierung |
|---|---|
| Eingebettetes BS (RTOS, Firmware) | Standard (normalerweise) |
| Betriebssysteme | Wichtig Klasse I |
Beispiel: Eine benutzerdefinierte Linux-Distribution für eingebettete Geräte wäre typischerweise Wichtig Klasse I. Ubuntu Server ist Wichtig Klasse I.
Software vs. Hardware
Die Klassifizierung berücksichtigt das Produkt in der Form, in der es in Verkehr gebracht wird:
- Eigenständige Software: Klassifiziert auf Grundlage der Softwarefunktion
- Hardware mit eingebetteter Software: Klassifiziert auf Grundlage der kombinierten Funktionalität
- Separat verkaufte Softwarekomponente: Unabhängig klassifiziert
Branchenspezifische Anleitung
IoT-Gerätehersteller
Die meisten IoT-Geräte sind Standard, es sei denn, sie:
- Enthalten VPN-Funktionalität → Klasse I
- Sind Smart-Home-Sicherheitsgeräte → Klasse I
- Sind industrielles IoT mit sicherheitsrelevanten Funktionen → Klasse I
- Enthalten manipulationssichere Sicherheitsfunktionen → Klasse II
Softwareunternehmen
Die meiste Software ist Standard, es sei denn, sie ist speziell aufgelistet:
- Browser, Passwort-Manager, Anti-Malware → Klasse I
- Netzwerk-Sicherheitstools (Firewalls, IDS) → Klasse II
- Betriebssysteme → Klasse I
Eingebettete Systeme
Klassifizierung hängt stark ab von:
- Sicherheitsfunktionen von Mikrocontrollern/Prozessoren
- Ob Produkt für industriellen/professionellen Einsatz ist
- Ziel-Einsatzumgebung (kritische Infrastruktur?)
Medizinprodukte
Medizinprodukte sind vom CRA-Anwendungsbereich ausgeschlossen (durch MDR/IVDR abgedeckt). Begleitsoftware oder nicht-medizinische Funktionen können jedoch trotzdem im Anwendungsbereich sein.
Eine Notifizierte Stelle finden
Für Produkte, die eine Drittbewertung erfordern:
- NANDO-Datenbank prüfen: Das offizielle EU-Verzeichnis der Notifizierten Stellen
- Auf CRA-spezifische Benennung achten: Stellen müssen für die CRA-Konformitätsbewertung benannt sein
- Kapazitäten berücksichtigen: Die frühe CRA-Einführung bedeutet eine begrenzte Verfügbarkeit Notifizierter Stellen
- Geografische Nähe: Die Zusammenarbeit mit einer Notifizierten Stelle in Ihrer Region kann einfacher sein
Das Benennungsverfahren für Notifizierte Stellen im Rahmen des CRA ist noch im Gange. Prüfen Sie die NANDO-Datenbank direkt, um die aktuelle Liste der benannten Stellen einzusehen.
Häufige Klassifizierungsfehler
Wichtig: Die Klassifizierung basiert auf der Produktfunktion, nicht auf dem Marktsektor, der Unternehmensgröße oder der Produktkomplexität. Prüfen Sie immer die Listen in Anhang III und IV.
„Verbraucherprodukt = Standard"
Falsch. Die Klassifizierung richtet sich nach der Funktion, nicht nach dem Markt.
Ein intelligentes Türschloss, das an Verbraucher verkauft wird, ist Wichtig Klasse I, weil es ein „Smart-Home-Produkt mit Sicherheitsfunktion" ist, unabhängig vom Verbraucherzielmarkt.
„Wir sind B2B, also niedrigere Klassifizierung"
Falsch. B2B oder B2C hat keinen Einfluss auf die Klassifizierung.
Industrielle IoT-Produkte für Geschäftskunden können je nach Funktion Wichtig Klasse I oder II sein.
„Unser Produkt ist klein oder einfach, also Standard"
Möglicherweise falsch. Größe und Komplexität bestimmen nicht die Klassifizierung.
Ein winziger Mikrocontroller mit Sicherheitsfunktionen kann Wichtig Klasse I sein. Ein großes, komplexes Produkt ohne gelistete Funktionen kann Standard sein.
„Wir haben bereits ISO 27001, also sind wir abgedeckt"
Falsch. ISO 27001 betrifft die organisatorische Informationssicherheit, nicht die Produktkonformitätsbewertung.
Der CRA verlangt eine produktspezifische Konformitätsbewertung unabhängig von organisatorischen Zertifizierungen.
Checkliste zur Produktklassifizierung
CHECKLISTE ZUR PRODUKTKLASSIFIZIERUNG
Produkt: _______________________________________
Datum: _________________________________________
ERSTE ANWENDUNGSBEREICHSPRÜFUNG:
[ ] Produkt hat digitale Elemente (Software und/oder Datenverbindung)
[ ] Produkt wird auf dem EU-Markt bereitgestellt
[ ] Produkt ist nicht ausgeschlossen (Medizin, Automobil, Luftfahrt, Militär)
PRÜFUNG ANHANG IV (KRITISCH):
[ ] Kein Hardware-Gerät mit Sicherheitsbox
[ ] Kein Smart-Meter-Gateway (gemäß Richtlinie (EU) 2019/944 Art. 2 Nummer 23) oder anderes Gerät für fortgeschrittene Sicherheitszwecke
[ ] Keine Smartcard oder ähnliches Gerät, einschließlich sicherer Elemente
Wenn eine der obigen Antworten JA lautet → KRITISCH (hier aufhören)
PRÜFUNG ANHANG III TEIL II (WICHTIG KLASSE II):
[ ] Kein Hypervisor oder Container-Laufzeitsystem
[ ] Keine Firewall, kein System zur Erkennung oder Verhinderung von Eindringlingen
[ ] Kein manipulationssicherer Mikroprozessor
[ ] Kein manipulationssicherer Mikrocontroller
Wenn eine der obigen Antworten JA lautet → WICHTIG KLASSE II (hier aufhören)
PRÜFUNG ANHANG III TEIL I (WICHTIG KLASSE I):
[ ] Vollständige Liste der 19 Kategorien geprüft
[ ] Auswirkungen mehrerer Funktionen berücksichtigt
[ ] Auf sicherheitsrelevante Funktionen in Komponenten geprüft
Wenn eine Kategorie zutrifft → WICHTIG KLASSE I (hier aufhören)
STANDARD:
[ ] Produkt in keinem Anhang aufgeführt
[ ] Klassifizierung: STANDARD
KONFORMITÄTSBEWERTUNGSWEG:
[ ] Modul A (Selbstbewertung) – Standard, Klasse I mit Normen
[ ] Modul B+C (Drittbewertung) – Klasse I ohne Normen, Klasse II
[ ] Modul H (Qualitätssicherung) – Alternative zu B+C
[ ] EUCC-Zertifizierung – nur Kritische Produkte
DOKUMENTATION:
[ ] Begründung der Klassifizierung dokumentiert
[ ] Analyse mehrerer Funktionen abgeschlossen
[ ] Bestimmungsgemäße Verwendung klar definiert
[ ] Notifizierte Stelle identifiziert (falls erforderlich)
Klassifiziert von: ______________________________
Datum: _________________________________________
Häufig gestellte Fragen
Fällt ein Heimrouter für die Internetverbindung unter Wichtig Klasse I oder Standard?
Wichtig Klasse I. Router „für die Verbindung mit dem Internet“ sind in Anhang III Teil I Nummer 12 aufgeführt. Selbstbewertung ist zulässig, wenn einschlägige harmonisierte Normen vollständig angewendet werden. Ohne harmonisierte Norm ist eine Notifizierte Stelle erforderlich. Siehe CRA-Konformitätsbewertungswege.
Gilt der CRA für SaaS-Produkte ohne physische Hardware?
Das kommt darauf an. SaaS, das eine Fernverarbeitung von Daten bietet, die integraler Bestandteil eines Produkts mit digitalen Elementen ist, fällt gemäß Artikel 3(1) in den Anwendungsbereich. Selbständige Webanwendungen ohne zugehörige Hardware können ebenfalls in den Anwendungsbereich fallen, je nach Funktion. Die Klassifizierung erfolgt nach denselben Listen in Anhang III und IV wie bei physischen Produkten.
Wenn mein Produkt Standard- und Klasse-I-Funktionen vereint, welche Kategorie gilt dann?
Die höchste zutreffende Kategorie gilt für das gesamte Produkt. Wenn eine einzige Funktion unter Anhang III oder IV fällt, wird das gesamte Produkt auf dieser Stufe bewertet. Ein Netzwerk-Switch mit integrierter VPN-Funktion ist für das gesamte Gerät Wichtig Klasse I, nicht nur für die VPN-Komponente.
Beeinflusst eine ISO-27001-Zertifizierung die CRA-Produktklassifizierung?
Nein. Die Klassifizierung richtet sich ausschließlich nach der Produktfunktion gemäß Anhang III und IV. Organisatorische Zertifizierungen spielen keine Rolle. ISO 27001 betrifft das Informationssicherheitsmanagement auf Unternehmensebene; der CRA erfordert eine produktspezifische Konformitätsbewertung unabhängig davon, was der Hersteller besitzt. Siehe CRA vs. ISO 27001.
Wann muss die CRA-Produktklassifizierung festgelegt werden?
Vor der Bereitstellung auf dem EU-Markt. Die Klassifizierung bestimmt den Konformitätsbewertungsweg, der abgeschlossen sein muss, bevor die CE-Kennzeichnung angebracht und die EU-Konformitätserklärung ausgestellt werden kann. Siehe den CRA-Implementierungszeitplan für die wesentlichen Fristen.
Wo finde ich eine Notifizierte Stelle für die CRA-Konformitätsbewertung?
Die NANDO-Datenbank unter nando.ec.europa.eu ist das offizielle EU-Verzeichnis der Notifizierten Stellen. CRA-spezifische Benennungen werden noch ausgerollt; prüfen Sie direkt die unter Verordnung (EU) 2024/2847 gelisteten Stellen. Das BSI veröffentlicht ergänzende Hinweise zur Umsetzung in Deutschland. Für Produkte der Wichtig Klasse I ist eine Notifizierte Stelle nur dann erforderlich, wenn keine einschlägige harmonisierte Norm angewendet wird.
Nächste Schritte
CRA-Compliance für mehrere Produkte verwalten? CRA Evidence verfolgt Klassifizierung, Konformitätswege und Dokumentation zentral.
Wenn Sie Ihre Klassifizierung kennen, ist der nächste Schritt Ihr Konformitätsbewertungsweg. Prüfen Sie den CRA-Implementierungszeitplan für wichtige Fristen. Alle Kategorien, unabhängig von der Stufe, benötigen ein SBOM. Siehe den Leitfaden zu SBOM-Anforderungen.
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie bitte qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.
Verwandte Artikel
Gilt der CRA für Ihr Produkt?
Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.
Bereit für CRA-Konformität?
Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.