CRA-Produktklassifizierung: Ist Ihr Produkt Standard, Wichtig oder Kritisch?

Ihr CRA-Konformitätsbewertungsweg und die Kosten hängen von Ihrer Produktklassifizierung ab. "Wichtige" und "Kritische" Produkte unterliegen einer obligatorischen Drittbewertung. "Standard"-Produkte können selbst zertifiziert werden.

Dieser Leitfaden hilft Ihnen, Ihre Kategorie zu bestimmen und was das für die Compliance bedeutet.

Die vier CRA-Produktkategorien

Der CRA klassifiziert Produkte mit digitalen Elementen in vier Stufen basierend auf dem Cybersicherheitsrisiko:

┌─────────────────────────────────────────────────────────────┐
│                   CRA-PRODUKTKATEGORIEN                      │
├───────────────┬───────────────┬───────────────┬─────────────┤
│   STANDARD    │   WICHTIG     │   WICHTIG     │  KRITISCH   │
│               │   KLASSE I    │   KLASSE II   │             │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ Selbst-       │ Selbst-       │ Drittpartei   │ Drittpartei │
│ bewertung     │ bewertung     │ ERFORDERLICH  │ ERFORDERLICH│
│ (Modul A)     │ FALLS harmon. │               │ + EUCC      │
│               │ Normen        │               │ Zertifizie- │
│               │               │               │ rung        │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ ~90% der      │ Aufgelistet   │ Aufgelistet   │ Aufgelistet │
│ Produkte      │ in Anhang III │ in Anhang III │ in Anhang   │
│               │ Teil I        │ Teil II       │ IV          │
└───────────────┴───────────────┴───────────────┴─────────────┘

Standard-Produkte

Die große Mehrheit der Produkte fällt hierunter. Wenn Ihr Produkt nicht speziell in Anhang III oder IV aufgeführt ist, ist es "Standard".

Konformitätsbewertung: Selbstbewertung (Modul A) ist ausreichend.

Beispiele:

• Einfache IoT-Sensoren
• Grundlegende Unterhaltungselektronik
• Standard-Business-Software
• Allzweck-Anwendungen
• Nicht vernetzte eingebettete Geräte

Wichtig Klasse I (Anhang III, Teil I)

Produkte mit erhöhtem Risiko aufgrund ihrer Funktion oder Nutzerbasis.

Konformitätsbewertung: Selbstbewertung erlaubt, WENN Sie relevante harmonisierte Normen vollständig anwenden. Andernfalls ist Drittbewertung erforderlich.

Vollständige Liste aus Anhang III, Teil I:

1. Identitätsmanagementsysteme und Software/Hardware für privilegiertes Zugriffsmanagement
2. Eigenständige Webbrowser
3. Passwort-Manager
4. Software zum Suchen, Entfernen oder Quarantänisieren von Malware
5. Produkte mit digitalen Elementen mit VPN-Funktionalität
6. Netzwerkmanagementsysteme
7. SIEM-Systeme (Security Information and Event Management)
8. Boot-Manager
9. Public-Key-Infrastruktur und Software zur Ausstellung digitaler Zertifikate
10. Physische und virtuelle Netzwerkschnittstellen
11. Betriebssysteme, die nicht unter Klasse II fallen
12. Router und Modems für Internetverbindung vorgesehen
13. Mikroprozessoren mit sicherheitsrelevanten Funktionen
14. Mikrocontroller mit sicherheitsrelevanten Funktionen
15. ASICs (anwendungsspezifische integrierte Schaltkreise) mit sicherheitsrelevanten Funktionen
16. FPGAs (Field Programmable Gate Arrays) mit sicherheitsrelevanten Funktionen
17. Allzweck-Sprachassistenten für Smart Home
18. Smart-Home-Produkte mit Sicherheitsfunktionen (Türschlösser, Kameras, Babymonitore, Alarmsysteme)
19. Internet-verbundenes Spielzeug mit sozialen interaktiven Funktionen oder Standortverfolgung
20. Persönliche tragbare Produkte zur Gesundheitsüberwachung (keine Medizinprodukte)

Wichtig Klasse II (Anhang III, Teil II)

Produkte mit höherem Risiko, die eine obligatorische Drittbewertung erfordern.

Konformitätsbewertung: Drittbewertung (Benannte Stelle) erforderlich. Keine Selbstbewertungsoption.

Vollständige Liste aus Anhang III, Teil II:

1. Hypervisoren und Container-Laufzeitsysteme zur Unterstützung virtualisierter Ausführung
2. Firewalls, Intrusion-Detection- und Prevention-Systeme (Netzwerkebene)
3. Manipulationssichere Mikroprozessoren
4. Manipulationssichere Mikrocontroller
5. Betriebssysteme für Server, Desktops und mobile Geräte
6. Industrielle Automatisierungs- und Steuerungssysteme (IACS) für wesentliche Einrichtungen unter NIS 2
7. Industrial Internet of Things, das nicht anderweitig abgedeckt ist
8. Roboter-Sensorik- und Aktorikkomponenten für industriellen/professionellen Einsatz
9. Smart-Meter-Gateways für Smart-Metering-Systeme vorgesehen

Kritische Produkte (Anhang IV)

Die Kategorie mit dem höchsten Risiko. Hardware-Sicherheitsmodule und Ähnliches.

Konformitätsbewertung: Drittbewertung PLUS Europäische Cybersicherheitszertifizierung (EUCC) auf "wesentlichem" Niveau oder höher.

Vollständige Liste aus Anhang IV:

1. Hardware-Geräte mit Sicherheitsboxen
2. Smart-Meter-Gateways innerhalb fortgeschrittener Messinfrastruktur
3. Smartcard- oder ähnliche Gerätelesegeräte
4. Token für Sicherheits-/Kryptographiezwecke (Hardware)
5. Hardware-Sicherheitsmodule (HSMs)
6. Smartcards oder ähnliche Geräte, einschließlich sicherer Elemente
7. Sichere Kryptoprozessoren

Entscheidungsbaum: Finden Sie Ihre Kategorie

Verwenden Sie diesen Prozess zur Klassifizierung Ihres Produkts:

START: Hat Ihr Produkt digitale Elemente?
│
├─ NEIN → Nicht im CRA-Anwendungsbereich. Hier aufhören.
│
└─ JA → Ist es in Anhang IV aufgelistet (Kritische Produkte)?
     │
     ├─ JA → KRITISCH
     │        Drittpartei + EUCC-Zertifizierung erforderlich
     │
     └─ NEIN → Ist es in Anhang III, Teil II aufgelistet (Wichtig Klasse II)?
          │
          ├─ JA → WICHTIG KLASSE II
          │        Drittbewertung erforderlich
          │
          └─ NEIN → Ist es in Anhang III, Teil I aufgelistet (Wichtig Klasse I)?
               │
               ├─ JA → WICHTIG KLASSE I
               │        Drittpartei ODER Selbstbewertung mit Normen
               │
               └─ NEIN → STANDARD
                          Selbstbewertung (Modul A) erlaubt

Konformitätsbewertungswege nach Kategorie

Modul A: Interne Fertigungskontrolle (Selbstbewertung)

Verfügbar für: Standard-Produkte, Wichtig Klasse I (mit harmonisierten Normen)

Was es beinhaltet:

• Hersteller führt interne Bewertung durch
• Dokumentiert Konformität in technischem Dossier
• Stellt EU-Konformitätserklärung aus
• Bringt CE-Kennzeichnung an
• Kein externer Prüfer erforderlich

Wann zu verwenden: Die meisten Produkte. Kostengünstig für Standard-Kategorie.

Modul B+C: EU-Baumusterprüfung + Produktionskontrolle

Erforderlich für: Wichtig Klasse II, Kritisch (oder Wichtig Klasse I ohne Normen)

Was es beinhaltet:

• Modul B: Benannte Stelle prüft ein Baumuster und technische Dokumentation
• Modul C: Hersteller stellt sicher, dass Produktion dem geprüften Baumuster entspricht
• Benannte Stelle stellt Zertifikat für Modul B aus
• Hersteller stellt DoC auf Basis beider aus

Wann zu verwenden: Wenn Drittbewertung obligatorisch oder für Glaubwürdigkeit gewünscht ist.

Modul H: Umfassende Qualitätssicherung

Verfügbar für: Alle Kategorien als Alternative zu B+C

Was es beinhaltet:

• Benannte Stelle bewertet das Qualitätsmanagementsystem des Herstellers
• Deckt Design, Produktion und Prüfung ab
• Laufende Überwachungsaudits
• Gut geeignet für Hersteller mit vielen Produkten

Wann zu verwenden: Hersteller mit hohem Volumen und ausgereiften Qualitätssystemen.

EUCC-Zertifizierung (nur für kritische Produkte)

Erforderlich für: Kritische Produkte (Anhang IV)

Was es beinhaltet:

• Zertifizierung nach EU Cybersecurity Act
• Mindestens "wesentliches" Sicherheitsniveau
• Durchgeführt von akkreditierten Konformitätsbewertungsstellen
• Zusätzlich zur Standard-Konformitätsbewertung

Grenzfälle: Wie entscheiden

Produktklassifizierung ist nicht immer offensichtlich. Hier ist eine Anleitung für häufige Fragen:

Multifunktionsprodukte

Regel: Wenn IRGENDEINE Funktion eine höhere Kategorie auslöst, wird das gesamte Produkt auf dieser Ebene klassifiziert.

Beispiel: Ein Smart-Home-Hub, der enthält:

• Grundlegende Automatisierungssteuerung (Standard)
• VPN-Funktionalität (Wichtig Klasse I)
• Sicherheitskamera-Integration (Wichtig Klasse I)

Klassifizierung: Wichtig Klasse I (höchste ausgelöste Kategorie)

Eingebettete Komponenten

Regel: Berücksichtigen Sie, ob sicherheitsrelevante Komponenten die Klassifizierung auslösen.

Beispiel: Ein Verbrauchergerät enthält:

• Allzweck-Mikrocontroller → Standard
• Mikrocontroller "mit sicherheitsrelevanten Funktionen" → Wichtig Klasse I

Schlüsselfrage: Führt der Mikrocontroller Sicherheitsfunktionen aus (Verschlüsselung, Authentifizierung, Secure Boot)?

Überlegungen zur "bestimmungsgemäßen Verwendung"

Mehrere Anhang-III-Elemente spezifizieren die bestimmungsgemäße Verwendung:

• "Industrielle Automatisierungs- und Steuerungssysteme für wesentliche Einrichtungen vorgesehen"
• "Smart-Meter-Gateways für Smart-Metering-Systeme vorgesehen"

Wenn Ihr Produkt in diesen Kontexten verwendet werden könnte, aber nicht speziell dafür vorgesehen ist, gilt die Klassifizierung möglicherweise nicht. Dokumentieren Sie Ihre bestimmungsgemäße Verwendung klar.

Betriebssysteme

Betriebssysteme sind auf mehrere Kategorien verteilt:

Beispiel: Eine benutzerdefinierte Linux-Distribution für eingebettete Geräte wäre typischerweise Wichtig Klasse I. Ubuntu Server wäre Wichtig Klasse II.

Branchenspezifische Anleitung

IoT-Gerätehersteller

Die meisten IoT-Geräte sind Standard, es sei denn, sie:

• Enthalten VPN-Funktionalität → Klasse I
• Sind Smart-Home-Sicherheitsgeräte → Klasse I
• Sind industrielles IoT → Klasse I oder II
• Enthalten manipulationssichere Sicherheitsfunktionen → Klasse II

Softwareunternehmen

Die meiste Software ist Standard, es sei denn, sie ist speziell aufgelistet:

• Browser, Passwort-Manager, Anti-Malware → Klasse I
• Netzwerk-Sicherheitstools (Firewalls, IDS) → Klasse II
• Server-/Desktop-Betriebssysteme → Klasse II

Eingebettete Systeme

Klassifizierung hängt stark ab von:

• Sicherheitsfunktionen von Mikrocontrollern/Prozessoren
• Ob Produkt für industriellen/professionellen Einsatz ist
• Ziel-Einsatzumgebung (kritische Infrastruktur?)

Medizinprodukte

Medizinprodukte sind vom CRA-Anwendungsbereich ausgeschlossen (durch MDR/IVDR abgedeckt). Begleitsoftware oder nicht-medizinische Funktionen können jedoch trotzdem im Anwendungsbereich sein.

Was Klassifizierung für Ihren Zeitplan bedeutet

Höhere Klassifizierungen erfordern mehr Vorbereitungszeit:

Jetzt beginnen. Wenn Sie feststellen, dass Sie Klasse II oder Kritisch sind, brauchen Sie Vorlauf für die Zusammenarbeit mit Benannten Stellen.

Wie CRA Evidence hilft

CRA Evidence beinhaltet integrierte Produktklassifizierungsunterstützung:

• Geführter Klassifizierungsassistent: Beantworten Sie Fragen, erhalten Sie Ihre Kategorie
• Anhang-Zuordnung: Verfolgen Sie, welche Anforderungen gelten
• Konformitätsweg-Anleitung: Verstehen Sie Ihre Bewertungsoptionen
• Dokumentationsvorlagen: Kategoriespezifische technische Dossierstruktur

Starten Sie Ihre Klassifizierungsbewertung auf app.craevidence.com.

Nächster Schritt: Sobald Sie Ihre Klassifizierung kennen, bestimmen Sie Ihren Konformitätsbewertungsweg.

Zeitplan: Prüfen Sie den CRA-Implementierungszeitplan für wichtige Fristen.

SBOMs: Alle Kategorien benötigen SBOMs. Lesen Sie unseren Leitfaden zu SBOM-Anforderungen.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie bitte qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.