Der Cyber Resilience Act gibt Herstellern drei Wege zur Konformitätsvermutung für die Anforderungen aus Anhang I. Zwei führen über Normen. Der dritte kann über eine Zertifizierung führen, sobald die Kommission ein geeignetes europäisches Schema für die Cybersicherheitszertifizierung anerkennt. Diese Seite erklärt diesen Weg, zeigt, wo das europäische, auf Common Criteria basierende Cybersicherheitszertifizierungsschema (EUCC) als das derzeit aktive Schema einzuordnen ist, und hält fest, was bereits in Kraft ist und was noch nicht.
Kurzüberblick
- Zertifizierung kann der dritte Weg des CRA zur Konformitätsvermutung sein. Er steht neben harmonisierten Normen und gemeinsamen Spezifikationen.
- Der Weg führt über ein europäisches Schema für die Cybersicherheitszertifizierung, das im Rahmen des Cybersecurity Act, Verordnung (EU) 2019/881, angenommen wurde. EUCC ist das aktive Schema.
- Ein Zertifikat gilt nur, soweit es die Anforderungen abdeckt. Es begründet die Konformitätsvermutung für die von ihm abgedeckten Anforderungen aus Anhang I, nicht automatisch für alle.
- Ein Zertifikat der Vertrauenswürdigkeitsstufe „mittel" würde die Drittbewertung für die abgedeckten Anforderungen aufheben, aber erst, wenn der delegierte Rechtsakt in Kraft ist, der diesen Weg aktiviert.
- Es kommt vor allem bei den kritischen Produkten in Anhang IV an, weil die Kommission dort ein Zertifikat verpflichtend vorschreiben kann.
- Er ist noch nicht aktiviert. Stand 15. Juni 2026 erkennt kein Rechtsakt verwendbare Schemata an oder schreibt ein Zertifikat verpflichtend vor. EUCC ersetzt den CRA-Konformitätsweg noch nicht und hebt die Drittbewertung noch nicht auf.
Was ein EUCC-Zertifikat ist und seine Vertrauenswürdigkeitsstufen
EUCC ist das europäische, auf Common Criteria basierende Cybersicherheitszertifizierungsschema. ENISA hat es erarbeitet, und die Kommission hat es als Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 angenommen. Es gilt seit dem 27. Februar 2025. Es ist das erste Schema, das im Rahmen des Cybersecurity Act angenommen wurde. Es baut auf Common Criteria auf, dem langjährigen internationalen Standard zur Bewertung der Sicherheit von IT-Produkten, veröffentlicht als ISO/IEC 15408.
Das Schema ist bereits in Betrieb. Zertifizierungsstellen stellen EUCC-Zertifikate seit April 2025 aus, und das offizielle ENISA-Zertifikatsregister wies Stand 15. Juni 2026 37 davon aus. Keines trägt bislang die CRA-Konformitätsvermutung: Sie zeigen, dass das Schema funktioniert, nicht dass ein Zertifikat bereits den CRA erfüllt.
Viele der bisher ausgestellten Zertifikate betreffen sichere Chips, Chipkarten und ähnliche Hardware, die sich mit den hardwarelastigen kritischen Kategorien des CRA überschneiden. Nicht alle: Auch Netzwerk- und Softwareprodukte werden zertifiziert, und diese fallen in den allgemeinen Anwendungsbereich des CRA, nicht in seine kritische Liste.
EUCC stellt Zertifikate auf zwei Vertrauenswürdigkeitsstufen aus, „mittel" und „hoch". Die beiden unterscheiden sich darin, wie intensiv das Produkt geprüft wird. EUCC misst das auf der Common-Criteria-Skala zur Schwachstellenbewertung, bezeichnet als AVA_VAN, die von 1 bis 5 reicht. Je höher die Zahl, desto gründlicher prüft ein unabhängiges Labor, wie das Produkt Angriffen standhält.
| EUCC-Stufe | AVA_VAN | Prüftiefe | CRA-Wirkung |
|---|---|---|---|
| mitteldie niedrigere der beiden | AVA_VAN 1 bis 2von 5 | Unabhängige Schwachstellenprüfung in Standardtiefe. | Würde die Dispens-Schwelle erfüllen. |
| hochdie höhere der beiden | AVA_VAN 3 bis 5von 5 | Eine tiefere Analyse, geprüft gegen Angreifer mit erheblichen Fähigkeiten und Ressourcen. | Würde die Schwelle übersteigen. |
Der CRA knüpft seinen Dispens von der Drittbewertung an mindestens die Vertrauenswürdigkeitsstufe „mittel", sodass beide EUCC-Stufen qualifizieren würden, sobald der Dispens in Kraft ist.
Zertifizierung als dritter CRA-Weg zur Konformitätsvermutung
Die Konformitätsvermutung ist eine anerkannte Abkürzung. Wer einen der Wege erfüllt, dem wird unterstellt, sein Produkt entspreche den von diesem Weg abgedeckten Anforderungen. Der Cyber Resilience Act sieht drei mögliche Wege vor, und die Zertifizierung ist der dritte, sobald sie für den CRA anerkannt ist.
Die drei Wege und ihr heutiger Stand:
| Weg | Worauf er beruht | CRA-Status heute |
|---|---|---|
| Harmonisierte Normen | eine Norm, deren Fundstelle im Amtsblatt veröffentlicht ist | keine Norm veröffentlicht |
| Gemeinsame Spezifikationen | Durchführungsrechtsakte der Kommission | keine angenommen |
| Zertifizierungsschema | eine EU-Konformitätserklärung oder ein Zertifikat im Rahmen eines anerkannten Schemas | kein Schema für den CRA anerkannt |
Die ersten beiden verlaufen über Normen; der Tracker für harmonisierte Normen verfolgt sie im Detail. Der dritte führt über eine Zertifizierung. Ist dieser Weg betriebsbereit, kann bei einem Produkt mit einer EU-Konformitätserklärung oder einem Zertifikat im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung die Konformität vermutet werden. Diese Vermutung erstreckt sich nur auf die von der Erklärung oder dem Zertifikat abgedeckten Anforderungen, nicht auf den gesamten Anhang I. Das Schema muss eines sein, das im Rahmen des Cybersecurity Act, Verordnung (EU) 2019/881, angenommen wurde.
Wie ein EUCC-Zertifikat erlangt wird
EUCC ist keine Selbsterklärung. Ein Hersteller oder Anbieter arbeitet mit einer Zertifizierungsstelle zusammen, und die Bewertung führt ein akkreditiertes Labor durch. Das ist auch eine erhebliche Investition: Eine vollständige Bewertung durch eine Zertifizierungsstelle bewegt sich typischerweise im sechsstelligen Bereich, was einer der Gründe ist, warum die meisten Teams sie erst nach den Anhang-I-Nachweisen angehen. Für die Vertrauenswürdigkeitsstufe „hoch" stellt EUCC zusätzliche Zulassungsanforderungen an die Zertifizierungsstelle und das Labor.
Ein Teil der Nachweise, die Sie für den CRA aufbauen, überschneidet sich mit dem, was eine Bewertung braucht: eine Risikobewertung, Verfahren zur Schwachstellenbehandlung und technische Dokumentation. EUCC verlangt darüber hinaus mehr, unter anderem ein Security Target, das Dokument, das genau festlegt, welches Produkt, welche Konfiguration und welche Sicherheitsfunktionen bewertet werden, sowie die detaillierten Design- und Testnachweise, die Common Criteria für die gewählte Vertrauenswürdigkeitsstufe vorschreibt.
Ein EUCC-Zertifikat ist keine einmalige Freigabe. Eine Zertifizierungsstelle legt die Gültigkeitsdauer auf bis zu fünf Jahre fest. Während der Gültigkeitsdauer hat der Zertifikatsinhaber laufende Pflichten:
- Schwachstellenbehandlung: Schwachstellenverwaltungs- und -offenlegungsverfahren betreiben.
- Folgenabschätzung: die Auswirkungen neuer Schwachstellen bewerten, sobald sie bekannt werden.
- Vertrauenswürdigkeitserhalt: die Vertrauenswürdigkeit des Produkts durch Patches und Neubewertungen aufrechterhalten.
Vieles davon deckt sich mit den Schwachstellenbehandlungspflichten des CRA.
Dieser Prozess ist vom CRA-Weg getrennt. Er kann nützliche Nachweise liefern, entfaltet aber keine CRA-Rechtswirkung, solange die Kommission das Schema nicht anerkennt.
Wie EUCC und CRA zusammenpassen
CRA und EUCC sind verschiedene Arten von Rechtsinstrumenten, die leicht zu verwechseln sind. Der CRA ist eine verbindliche Verordnung: das Recht, das ein Produkt erfüllen muss. EUCC ist ein freiwilliges Zertifizierungsschema: ein Weg, nachzuweisen, dass ein Produkt einen Teil davon erfüllt.
| Cyber Resilience Act | EUCC | |
|---|---|---|
| Art | verbindliche EU-Verordnung | freiwilliges Zertifizierungsschema |
| Rechtsgrundlage | Verordnung (EU) 2024/2847 | Cybersecurity Act (Verordnung (EU) 2019/881), Schema in Verordnung (EU) 2024/482 |
| Gilt für | alle Produkte mit digitalen Elementen auf dem EU-Markt | IT-Produkte, die nach Common Criteria bewertet werden |
| Risikoeinstufung | Standard, wichtig, kritisch | Vertrauenswürdigkeitsstufen „mittel" und „hoch" |
| Durchsetzung | verpflichtend, mit Sanktionen | freiwillig, sofern der CRA es nicht für eine kritische Kategorie verpflichtend macht |
Beide überschneiden sich dort, wo es darauf ankommt. EUCC betrachtet die Sicherheitsfunktionen eines Produkts und den Umgang des Herstellers mit Schwachstellen. Vieles davon deckt sich mit den grundlegenden Cybersicherheitsanforderungen des CRA. ENISA hat eine EUCC-CRA-Mapping-Studie veröffentlicht, um zu untersuchen, wie eine EUCC-Zertifizierung die CRA-Konformität unterstützen könnte. Diese Arbeit ist technische Vorarbeit, keine automatische Rechtswirkung.
Was ein Zertifikat der Stufe „mittel" aufheben würde
Ein weiterer Teil des Rechts würde einem Zertifikat unter dem CRA echtes Gewicht verleihen, ist aber noch nicht in Kraft. Er bewirkt zweierlei, sobald die Kommission tätig wird:
- Schemata anerkennen: Durch delegierten Rechtsakt legt die Kommission fest, welche Zertifizierungsschemata die Konformität mit den Anforderungen nachweisen können. Bis ein solcher Rechtsakt ein Schema benennt, ist keines für die CRA-Konformität förmlich anerkannt.
- Drittbewertung aufheben: Ein Zertifikat auf mindestens Vertrauenswürdigkeitsstufe „mittel" würde die Pflicht des Herstellers aufheben, für die von diesem Zertifikat abgedeckten Anforderungen eine Drittbewertung durchzuführen. Dieser Dispens entspricht den Wegen nach Modul B+C und Modul H, die sonst eine notifizierte Stelle durchführen würde.
Der Leitfaden zur Konformitätsbewertung erläutert diese Module.
Kritische Produkte: wann Zertifizierung verpflichtend werden kann
Bei den meisten Produkten ist die Zertifizierung freiwillig. Bei den kritischen Produktkategorien kann sie verpflichtend werden.
Die Kommission kann vorschreiben, dass diese Produkte ein europäisches Cybersicherheitszertifikat auf mindestens Vertrauenswürdigkeitsstufe „mittel" besitzen müssen. Das muss sie durch delegierten Rechtsakt tun, und nur dann, wenn ein die Kategorie abdeckendes Schema angenommen worden ist und den Herstellern zur Verfügung steht. Die kritischen Kategorien in Anhang IV sind:
- Hardwaregeräte mit Sicherheitsboxen
- Smart-Meter-Gateways in intelligenten Messsystemen sowie andere Geräte für fortgeschrittene Sicherheitszwecke einschließlich der sicheren Kryptoverarbeitung
- Chipkarten oder ähnliche Geräte einschließlich Sicherheitselemente
EUCC ist das aktive Schema, das am ehesten auf diese hardwarelastige Liste passt.
Bis die Kommission einen solchen Rechtsakt annimmt, sind diese Produkte nicht zur Zertifizierung verpflichtet. Sie folgen stattdessen den üblichen Konformitätsbewertungsverfahren, denselben Drittbewertungswegen wie andere regulierte Produkte. Der Produktklassifizierungsleitfaden zeigt, wo ein Produkt einzuordnen ist.
Aktueller Stand: Zertifizierungsweg für den CRA noch nicht aktiviert
Stand 15. Juni 2026: Der Zertifizierungsweg existiert im CRA, ist aber noch nicht betriebsbereit. Die Kommission hat weder den delegierten Rechtsakt angenommen, der die Schemata benennen würde, die CRA-Konformität nachweisen können, noch einen, der ein Zertifikat für eine Anhang-IV-Kategorie verpflichtend macht. Ein EUCC-Zertifikat ist daher wertvolle Vorbereitung, aber heute keine CRA-Abkürzung. Es hebt noch keine Drittbewertung auf.
Es gibt keine Frist dafür, diesen Weg zu aktivieren. Die Verordnung erlaubt der Kommission zu handeln, verpflichtet sie aber zu keinem Datum, und kein Rechtsakt ist angenommen. Die eigenen Pflichten des Cyber Resilience Act gelten ab dem 11. Dezember 2027, unabhängig davon, ob der Weg aktiv ist. Wenn ein künftiger Rechtsakt die Zertifizierung für eine kritische Kategorie verpflichtend machen sollte, muss er zuerst einen Übergangszeitraum von mindestens sechs Monaten vorsehen.
Die Kommission hat in der Zwischenzeit andere CRA-Rechtsakte angenommen, weshalb die Lücke leicht falsch eingeschätzt wird:
| Rechtsakt | Datum | Was er bewirkt | Berührt Zertifizierung? |
|---|---|---|---|
| Delegierte Verordnung (EU) 2025/1535 der Kommission | 29. Juli 2025 | schließt bestimmte Fahrzeuge nach Verordnung (EU) Nr. 168/2013 vom Geltungsbereich des CRA aus | nein |
| Durchführungsverordnung (EU) 2025/2392 der Kommission | 28. November 2025 | legt die technischen Beschreibungen der wichtigen und kritischen Produktkategorien fest | nein |
| Delegierte Verordnung (EU) 2026/881 der Kommission | 11. Dezember 2025, veröffentlicht 20. April 2026 | legt Bedingungen für die Verzögerung der Verbreitung bestimmter Schwachstellen- und Vorfallmeldungen fest | nein |
ENISA hat die Vorarbeit geleistet. Ihr Bericht „Cyber Resilience Act Implementation via EUCC and Its Applicable Technical Elements" legt dar, wie EUCC die Anforderungen des CRA tragen könnte, und beschreibt das technische Mapping, das dafür nötig wäre. Er ist ein Vorschlag und ein Werkzeugkasten, kein Schalter. Die Rechtswirkung wartet weiterhin auf den delegierten Rechtsakt, den die Kommission nicht angenommen hat.
Unsere Einschätzung: EUCC jetzt verfolgen oder abwarten?
Die Abschnitte oben geben die regulatorische Lage wieder. Die beiden Kästen unten sind unsere Lesart als Praktiker. Sie sind Meinung, keine Rechtsberatung und keine Aussage darüber, was die Verordnung verlangt.
Ein EUCC-Zertifikat ist heute nicht der schnellste CRA-Weg. Der delegierte Rechtsakt, der ihm CRA-Wirkung verleihen würde, ist nicht angenommen. Für die meisten Hersteller liegt der höhere Wert in den Anhang-I-Nachweisen, die ohnehin jeder Weg braucht: eine Risikobewertung, eine SBOM, Schwachstellenbehandlung und technische Dokumentation. Die Zertifizierung kann später darauf aufbauen. Drei Fälle ändern die Rechnung. Sie gehören zu einer kritischen Kategorie, für die künftig ein Mandat droht. Sie halten bereits Common-Criteria-Zertifikate oder streben sie an. Oder Ihre Kunden verlangen eines. In diesen Fällen ist ein früher Start vernünftig.
Der Dispens, den alle wollen, hängt von einem delegierten Rechtsakt ab, den die Kommission nicht angenommen hat. Wir lesen ihn als nicht verfügbar, bis dieser Rechtsakt vorliegt, weil das Recht den Dispens daran knüpft. Wer sagt, ein EUCC-Zertifikat hebe bereits die CRA-Bewertung auf, übersieht diese Bedingung. Wir würden einen Konformitätsweg nicht auf dieser Grundlage planen. Von den drei Wegen halten wir die Zertifizierung für die konkreteste Infrastruktur im Bau, und die EUCC-Brücke ist der Teil, den es zu beobachten gilt: Auf der EU-Cybersicherheits-Zertifizierungskonferenz 2026 signalisierte die Kommission, dass sie bis Ende 2026 festlegen will, wie der EUCC die CRA-Konformität trägt. Behandeln Sie das als Ziel, nicht als Zusage: Kein Rechtsakt ist angenommen, und der Termin kann sich verschieben.
Häufig gestellte Fragen
Begründet ein EUCC-Zertifikat bereits die CRA-Konformitätsvermutung?
Nicht mit dem heutigen EUCC. Der Zertifizierungsweg existiert im CRA, aber die Kommission muss noch festlegen, welche Schemata für die CRA-Konformität zählen. Dieser Rechtsakt ist nicht angenommen. Ein EUCC-Zertifikat kann starke Vorbereitung sein, steht aber noch nicht für den CRA-Konformitätsweg.
Was ist der Unterschied zwischen CRA und EUCC?
Der CRA ist eine verbindliche EU-Verordnung, die für jedes Produkt mit digitalen Elementen gilt. EUCC ist ein freiwilliges Zertifizierungsschema auf Basis von Common Criteria. Den CRA müssen Sie erfüllen; ein EUCC-Zertifikat ist eine Entscheidung. Beide verbinden sich dadurch, dass ein Zertifikat als ein Weg dienen kann, die CRA-Konformität nachzuweisen. Das funktioniert nur für die abgedeckten Anforderungen und erst, wenn das Schema förmlich anerkannt ist. Das ist noch nicht geschehen.
Ist eine EUCC-Zertifizierung nach dem CRA verpflichtend?
Derzeit nicht. Zertifizierung ist für die meisten Produkte freiwillig. Für die kritischen Kategorien in Anhang IV kann die Kommission ein Zertifikat durch delegierten Rechtsakt verpflichtend machen. Das ist nur möglich, wenn ein die betreffende Kategorie abdeckendes Schema angenommen ist und den Herstellern zur Verfügung steht. Ein solcher Rechtsakt existiert noch nicht, sodass kein Produkt zur Zertifizierung verpflichtet ist. Diese Produkte folgen bis zu einer Änderung den üblichen Drittbewertungswegen.
Welche Vertrauenswürdigkeitsstufe verlangt der CRA?
Für den künftigen Dispens mindestens „mittel". EUCC stellt Zertifikate auf den Stufen „mittel" und „hoch" aus, sodass auch ein Zertifikat der Stufe „hoch" qualifizieren würde. Der Dispens selbst hängt noch davon ab, dass der delegierte Rechtsakt in Kraft tritt, was er nicht ist.
Was unterscheidet den Zertifizierungsweg von harmonisierten Normen?
Beide sind zwei Wege zur selben Konformitätsvermutung. Eine harmonisierte Norm wirkt, sobald ihre Fundstelle im Amtsblatt veröffentlicht ist. Für ein wichtiges Produkt der Klasse I kann eine veröffentlichte Norm die Selbstbewertung ermöglichen. Ein Zertifikat wirkt, sobald ein Schema anerkannt ist. Auf der Stufe „mittel" würde es die Drittbewertung für die abgedeckten Anforderungen aufheben. Heute ist keiner der Wege für den CRA vollständig betriebsbereit: Keine harmonisierte Norm ist veröffentlicht, und kein Zertifizierungsschema ist anerkannt.
Deckt ein EUCC-Zertifikat die Schwachstellenbehandlungsanforderungen aus Anhang I Teil II ab?
Das hängt vom Geltungsbereich des Zertifikats ab, und Sie dürfen nicht davon ausgehen, dass es so ist. Die Vermutung erstreckt sich nur auf die Anforderungen, die ein Zertifikat tatsächlich abdeckt. Anhang I besteht aus zwei Teilen: Produktsicherheitseigenschaften und Anforderungen an den Schwachstellenbehandlungsprozess. Ein Zertifikat, dessen Geltungsbereich auf Produkteigenschaften begrenzt ist, deckt die laufenden Prozesspflichten möglicherweise nicht ab. Prüfen Sie die abgedeckten Anforderungen, bevor Sie sich darauf verlassen.
Wenn ich jetzt ein EUCC-Zertifikat erhalte, zählt es für den CRA, sobald der Weg aktiviert wird?
Nicht automatisch. Der Rechtsakt, der Schemata für die CRA-Konformität anerkennen würde, ist nicht angenommen, und das Recht sieht zusätzliche Bedingungen für Zertifikate vor, die vor der Aktivierung des Wegs ausgestellt wurden. Ein Zertifikat, das Sie jetzt halten, ist starke Vorbereitung und Nachweis für die abgedeckten Anforderungen. Ob es später die CRA-Konformitätsvermutung trägt und für welche Anforderungen, hängt von diesem Rechtsakt und vom Geltungsbereich Ihres Zertifikats ab. Behandeln Sie es als Vorsprung, nicht als garantierte Abkürzung.
Wurden bereits EUCC-Zertifikate ausgestellt, und wo kann ich sie einsehen?
Ja. Zertifizierungsstellen stellen EUCC-Zertifikate seit April 2025 aus, und ENISA veröffentlicht die offizielle, filterbare Liste. Sie belegen, dass das Schema in Betrieb ist, tragen aber noch keine CRA-Konformitätsvermutung: Diese wartet weiterhin auf den delegierten Rechtsakt.