Ihr CRA-Konformitätsbewertungsweg bestimmt Kosten, Zeitplan und externe Abhängigkeiten. Wählen Sie falsch und Sie verschwenden Monate und tausende Euro. Wählen Sie richtig und Sie haben einen klaren Weg zur CE-Kennzeichnung.
Dieser Leitfaden hilft Ihnen, das richtige Konformitätsbewertungsmodul auszuwählen und zu verstehen, was jedes beinhaltet.
Zusammenfassung
- Modul A (Selbstbewertung): Verfügbar für Standard-Produkte und für Wichtig Klasse I nur dann, wenn einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder europäische Cybersicherheitszertifizierungsschemata vollständig angewendet werden
- Modul B+C (Drittpartei): Erforderlich für Wichtig Klasse II, optional für andere
- Modul H (Umfassende QS): Alternative zu B+C für Organisationen mit mehreren Produkten
- Die Produktklassifizierung bestimmt, welche Optionen verfügbar sind
- Kostenunterschied: Modul A (ca. EUR 5–20K intern), B+C (ca. EUR 30–100K+), H (ca. EUR 50K+ Einrichtung plus laufende Kosten)
Quellen: CRA Artikel 13(13) (Aufbewahrungsfrist); NANDO-Datenbank, das offizielle EU-Register der notifizierten Stellen (Benennungsstatus); Angaben in diesem Leitfaden. Der Wert „~90 %" für Standard-Produkte ist eine Schätzung auf Basis der engen Anwendungsbereiche von Anhang III/Anhang IV, kein im CRA genannter Wert.
Überblick Konformitätsbewertung
Die Konformitätsbewertung ist der Weg, auf dem Sie nachweisen, dass Ihr Produkt die CRA-Anforderungen erfüllt. Die EU-Konformitätserklärung (DoC), die Sie unterzeichnen, erklärt die Konformität Ihres Produkts; die Nachweise dafür müssen Sie jedoch separat vorhalten.
Der CRA bietet drei Konformitätsbewertungsmodule. Der Entscheidungsbaum oben ordnet jede Produktkategorie ihren zulässigen Wegen zu. Modul A ist eine Herstellerselbstbewertung. Modul B+C kombiniert eine EU-Baumusterprüfung durch eine notifizierte Stelle (B) mit einer Produktionskonformitätsphase, die Sie selbst durchführen (C). Modul H ist ein einziger Weg, bei dem eine notifizierte Stelle Ihr Qualitätsmanagementsystem genehmigt und laufend überwacht.
Wann können Sie Modul A zur Selbstbewertung nutzen?
Selbstbewertung. Sie bewerten Ihr eigenes Produkt anhand der CRA-Anforderungen.
Wann Modul A verfügbar ist
- Standard-Produkte: Immer verfügbar
- Wichtig Klasse I: Nur wenn einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder europäische Cybersicherheitszertifizierungsschemata (mindestens der Vertrauenswürdigkeitsstufe „wesentlich") vollständig angewendet werden
Was vollständige Abdeckung bedeutet
Für die Selbstbewertung von Wichtig Klasse I bleibt Modul A nur verfügbar, wenn die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Cybersicherheitszertifizierungsschemata:
- Die grundlegenden Anforderungen in Anhang I abdecken
- Für das Produkt und den Bewertungsweg verfügbar sind
- Vollständig angewendet werden, nicht nur teilweise
Wenn diese Abdeckung fehlt oder nur teilweise angewendet wird, nutzen Sie für die betroffenen Anforderungen Modul B+C oder Modul H.
Harmonisierte Normen für den CRA werden noch entwickelt. Beobachten Sie die Veröffentlichungen im Amtsblatt der EU.
Modul-A-Prozess
| Phase | Was zu tun ist | Warum CRA-Teams darauf achten | Anker |
|---|---|---|---|
| Designphase | Security-by-Design anwenden, die Risikobewertung durchführen, die Sicherheitsarchitektur dokumentieren und relevante harmonisierte Normen anwenden. | Hier entsteht die Nachweisbasis, statt sie am Ende nachträglich zusammenzusuchen. | Anhang I-Anforderungen. |
| Dokumentation | Die technische Dokumentation mit Produktbeschreibung, Risikobewertung, Designdokumentation, angewandten Normen, Testergebnissen und SBOM erstellen. Die EU-Konformitätserklärung vorbereiten. | Auch Modul A braucht Nachweise. Selbstbewertung heißt nicht: keine Akte. | Anhang VII-Akte. |
| Produktionskontrollen | Sicherstellen, dass die Produktion konform bleibt, Qualitätskontrollen dokumentieren und Einheiten bei Bedarf prüfen. | Die unterschriebene Erklärung muss für die Produktserie wahr bleiben. | Serienproduktion. |
| Abschluss | EU-Konformitätserklärung unterzeichnen, CE-Kennzeichnung anbringen und Dokumentation mindestens 10 Jahre aufbewahren, oder länger, falls der Supportzeitraum dies erfordert. | Das ist der Übergang von Nachweiserstellung zu Marktbereitstellung. | DoC, CE, Aufbewahrung. |
Anforderungen an die Modul-A-Dokumentation
Ihr technisches Dossier nach Anhang VII unter Modul A muss diese sechs Bereiche abdecken.
| Bereich | Was die Akte enthalten sollte | Warum CRA-Teams darauf achten | Anker |
|---|---|---|---|
| Allgemeine Beschreibung | Produktidentifikation, vorgesehener Zweck, abgedeckte Versionen und bereitgestellte Nutzerinformationen. | Behörden müssen genau sehen, welches Produkt und welche Version die Nachweise abdecken. | Produktumfang. |
| Risikobewertung | Identifizierte Cybersicherheitsrisiken, betrachtete Bedrohungen und Angriffsszenarien sowie Risikobehandlungsentscheidungen. | Das verbindet Ihr Bedrohungsmodell mit den Kontrollen. | Risikobelege. |
| Designdokumentation | Systemarchitektur, implementierte Sicherheitsmaßnahmen und wie jede Anforderung erfüllt wird. | Die Akte muss zeigen, wie das Produktdesign die Cybersicherheitsanforderungen erfüllt. | Anhang I -Zuordnung. |
| Normen und Tests | Angewandte Normen, Spezifikationen oder Zertifizierungsschemata mit Versionsangaben, Testpläne und Ergebnisse sowie Nachweis der vollständigen Anwendung für Wichtig Klasse I. | Teilweise Abdeckung kann den verfügbaren Konformitätsweg ändern. | Nachweise zum Bewertungsweg. |
| SBOM | Enthaltene Komponenten und zum Bewertungszeitpunkt bekannte Schwachstellen. | Die SBOM verbindet Komponentenbestand und Schwachstellenbehandlung. | Komponentenbestand. |
| Produktion | Wie die Produktion Konformität erhält und welche Qualitätskontrollen gelten. | Konformität muss über den bewerteten Prototyp hinaus bestehen. | Serienkontrollen. |
Sie stützen sich auf analoge CE-Kennzeichnungsregimes (Radio Equipment Directive, Medical Device Regulation) und frühe CRA-Beratungspreise. Es handelt sich nicht um eine CRA-spezifische Markterhebung. Keine notifizierte Stelle hat einen CRA-Preiskatalog veröffentlicht: Die NANDO-Datenbank zeigt für Juni 2026 null CRA-Benennungen. Nutzen Sie die Zahlen für die Planung. Sobald Benennungen erfolgt sind, prüfen Sie die Angaben gegen echte Angebote.
Modul-A-Kosten
| Kostenelement | Typischer Bereich | Anmerkungen |
|---|---|---|
| Risikobewertung | EUR 5.000–15.000 | Intern oder Berater |
| Technische Dokumentation | EUR 5.000–20.000 | Abhängig von Komplexität |
| Tests | EUR 2.000–10.000 | Intern oder Labor |
| SBOM-Werkzeuge | EUR 0–5.000 | Werkzeuge existieren möglicherweise bereits |
| Interne Personalzeit | Variabel | Oft der größte Kostenblock |
Typischer Gesamtbereich: EUR 15.000–50.000 (interne Kosten)
Modul-A-Zeitplan
| Phase | Dauer |
|---|---|
| Risikobewertung | 2-4 Wochen |
| Dokumentation | 4-8 Wochen |
| Tests | 2-4 Wochen |
| Überprüfung und Finalisierung | 1-2 Wochen |
Typischer Gesamtzeitplan: 2-4 Monate
Wann verlangt der CRA eine notifizierte Stelle?
Drittbewertung. Eine notifizierte Stelle prüft Ihr Produktdesign.
Wann eine notifizierte Stelle erforderlich ist
- Wichtig Klasse II: Nutzen Sie Modul B+C, Modul H oder ein zugelassenes europäisches Cybersicherheitszertifizierungsschema mindestens der Vertrauenswürdigkeitsstufe „mittel".
- Kritische Produkte: Nutzen Sie den europäischen Zertifizierungsweg, sobald die Kommission ihn für diese Produktkategorie aktiviert hat. Bis dahin gelten die gleichen Drittbewertungswege als Rückfalloption: Modul B+C, Modul H oder ein zugelassenes Schema.
- Wichtig Klasse I: Nutzen Sie Modul B+C oder Modul H nur dann, wenn die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder Zertifizierungsschemata fehlen oder nicht vollständig angewendet werden.
Modul B: EU-Baumusterprüfung
Eine notifizierte Stelle prüft eine repräsentative Probe (Baumuster) Ihres Produkts und stellt eine Bescheinigung aus.
| Punkt | Details |
|---|---|
| Antragstellung | Wählen Sie eine notifizierte Stelle und reichen Sie Ihren Antrag mit Produktmustern, technischer Dokumentation und Antragsformular ein. Zahlen Sie die Erstgebühren. |
| Prüfung | Die notifizierte Stelle prüft die Dokumentation, testet das Produktmuster, verifiziert die Einhaltung der wesentlichen Cybersicherheitsanforderungen und kann zusätzliche Informationen oder Tests anfordern. |
| Entscheidung | Bei Konformität stellt die notifizierte Stelle die EU-Baumusterprüfbescheinigung aus. Werden Mängel festgestellt, beheben Sie diese und reichen Sie erneut ein. |
| Bescheinigung | Gültig für den geprüften Typ, mit etwaigen Bedingungen auf der Bescheinigung. Änderungen, die die Konformität beeinflussen können, müssen mit der notifizierten Stelle für die Bescheinigung nachgeführt werden. Der CRA schreibt kein festes Nachprüfungsintervall vor. |
Modul C: Konformität mit dem Baumuster
Nach Modul B stellen Sie sicher, dass die Produktion dem zertifizierten Baumuster entspricht.
| Punkt | Details |
|---|---|
| Fertigungskontrollen | Stellen Sie sicher, dass jede Einheit dem zertifizierten Baumuster entspricht, dokumentieren Sie Fertigungsprozesse und halten Sie Qualitätskontrollen aufrecht. |
| Erklärung | Verweisen Sie auf die EU-Baumusterprüfbescheinigung, unterzeichnen Sie die EU-Konformitätserklärung und bringen Sie die CE-Kennzeichnung an. |
| Laufend | Halten Sie die Konformität mit dem zertifizierten Baumuster aufrecht, melden Sie der notifizierten Stelle Änderungen, die den Typ betreffen, und rezertifizieren Sie bei wesentlichen Änderungen. |
Auswahl der notifizierten Stelle
Kriterien bei der Auswahl einer notifizierten Stelle:
| Faktor | Kriterium |
|---|---|
| Geltungsbereich | Ist die Stelle für den CRA und Ihren Produkttyp benannt? |
| Kapazität | Ist Verfügbarkeit vorhanden? (Frühe CRA-Phase = begrenzte Kapazität) |
| Standort | Einfachere Logistik bei geografischer Nähe |
| Erfahrung | Vertrautheit mit Ihrem Produkttyp |
| Kosten | Gebühren variieren erheblich |
| Zeitplan | Wie schnell kann die Prüfung angesetzt werden? |
Notifizierte Stellen finden: Prüfen Sie die NANDO-Datenbank (offizielles EU-Register der notifizierten Stellen), sobald CRA-Benennungen veröffentlicht werden.
Die Gebühren notifizierter Stellen liegen typischerweise zwischen EUR 30.000 und EUR 100.000 oder mehr, und Wartezeiten können 4 bis 16 Wochen erreichen. Planen Sie Budget und Zeitrahmen entsprechend ein.
Modul-B+C-Kosten
| Kostenelement | Typischer Bereich | Anmerkungen |
|---|---|---|
| Antragsgebühr der notif. Stelle | EUR 2.000–5.000 | Nicht erstattungsfähig |
| Prüfgebühr der notif. Stelle | EUR 15.000–50.000 | Abhängig von Komplexität |
| Mustervorbereitung | EUR 1.000–5.000 | Produktmuster für Tests |
| Technische Dokumentation | EUR 10.000–30.000 | Muss Anforderungen der notif. Stelle erfüllen |
| Reise/Logistik | EUR 1.000–5.000 | Falls Vor-Ort-Besuche erforderlich |
| Behebung (falls nötig) | Variabel | Erneute Tests, Dokumentationskorrekturen |
Typischer Gesamtbereich: EUR 30.000–100.000+
Modul-B+C-Zeitplan
| Phase | Dauer |
|---|---|
| Auswahl und Antrag der notif. Stelle | 2-4 Wochen |
| Dokumentationsvorbereitung | 4-8 Wochen |
| Wartezeit der notif. Stelle | 4-16 Wochen (variiert erheblich) |
| Prüfung | 4-8 Wochen |
| Ausstellung der Bescheinigung | 2-4 Wochen |
Typischer Gesamtzeitplan: 4-10 Monate
Modul H: Umfassende Qualitätssicherung
Qualitätsmanagementsystem-Ansatz. Eine notifizierte Stelle genehmigt Ihr QMS für Design, Produktion und Tests.
Wann Modul H sinnvoll ist
Modul H ist vorteilhaft, wenn:
- Sie mehrere Produkte haben, die eine Drittbewertung erfordern
- Sie bereits ein ausgereiftes QMS haben (ISO 9001, ISO 27001)
- Sie eine laufende Beziehung zur notifizierten Stelle anstelle produktweiser Prüfungen wünschen
- Sie häufige Produktaktualisierungen veröffentlichen
Modul-H-Prozess
| Punkt | Details |
|---|---|
| QMS-Etablierung | Entwerfen Sie ein Qualitätssystem, das Designprozess, Fertigungskontrollen, Prüfverfahren und Dokumentationsmanagement abdeckt und auf die CRA-Anforderungen ausgerichtet ist. |
| Bewertung durch die notifizierte Stelle | Reichen Sie die QMS-Dokumentation ein, empfangen Sie das Audit der notifizierten Stelle, verifizieren Sie die CRA-Ausrichtung und erhalten Sie das QMS-Genehmigungszertifikat. |
| Produktdesign (je Produkt) | Folgen Sie dem genehmigten QMS für das Design, führen Sie eine Designprüfung durch, dokumentieren Sie die Konformität und ermöglichen Sie Audits des Designprozesses durch die notifizierte Stelle. |
| Produktion | Folgen Sie dem genehmigten QMS für die Produktion, dokumentieren Sie die Konformität und akzeptieren Sie Überwachungsaudits der notifizierten Stelle. |
| Erklärung (je Produkt) | Unterzeichnen Sie die EU-Konformitätserklärung, verweisen Sie auf das QMS-Zertifikat und bringen Sie die CE-Kennzeichnung an. |
| Laufend | Pflegen Sie das QMS und unterziehen Sie sich regelmäßigen Überwachungsaudits der notifizierten Stelle. Der CRA schreibt keine Überwachungshäufigkeit und keinen Rezertifizierungszyklus vor; die Häufigkeit wird im Auditplan festgelegt. |
Modul-H-QMS-Anforderungen
Ihr Qualitätsmanagementsystem muss vier Bereiche parallel abdecken. Lücken in einem Bereich blockieren die Zertifizierung.
| Punkt | Details |
|---|---|
| Designqualität |
|
| Produktionsqualität |
|
| Dokumentationsqualität |
|
| Cybersicherheitsintegration |
|
Modul-H-Kosten
| Kostenelement | Typischer Bereich | Anmerkungen |
|---|---|---|
| QMS-Entwicklung/-Upgrade | EUR 20.000–50.000 | Wenn von Grund auf neu |
| Erstaudit der notif. Stelle | EUR 15.000–30.000 | QMS-Zertifizierung |
| Jährliche Überwachung | EUR 5.000–15.000 | Laufend |
| Pro-Produkt-Designprüfung | EUR 5.000–15.000 | Variiert nach Komplexität |
Ersteinrichtung: EUR 40.000–100.000 Jährlich laufend: EUR 10.000–30.000
Modul H vs. B+C Entscheidung
| Faktor | Modul B+C | Modul H |
|---|---|---|
| Anzahl Produkte | 1-3 Produkte | 4+ Produkte |
| Bestehendes QMS | Kein ausgereiftes QMS | Ausgereiftes QMS vorhanden |
| Update-Häufigkeit | Seltene Updates | Häufige Releases |
| Organisationsgröße | Klein/mittel | Mittel/groß |
| Vorabkosten | Niedriger | Höher |
| Pro-Produkt-Kosten | Höher | Niedriger |
| Laufende Kosten | Niedriger | Höher (Überwachung) |
Modul H wird ab 4 oder mehr Produkten kosteneffektiv. Wenn Sie ein ausgereiftes QMS haben (ISO 9001, ISO 27001), ist es oft die bessere langfristige Investition.
Faustregel: Modul H wird ab 4+ Produkten oder bei häufig benötigter Nachprüfung kosteneffektiv.
Entscheidungsrahmen
Schritt 1: Produktklassifizierung bestimmen
Nutzen Sie den Produktklassifizierungsleitfaden, um zu bestimmen, ob Ihr Produkt der Kategorie Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch angehört.
Schritt 2: Verfügbare Optionen identifizieren
Der Entscheidungsbaum oben zeigt die vollständige Zuordnung. Die folgende Tabelle fasst dieselben Wege in Textform zusammen.
| Kategorie | Verfügbare Module | Empfohlener Weg |
|---|---|---|
| Standard | A, B+C, H | Modul A, sofern keine Drittvalidierung gewünscht wird |
| Wichtig Klasse I, einschlägige Normen, Spezifikationen oder Schema vollständig angewendet | A, B+C, H | Modul A mit vollständiger Abdeckung |
| Wichtig Klasse I, Abdeckung fehlt oder ist nur teilweise | B+C, H | Modul B+C, sofern nicht mehrere Produkte vorhanden |
| Wichtig Klasse II | B+C, H oder ein anwendbares Zertifizierungsschema mindestens der Vertrauenswürdigkeitsstufe „wesentlich" | Modul B+C, sofern nicht mehrere Produkte oder ausgereiftes QMS vorhanden |
| Kritisch | EUCC oder ein anderer verpflichtender europäischer Zertifizierungsweg oder B+C / H / zugelassenes Schema als Rückfalloption | Abhängig davon, ob die Kommission den Zertifizierungsweg für diese Kategorie aktiviert hat |
Schritt 3: Unternehmensfaktoren berücksichtigen
Schritt 3 hilft Ihnen nur bei der Auswahl unter den Modulen, die Schritt 2 als verfügbar ausgewiesen hat. Die Routenregeln machen Modul A für Wichtig Klasse I nicht verfügbar, wenn die einschlägigen Normen, Spezifikationen oder Schemata fehlen oder nur teilweise angewendet werden, sowie für Wichtig Klasse II und Kritische Produkte. Die beiden folgenden Tabellen sind nach dieser Bedingung aufgeteilt, sodass jede Zeile eine erreichbare Antwort auf Ihrem Weg enthält.
Wenn die Module A, B+C und H alle verfügbar sind
Gilt für Standard-Produkte und für Wichtig Klasse I, wenn einschlägige Normen, Spezifikationen oder Schemata vollständig angewendet werden.
| Faktor | Modul A | Modul B+C | Modul H |
|---|---|---|---|
| Knappes Budget | ✓ | ||
| Knapper Zeitrahmen | ✓ | ||
| Externe Validierung nötig | ✓ | ✓ | |
| Einzelnes Produkt | ✓ | ✓ | |
| Viele Produkte | ✓ | ||
| Häufige Updates | ✓ | ||
| Kein vorhandenes QMS | ✓ | ✓ | |
| Ausgereiftes QMS (ISO 9001, ISO 27001) | ✓ | ||
| Kunde verlangt notifizierte Stelle | ✓ | ✓ |
Wenn nur die Module B+C und H verfügbar sind
Gilt für Wichtig Klasse I, wenn einschlägige Normen, Spezifikationen oder Schemata fehlen oder nur teilweise angewendet werden, sowie für Wichtig Klasse II und Kritische Produkte. Modul A ist für diese Kategorien unabhängig von Budget- oder Zeitdruck keine rechtlich zulässige Option.
| Faktor | Modul B+C | Modul H |
|---|---|---|
| Einzelnes Produkt | ✓ | |
| Viele Produkte | ✓ | |
| Häufige Updates | ✓ | |
| Kein vorhandenes QMS | ✓ | |
| Ausgereiftes QMS (ISO 9001, ISO 27001) | ✓ |
Diese zweite Verzweigung spiegelt die Tabelle „Modul H vs. B+C Entscheidung" weiter oben in diesem Leitfaden wider. Wo sich beide überschneiden, betrachten Sie sie als dieselbe Entscheidung aus zwei Perspektiven: die frühere Tabelle ist kostengewichtet, diese hier ist nach betrieblicher Eignung gewichtet.
Schritt 4: Kosten berechnen
Szenario: 5 Produkte der Kategorie Wichtig Klasse II, kein vorhandenes QMS, 5-Jahres-Horizont mit 2 Updates je Produkt.
| Kostenposten | Modul B+C | Modul H |
|---|---|---|
| Einmaliger Aufbau QMS-Aufbau und Erstzertifizierung durch notif. Stelle | n/v | EUR 75.000 EUR 50.000 QMS + EUR 25.000 Zertifizierung |
| Bewertung je Produkt (× 5) EU-Baumusterprüfung (B+C) oder Designprüfung (H) | EUR 250.000 EUR 50.000 × 5 | EUR 50.000 EUR 10.000 × 5 |
| Bewertung je Update (× 10) Vollständige Nachprüfung (B+C) oder Design-Delta (H) | EUR 250.000 EUR 25.000 × 10 | EUR 50.000 EUR 5.000 × 10 |
| Jährliche Überwachung (× 5 Jahre) | n/v | EUR 60.000 EUR 12.000 × 5 |
| 5-Jahres-Gesamt | EUR 500.000 | EUR 235.000 |
Modul H spart in diesem Szenario EUR 265.000 über 5 Jahre. Der Schnittpunkt liegt in der Kombination aus Produktanzahl und Update-Häufigkeit. Die Pro-Produkt- und Pro-Update-Werte sind Richtwerte (siehe den Hinweis zu den Schätzwerten bei der Modul-A-Kostentabelle). Führen Sie die Berechnung mit Ihren eigenen Angeboten durch, bevor Sie ein Budget festlegen.
EU-Konformitätserklärung
Unabhängig vom gewählten Modul müssen Sie eine EU-Konformitätserklärung ausstellen.
Erforderlicher Inhalt der EU-Konformitätserklärung
Die EU-Konformitätserklärung für den Cyber Resilience Act ist die Verordnung (EU) 2024/2847. Jede EU-Konformitätserklärung muss die folgenden acht Felder enthalten, gefolgt vom Unterzeichnerblock.
| Punkt | Details |
|---|---|
| Produktidentifikation | Produktname, Typ, Charge und Seriennummer(n), in einem für die Rückverfolgbarkeit ausreichenden Detaillierungsgrad. |
| Name und Anschrift des Herstellers | Die für die Erklärung verantwortliche juristische Person. Falls zutreffend: Angaben zum Bevollmächtigten. |
| Verantwortlichkeitserklärung | „Diese Konformitätserklärung wird unter alleiniger Verantwortung des Anbieters ausgestellt." |
| Gegenstand der Erklärung | Produktbeschreibung, die für die Rückverfolgbarkeit ausreicht, einschließlich Foto oder Zeichnung, wenn das Produkt physisch ist. |
| Einschlägige Harmonisierungsrechtsvorschriften der Union | Listen Sie jede Verordnung auf, der das Produkt entspricht, beginnend mit der Verordnung (EU) 2024/2847 (Cyber Resilience Act), und ergänzen Sie alle anderen anwendbaren horizontalen Rechtsvorschriften (Radio Equipment Directive, EMV, Maschinen usw.). |
| Angewandte harmonisierte Normen oder Spezifikationen | Listen Sie jede Norm mit Versionsnummer auf. Wenn keine harmonisierte Norm einen Teil von Anhang I abdeckt, verweisen Sie auf die stattdessen verwendete Spezifikation oder gemeinsame Spezifikation. |
| Block zur notifizierten Stelle (Modul B+C oder H) | Name der notifizierten Stelle, vierstellige Kennnummer, Zertifikatsverweis, durchgeführtes Modul und ausgestellte Zertifikatsnummer. Dieses Feld wird für Modul A vollständig weggelassen. |
| Zusätzliche Angaben | Enddatum des Supportzeitraums, Kontaktstelle für Schwachstellenmeldungen und alle weiteren Informationen, die der CRA oder die anwendbare Rechtsvorschrift vorschreibt. |
Schließen Sie die EU-Konformitätserklärung mit Name und Funktion des Unterzeichners, Ort und Datum der Ausstellung sowie einer Unterschrift ab. Eine EU-Konformitätserklärung ohne datierte Unterschrift einer namentlich und funktional bezeichneten Person ist keine gültige EU-Konformitätserklärung.
CE-Kennzeichnung
Nach der Konformitätsbewertung bringen Sie die CE-Kennzeichnung an. Die visuelle Form der Kennzeichnung ist festgelegt. Was sich ändert, ist, ob eine vierstellige Kennnummer einer notifizierten Stelle daneben steht.
Anforderungen an die CE-Kennzeichnung
| Thema | Was sich ändert | Warum CRA-Teams darauf achten | Anker |
|---|---|---|---|
| Sichtbarkeit | Nach dem Anbringen sichtbar, lesbar und dauerhaft. | Eine Kennzeichnung, die nicht lesbar oder prüfbar ist, kann die Produktprüfung scheitern lassen. | Lesbare CE-Kennzeichnung. |
| Mindesthöhe | 5 mm allgemeines Minimum, gemessen vom unteren bis zum oberen Rand des C. Art 30(2) erlaubt ein kleineres Kennzeichen, wo die Beschaffenheit des Produkts es rechtfertigt. | Gilt unabhängig vom gewählten Bewertungsweg, wobei kleine Produkte nach Art 30(2) ein Kennzeichen unter 5 mm tragen dürfen. | 5 mm allgemeines Minimum; Art-30(2)-Ausnahme. |
| Proportionen | Die festen CE-Proportionen verwenden. | Das Zeichen nicht für Verpackung oder UI strecken, neu zeichnen oder umgestalten. | Regulation (EC) No 765/2008 Annex II. |
| Anbringungsort | Auf dem Produkt. Auf der Verpackung nur, wenn die Kennzeichnung auf dem Produkt nicht machbar ist. | Nur die Verpackung zu kennzeichnen ist eine Ausweichlösung, nicht der Normalfall. | Produkt zuerst. |
| NB-Nummer | Nur neben der Kennzeichnung erforderlich, wenn Modul H (umfassende Qualitätssicherung) genutzt wurde. | Die Nummer zeigt, welche notifizierte Stelle am Bewertungsweg beteiligt war. | CE plus vier Ziffern. |
Platzierung der CE-Kennzeichnung
| Punkt | Details |
|---|---|
| Physisches Produkt |
|
| Software |
|
| Mit notifizierter Stelle |
|
Häufige Fehler
Eine Selbstbewertung (Modul A) für ein Produkt der Kategorie Wichtig Klasse II ist eine ungültige Konformitätsbewertung. Das Produkt darf nicht legal auf dem EU-Markt in Verkehr gebracht werden.
Jeder der fünf folgenden Fehler hat denselben Aufbau: eine verlockende Abkürzung, eine schwerwiegende Konsequenz und eine konkrete Gegenmaßnahme.
| Punkt | Details |
|---|---|
| 1 · Selbstbewertung wenn nicht zulässig | Problem. Wahl von Modul A für ein Produkt der Kategorie Wichtig Klasse II. Konsequenz. Ungültige Konformitätsbewertung. Das Produkt darf nicht legal in Verkehr gebracht werden. Gegenmaßnahme. Verifizieren Sie immer die Produktklassifizierung, bevor Sie den Bewertungsweg wählen. |
| 2 · Teilweise Normenanwendung | Problem. Beanspruchung von Modul A für Wichtig Klasse I, obwohl einschlägige Normen, Spezifikationen oder Schemata nur teilweise angewendet werden. Konsequenz. Modul A ist ohne vollständige Abdeckung nicht verfügbar. Gegenmaßnahme. Wenn Sie den einschlägigen Weg nicht vollständig anwenden können, verwenden Sie Modul B+C oder H. |
| 3 · Unzureichende Dokumentation | Problem. Im technischen Dossier fehlt erforderlicher Inhalt für das gewählte Modul. Konsequenz. Die Konformität kann nicht nachgewiesen werden. Die EU-Konformitätserklärung ist nicht gültig. Gegenmaßnahme. Nutzen Sie Checklisten. Prüfen Sie die Dokumentationsanforderungen für Ihr spezifisches Modul, bevor Sie unterzeichnen. |
| 4 · Überraschung durch die notifizierte Stelle | Problem. Späte Entdeckung, dass das Produkt eine Bewertung durch eine notifizierte Stelle erfordert. Konsequenz. Verzögerter Markteintritt. Wartezeiten notifizierter Stellen können Monate betragen. Gegenmaßnahme. Klassifizieren Sie Produkte frühzeitig. Kontaktieren Sie notifizierte Stellen proaktiv. |
| 5 · EU-Konformitätserklärung vor abgeschlossener Bewertung | Problem. Unterzeichnung der EU-Konformitätserklärung, bevor die Konformitätsbewertung abgeschlossen ist. Konsequenz. Falsche Erklärung. Rechtliche Haftung. Gegenmaßnahme. Die EU-Konformitätserklärung ist der letzte Schritt, nach Abschluss aller Bewertungsaktivitäten. |
Konformitätsbewertungs-Checkliste
Arbeiten Sie zuerst die Vorbewertungskarte durch. Füllen Sie dann nur die Karten für das Modul aus, das Ihr Produkt verwendet. Jedes Produkt schließt mit der Finalisierungskarte ab.
| Punkt | Details |
|---|---|
| Vorbewertung |
|
| Modul A · Selbstbewertung |
|
| Modul B · EU-Baumusterprüfung |
|
| Modul C · Konformität mit dem Baumuster |
|
| Modul H · Umfassende QS |
|
| Finalisierung · Alle Module |
|
Häufig gestellte Fragen
Kann ein Standard-Produkt immer Modul A zur Selbstbewertung nutzen?
Ja. Standard-Produkte dürfen stets Modul A zur Selbstbewertung nutzen. Sie führen die Bewertung selbst durch, dokumentieren sie im technischen Dossier, unterzeichnen die EU-Konformitätserklärung und bringen die CE-Kennzeichnung an. Eine notifizierte Stelle ist nicht beteiligt. Der Anteil „etwa 90 %" ist eine Schätzung auf Basis des engen Anwendungsbereichs der Kategorien Wichtig und Kritisch, kein im CRA genannter Wert.
Wann ist eine notifizierte Stelle für Wichtig Klasse I Produkte zwingend vorgeschrieben?
Nur wenn Sie einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder ein europäisches Schema für die Cybersicherheitszertifizierung mindestens der Vertrauenswürdigkeitsstufe „mittel" nicht vollständig anwenden können. Deckt einer dieser Wege die wesentlichen Cybersicherheitsanforderungen Ihres Produkttyps ab und wenden Sie ihn vollständig an, bleibt die Selbstbewertung nach Modul A zulässig. Fehlt ein anwendbarer Weg oder wenden Sie ihn nur teilweise an, müssen Sie auf Modul B+C oder H ausweichen.
Gibt es bereits notifizierte Stellen für den CRA?
Stand Juni 2026 sind null notifizierte Stellen für den CRA benannt. Benennungen werden in der NANDO-Datenbank veröffentlicht. Hersteller von Wichtig Klasse II und Kritischen Produkten können die Drittbewertung erst abschließen, sobald Benennungen vorliegen. Kalkulieren Sie diese Verzögerung in Ihre Planung ein.
Was umfasst eine Konformitätsbewertung nach Modul B+C?
Modul B ist die Baumusterprüfung durch eine notifizierte Stelle: Sie sichtet Ihre technische Dokumentation, testet ein repräsentatives Muster und stellt eine EU-Baumusterprüfbescheinigung aus. Modul C ist die anschließende Produktionskonformitätsphase, die Sie selbst durchführen: Jede Einheit muss dem zertifizierten Baumuster entsprechen, und die EU-Konformitätserklärung verweist auf die Bescheinigungsnummer.
Können harmonisierte Normen eine Bewertung durch eine notifizierte Stelle ersetzen?
Nur für Produkte der Kategorie Wichtig Klasse I. Wenden Sie einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder ein europäisches Cybersicherheitszertifizierungsschema vollständig an, die alle wesentlichen Cybersicherheitsanforderungen abdecken, dürfen Sie die Selbstbewertung nach Modul A ohne notifizierte Stelle nutzen. Für Wichtig Klasse II ist eine Drittbewertung unabhängig von den angewendeten Normen verpflichtend. Kritische Produkte folgen einem separaten Weg: Zertifizierung, sobald die Kommission diesen Weg aktiviert hat, oder die Rückfalloption Modul B+C / H / zugelassenes Schema.
Was kostet eine Konformitätsbewertung durch eine notifizierte Stelle?
Planen Sie EUR 30.000 bis EUR 100.000 oder mehr für die Prüfgebühren der notifizierten Stelle ein, dazu EUR 2.000 bis EUR 5.000 Antragsgebühr und EUR 1.000 bis EUR 5.000 für die Mustervorbereitung. Wartezeiten betragen aktuell 4 bis 16 Wochen; kalkulieren Sie dieses Risiko zusätzlich zu den Kosten ein. (Die Zahlen sind Schätzwerte aus analogen Regimes (Radio Equipment Directive, Medical Device Regulation) und frühen CRA-Beratungspreisen, keine im CRA genannten Werte.)