Cyber Resilience Act
Konformitätsbewertung und CE-Kennzeichnung
Die CE-Kennzeichnung wird zur sichtbaren Voraussetzung für den Marktzugang. Der Hersteller wählt je nach Produktklasse ein Konformitätsbewertungsverfahren: die interne Kontrolle (Selbstbewertung, Modul A) für Standardprodukte oder Verfahren unter Einbindung einer benannten Stelle für wichtige und kritische Produkte. Auf dieser Basis stellt er die EU-Konformitätserklärung aus und bringt die CE-Kennzeichnung an.
Warum diese Pflicht wichtig ist
Ohne gültige Konformitätsbewertung und CE-Kennzeichnung darf ein betroffenes Produkt ab dem 11. Dezember 2027 nicht mehr auf den EU-Markt gebracht werden. Für Hersteller, die bisher keine CE-Prozesse für Cybersicherheit hatten, ist dies ein neuer, planungsintensiver Schritt.
So setzen Sie die Pflicht um
- 1Passendes Konformitätsverfahren je Produktklasse bestimmen
- 2Grundlegende Anforderungen (Anhang I) nachweislich erfüllen und dokumentieren
- 3Bei wichtigen/kritischen Produkten benannte Stelle oder Zertifizierung einbinden
- 4EU-Konformitätserklärung ausstellen und aufbewahren
- 5CE-Kennzeichnung regelkonform am Produkt oder in der Begleitdokumentation anbringen
Diese Nachweise sind gefragt
- EU-Konformitätserklärung je Produkt
- Dokumentation des durchlaufenen Konformitätsverfahrens
- Ggf. Bescheinigung der benannten Stelle oder Zertifikat
Häufige Fehler
CE ohne Grundlage
Die CE-Kennzeichnung wird angebracht, ohne dass die grundlegenden Anforderungen tatsächlich nachgewiesen sind.
Benannte Stelle zu spät
Für wichtige oder kritische Produkte wird die nötige externe Prüfung erst kurz vor Marktstart angestoßen, obwohl Kapazitäten knapp sind.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Konformitätsbewertung / CE-Kennzeichnung
Die Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die gesetzlichen Anforderungen erfüllt. Als sichtbares Ergebnis wird die CE-Kennzeichnung angebracht, unter dem CRA auch für die IT-Sicherheit.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Häufig gestellte Fragen
Was ist die Konformitätsbewertung nach dem CRA?
Das Verfahren, mit dem der Hersteller nachweist, dass ein Produkt die grundlegenden CRA-Anforderungen erfüllt. Je nach Produktklasse reicht eine Selbstbewertung oder es ist eine benannte Stelle einzubinden.
Brauche ich für die CE-Kennzeichnung eine externe Prüfung?
Für Standardprodukte genügt in der Regel die interne Kontrolle. Für wichtige Produkte (Anhang III) und kritische Produkte (Anhang IV) kann eine benannte Stelle oder eine Zertifizierung erforderlich sein.
Ab wann ist die CE-Kennzeichnung Pflicht?
Die Pflichten zu Konformitätsbewertung und CE-Kennzeichnung gelten ab dem 11. Dezember 2027.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
