Cyber Resilience Act

Produktklassen: Standard, wichtig und kritisch

CRAArt. 7 CRA, Anhang III und IV

Der CRA unterscheidet drei Kategorien: Standardprodukte (der Großteil), wichtige Produkte (Anhang III, unterteilt in Klasse I und Klasse II) und kritische Produkte (Anhang IV). Je höher das Risiko, desto strenger die Anforderungen an die Konformitätsbewertung. Die richtige Einstufung Ihrer Produkte bestimmt den gesamten Aufwand für den Marktzugang.

Warum diese Pflicht wichtig ist

Die Klasse entscheidet, ob eine Selbstbewertung genügt oder ob eine benannte Stelle (Notified Body) beziehungsweise eine europäische Cybersicherheitszertifizierung nötig wird. Eine falsche Einstufung führt entweder zu unnötigem Aufwand oder, schlimmer, zu einem nicht verkehrsfähigen Produkt.

So setzen Sie die Pflicht um

  1. 1Jedes betroffene Produkt gegen die Listen in Anhang III (wichtig) und Anhang IV (kritisch) prüfen
  2. 2Standardprodukte identifizieren, für die die interne Kontrolle (Selbstbewertung) ausreicht
  3. 3Wichtige Produkte der Klasse I und II sowie kritische Produkte gesondert kennzeichnen
  4. 4Für wichtige Produkte prüfen, ob harmonisierte Normen anwendbar sind oder eine benannte Stelle nötig ist
  5. 5Einstufung dokumentieren und bei Produktänderungen erneut bewerten

Diese Nachweise sind gefragt

  • Klassifizierungsübersicht aller Produkte (Standard/wichtig/kritisch)
  • Begründung der Einstufung je Produkt mit Bezug auf Anhang III/IV
  • Nachweis, welches Konformitätsverfahren je Klasse gewählt wurde

Häufige Fehler

Zu niedrig eingestuft

Ein wichtiges Produkt wird als Standardprodukt behandelt und selbst bewertet, obwohl eine unabhängige Prüfung nötig gewesen wäre.

Anhang nicht geprüft

Die konkreten Produktkategorien in Anhang III und IV werden nicht abgeglichen, sodass die Einstufung auf einem Bauchgefühl beruht.

Häufig gestellte Fragen

Was sind wichtige Produkte nach dem CRA?

In Anhang III gelistete Produktkategorien mit erhöhtem Risiko, unterteilt in Klasse I (z.B. Passwort-Manager, Identitätsmanagement, Betriebssysteme) und Klasse II (z.B. Firewalls, Intrusion-Detection-Systeme, Mikrocontroller mit Sicherheitsfunktion).

Was sind kritische Produkte?

In Anhang IV gelistete Produkte mit besonders hohem Risiko, etwa Hardware-Sicherheitsmodule oder Smartcards mit Sicherheitselement. Für sie kann eine europäische Cybersicherheitszertifizierung vorgeschrieben werden.

Wie erkenne ich die richtige Klasse?

Über den Abgleich mit den Produktkategorien in Anhang III und IV. Ist ein Produkt dort nicht genannt, gilt es als Standardprodukt mit interner Kontrolle.

Ihren CRA-Handlungsbedarf klären

Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.