Cyber Resilience Act
Produktklassen: Standard, wichtig und kritisch
Der CRA unterscheidet drei Kategorien: Standardprodukte (der Großteil), wichtige Produkte (Anhang III, unterteilt in Klasse I und Klasse II) und kritische Produkte (Anhang IV). Je höher das Risiko, desto strenger die Anforderungen an die Konformitätsbewertung. Die richtige Einstufung Ihrer Produkte bestimmt den gesamten Aufwand für den Marktzugang.
Warum diese Pflicht wichtig ist
Die Klasse entscheidet, ob eine Selbstbewertung genügt oder ob eine benannte Stelle (Notified Body) beziehungsweise eine europäische Cybersicherheitszertifizierung nötig wird. Eine falsche Einstufung führt entweder zu unnötigem Aufwand oder, schlimmer, zu einem nicht verkehrsfähigen Produkt.
So setzen Sie die Pflicht um
- 1Jedes betroffene Produkt gegen die Listen in Anhang III (wichtig) und Anhang IV (kritisch) prüfen
- 2Standardprodukte identifizieren, für die die interne Kontrolle (Selbstbewertung) ausreicht
- 3Wichtige Produkte der Klasse I und II sowie kritische Produkte gesondert kennzeichnen
- 4Für wichtige Produkte prüfen, ob harmonisierte Normen anwendbar sind oder eine benannte Stelle nötig ist
- 5Einstufung dokumentieren und bei Produktänderungen erneut bewerten
Diese Nachweise sind gefragt
- Klassifizierungsübersicht aller Produkte (Standard/wichtig/kritisch)
- Begründung der Einstufung je Produkt mit Bezug auf Anhang III/IV
- Nachweis, welches Konformitätsverfahren je Klasse gewählt wurde
Häufige Fehler
Zu niedrig eingestuft
Ein wichtiges Produkt wird als Standardprodukt behandelt und selbst bewertet, obwohl eine unabhängige Prüfung nötig gewesen wäre.
Anhang nicht geprüft
Die konkreten Produktkategorien in Anhang III und IV werden nicht abgeglichen, sodass die Einstufung auf einem Bauchgefühl beruht.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Konformitätsbewertung / CE-Kennzeichnung
Die Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die gesetzlichen Anforderungen erfüllt. Als sichtbares Ergebnis wird die CE-Kennzeichnung angebracht, unter dem CRA auch für die IT-Sicherheit.
Häufig gestellte Fragen
Was sind wichtige Produkte nach dem CRA?
In Anhang III gelistete Produktkategorien mit erhöhtem Risiko, unterteilt in Klasse I (z.B. Passwort-Manager, Identitätsmanagement, Betriebssysteme) und Klasse II (z.B. Firewalls, Intrusion-Detection-Systeme, Mikrocontroller mit Sicherheitsfunktion).
Was sind kritische Produkte?
In Anhang IV gelistete Produkte mit besonders hohem Risiko, etwa Hardware-Sicherheitsmodule oder Smartcards mit Sicherheitselement. Für sie kann eine europäische Cybersicherheitszertifizierung vorgeschrieben werden.
Wie erkenne ich die richtige Klasse?
Über den Abgleich mit den Produktkategorien in Anhang III und IV. Ist ein Produkt dort nicht genannt, gilt es als Standardprodukt mit interner Kontrolle.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
