CRA Cyber Resilience Act External Audits

Eine externe Konformitaetsbewertung ist nach dem Cyber Resilience Act fuer zwei Produktkategorien verpflichtend: Wichtige Produkte der Klasse II (z.B. Firewalls, Intrusion-Detection-Systeme, Betriebssysteme) muessen entweder nach Modul B+C oder Modul H geprueft werden. Kritische Produkte nach Anhang IV (z.B. Smartcards, Hardware-Sicherheitsmodule) benoetigen zwingend ein europaeisches Cybersicherheitszertifikat oder eine Bewertung durch eine Benannte Stelle. Fuer ca. 90% aller vernetzten Standardprodukte reicht hingegen eine Selbstbewertung nach Modul A.

Bei der EU-Baumusterpruefung nach Modul B pruefen Benannte Stellen (Notified Bodies) das technische Design, die Entwicklungsprozesse und die definierten Verfahren zur Schwachstellenbehandlung. Konkret umfasst die Pruefung: Einhaltung der wesentlichen Cybersicherheitsanforderungen nach Anhang I, die technische Dokumentation inkl. Software Bill of Materials (SBOM), Risikobewertung und Schwachstellenmanagement sowie die Prozesse fuer Sicherheitsupdates. Bei erfolgreichem Abschluss wird ein EU-Baumusterpruefbescheinigung ausgestellt.

Modul B+C und Modul H sind zwei alternative Wege zur CRA-Konformitaet: Bei Modul B+C prueft die Benannte Stelle zuerst das Produktdesign (Modul B), anschliessend stellt der Hersteller selbst die Produktionskonformitaet sicher (Modul C). Bei Modul H implementiert der Hersteller ein umfassendes Qualitaetssicherungssystem, das von der Benannten Stelle kontinuierlich ueberwacht wird. Modul H eignet sich besonders fuer Unternehmen mit vielen CRA-pflichtigen Produkten, da ein zertifiziertes QS-System alle Produkte abdecken kann.

Die CRA-Zeitplanung sieht drei Meilensteine vor: Ab September

2026 greifen erste Meldepflichten fuer aktiv ausgenutzte Schwachstellen. Bis Juni

2026 muessen Mitgliedstaaten die Verfahren fuer die Benennung von Konformitaetsbewertungsstellen einrichten. Ab Dezember

2027 gelten saemtliche CRA-Anforderungen vollstaendig, einschliesslich der externen Konformitaetsbewertung. Hersteller sollten jetzt mit der Audit-Vorbereitung beginnen, da die Verfuegbarkeit von Benannten Stellen begrenzt sein wird.

Unsere Audit-Vorbereitung folgt einem strukturierten 5-Phasen-Ansatz: 1) Gap-Analyse gegen CRA-Anhang I Anforderungen und Identifikation des passenden Konformitaetsmoduls. 2) Aufbau der technischen Dokumentation inkl. SBOM, Risikobewertung und Schwachstellenmanagement. 3) Implementierung der erforderlichen Prozesse fuer Security Updates und Vulnerability Handling. 4) Mock-Audit zur Identifikation letzter Luecken. 5) Begleitung waehrend des eigentlichen Audits durch die Benannte Stelle und Unterstuetzung bei Nachforderungen.

Ein nicht bestandenes externes CRA-Audit hat schwerwiegende Folgen: Das Produkt darf ohne CE-Kennzeichnung nicht auf dem EU-Markt vertrieben werden. Marktueberwachungsbehoerden koennen Produkte zurueckrufen oder den Verkauf untersagen. Zudem drohen Bussgelder von bis zu

15 Mio. Euro oder 2,5% des weltweiten Jahresumsatzes. ADVISORI minimiert dieses Risiko durch gruendliche Pre-Audit-Bewertungen und Mock-Audits, die typische Beanstandungen vorab identifizieren und beheben.

Die Auswahl der passenden Benannten Stelle (Notified Body) erfordert mehrere Kriterien: Akkreditierung fuer den CRA-Geltungsbereich in der NANDO-Datenbank der EU-Kommission, Branchenerfahrung mit vergleichbaren Produktkategorien, Verfuegbarkeit und Durchlaufzeiten (werden ab

2026 knapp), geographische Naehe fuer Vor-Ort-Pruefungen sowie Sprachkompetenz. ADVISORI unterstuetzt bei der strategischen Auswahl und pflegt Kontakte zu fuehrenden Benannten Stellen in der EU.