CRA Cyber Resilience Act Self-Assessment

Die CRA Selbstbewertung nach Modul A (Interne Fertigungskontrolle) ist ein Konformitätsbewertungsverfahren, bei dem der Hersteller selbst prüft, ob sein digitales Produkt alle Cybersecurity-Anforderungen des Cyber Resilience Act erfüllt. Dieses Verfahren gilt für Standardprodukte – also alle Produkte mit digitalen Elementen, die nicht in Anhang III (wichtige Produkte) oder Anhang IV (kritische Produkte) des CRA gelistet sind. Typische Beispiele sind Smart-Home-Geräte, einfache IoT-Sensoren, Mobile Apps und Computerspiele. Die Selbstbewertung umfasst die Erstellung der technischen Dokumentation, eine vollständige Risikoanalyse und die Ausstellung der EU-Konformitätserklärung.

Die interne Konformitätsbewertung nach Modul A umfasst mehrere strukturierte Schritte: Erstens die Produktklassifizierung – Prüfung, ob das Produkt als Standardprodukt einzustufen ist. Zweitens die Risikoanalyse – systematische Bewertung aller Cybersecurity-Risiken gemäß Anhang I des CRA. Drittens die technische Dokumentation – Erstellung aller Nachweise über Design, Entwicklung, Herstellung und Sicherheitsmaßnahmen. Viertens die Konformitätsprüfung gegen die wesentlichen Anforderungen des CRA. Fünftens die Ausstellung der EU-Konformitätserklärung nach Anhang V. Sechstens die CE-Kennzeichnung des Produkts. Und siebtens die Einrichtung von Prozessen für Security-Updates und Schwachstellenmeldungen während des gesamten Produktlebenszyklus.

Bei der Selbstbewertung (Modul A) übernimmt der Hersteller eigenständig die Konformitätsbewertung – ohne Beteiligung einer benannten Stelle (Notified Body). Dieses Verfahren ist ausschließlich für Standardprodukte zulässig. Bei der Drittbewertung (Module B+C oder H) wird eine unabhängige, von der EU notifizierte Prüfstelle einbezogen. Dies ist verpflichtend für wichtige Produkte der Klasse II (z.B. Firewalls, Intrusion Detection) und kritische Produkte (z.B. Smartcards, HSMs). Wichtige Produkte der Klasse I (z.B. Passwortmanager, VPN) können die Selbstbewertung nutzen, sofern sie harmonisierte Normen oder eine EU-Cybersicherheitszertifizierung anwenden.

Die EU-Konformitaetserklaerung nach Anhang V CRA erfordert: Produktidentifikation (Name, Typ, Seriennummer), Herstellerangaben (Name, Anschrift, Kontakt), den Verweis auf die angewandten harmonisierten Normen oder technischen Spezifikationen, die Erklaerung, dass das Produkt die wesentlichen Anforderungen aus Anhang I erfuellt, sowie Ort, Datum und rechtsverbindliche Unterschrift. Zusaetzlich muss eine vollstaendige technische Dokumentation erstellt werden, die die Risikoanalyse, Designspezifikationen, Testberichte und die Software Bill of Materials (SBOM) umfasst. Diese Unterlagen muessen

10 Jahre nach Inverkehrbringen aufbewahrt und auf Anfrage den Marktaufsichtsbehoerden vorgelegt werden.

Der Cyber Resilience Act tritt stufenweise in Kraft: Ab dem 11. September

2026 gelten die Meldepflichten für Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen. Ab dem 11. Juni

2026 müssen die Vorschriften für benannte Stellen umgesetzt sein. Die vollständigen Anforderungen – einschließlich der Konformitätsbewertung und Selbstbewertung nach Modul A – gelten ab dem 11. Dezember 2027. Hersteller sollten jedoch frühzeitig mit der Vorbereitung beginnen, da die Erstellung der technischen Dokumentation, die Risikoanalyse und die Implementierung von Security-by-Design-Prozessen erfahrungsgemäß mehrere Monate in Anspruch nehmen.

Anhang I des CRA definiert die wesentlichen Cybersecurity-Anforderungen fuer alle Produkte mit digitalen Elementen. Dazu gehoeren: Schutz vor unbefugtem Zugriff durch angemessene Zugangskontrollen, Sicherstellung der Vertraulichkeit gespeicherter und uebertragener Daten, Integritaetsschutz aller relevanten Daten und Funktionen, Verfuegbarkeit wesentlicher Funktionen auch bei Angriffen, Minimierung der Angriffsflaeche (Attack Surface Reduction), Sicherheitsgerechte Standardkonfiguration (Secure by Default), Schutz vor bekannten Schwachstellen durch regelmaessige Updates, und die Faehigkeit zur Protokollierung sicherheitsrelevanter Ereignisse. Zusaetzlich muessen Hersteller Prozesse fuer Schwachstellenmanagement und Security-Updates ueber die gesamte Supportdauer bereitstellen.

ADVISORI begleitet Hersteller durch den gesamten Selbstbewertungsprozess: Wir starten mit der Produktklassifizierung und pruefen, ob Ihr Produkt tatsaechlich als Standardprodukt einzustufen ist oder unter Anhang III/IV faellt. Dann fuehren wir eine strukturierte Gap-Analyse gegen die Anhang-I-Anforderungen durch. Auf dieser Basis erstellen wir die vollstaendige technische Dokumentation und Risikoanalyse. Wir bereiten die EU-Konformitaetserklaerung vor und unterstuetzen bei der CE-Kennzeichnung. Zudem implementieren wir Prozesse fuer kontinuierliches Schwachstellenmanagement und Security-Updates, damit Ihr Produkt auch nach dem Inverkehrbringen CRA-konform bleibt. Unsere Erfahrung aus zahlreichen CRA-Projekten beschleunigt den Prozess und minimiert Compliance-Risiken.