CRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) teilt Produkte mit digitalen Elementen in vier Risikoklassen ein. Von dieser Einordnung hängt ab, welches Konformitätsbewertungsverfahren ein Hersteller durchlaufen muss, bevor das Produkt die CE-Kennzeichnung erhalten und auf dem EU-Markt bereitgestellt werden darf. Dieser Artikel erklärt die Klassen, nennt typische Beispiele und zeigt, welcher Prüfweg für welche Kategorie gilt.
Volle Produktanforderungen des CRA — einschließlich der CE-Kennzeichnungspflicht — gelten ab dem 11. Dezember 2027. Wer jetzt prüft, in welche Klasse sein Produkt typischerweise fällt, gewinnt wertvolle Zeit für Entwicklungsanpassungen, Dokumentation und ggf. die Beauftragung einer notifizierten Stelle.
Das risikobasierte Klassensystem im Überblick
Der CRA verfolgt einen risikobasierten Ansatz: Je kritischer ein Produkt für die Sicherheit von Nutzern, Infrastrukturen oder der Gesellschaft ist, desto strenger sind die Anforderungen an den Nachweis der Konformität. Die Grundstruktur:
| Klasse | Rechtsgrundlage | Konformitätsbewertung | Notifizierte Stelle |
|---|---|---|---|
| Standard | Default (kein Anhang III/IV) | Interne Kontrolle (Modul A) | Nicht erforderlich |
| Wichtig — Klasse I | Anhang III, Teil I | Selbstbewertung nur bei Anwendung harmonisierter Normen/gemeinsamer Spezifikationen; sonst Drittprüfung | Bedingt erforderlich |
| Wichtig — Klasse II | Anhang III, Teil II | EU-Baumusterprüfung (Modul B) + Konformität mit der Bauart (Modul C) oder umfassende Qualitätssicherung (Modul H) | Immer erforderlich |
| Kritisch | Anhang IV | Beteiligung einer notifizierten Stelle oder verpflichtendes EU-Zertifizierungsschema | Immer erforderlich |
Die konkrete Produktliste für die Klassen I und II wurde durch die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 mit technischen Beschreibungen konkretisiert. Da einzelne Zuordnungen auslegungsbedürftig sein können, sollten Hersteller die Klassifizierung ihres Produkts im Zweifel fachlich begleiten lassen.
Klasse Standard: Die Regel — Selbstbewertung genügt
Der überwiegende Teil der Produkte mit digitalen Elementen fällt in die Standard-Kategorie. Für diese Produkte genügt die interne Kontrolle nach Modul A: Der Hersteller bewertet selbst, ob sein Produkt die grundlegenden Cybersecurity-Anforderungen (Anhang I CRA) erfüllt, erstellt die technische Dokumentation und stellt die EU-Konformitätserklärung aus. Eine Prüfung durch eine notifizierte Stelle ist nicht vorgeschrieben.
Typische Produkte dieser Kategorie (nicht abschließend):
- Einfache mobile Apps ohne sicherheitskritische Funktion
- Computerspiele
- Smart-Speaker für den Heimbereich
- Speicherchips ohne eigenständige Sicherheitsfunktion
- Smarte Haushaltsgeräte (sofern keine Klasse-I-Funktion übernommen wird)
Auch für Standard-Produkte gilt: Security-by-Design, Schwachstellen-Handling, SBOM als Teil der technischen Dokumentation sowie die Meldepflichten ab dem 11. September 2026 sind einzuhalten. Die Klassenzugehörigkeit erleichtert nur den Konformitätsbewertungsweg — sie reduziert nicht die materiellen Sicherheitsanforderungen.
Wichtige Produkte — Klasse I: Selbstbewertung unter Bedingungen
Für Produkte der Klasse I (Anhang III, Teil I) ist eine Selbstbewertung weiterhin möglich — aber nur, wenn der Hersteller nachweislich harmonisierte Normen, gemeinsame Spezifikationen oder ein anerkanntes EU-Cybersecurity-Zertifizierungsschema angewandt hat. Fehlt dieser Nachweis, muss eine notifizierte Stelle eingebunden werden.
Das bedeutet in der Praxis: Hersteller von Klasse-I-Produkten, die bereits auf etablierte technische Standards setzen (z. B. einschlägige ETSI-Normen, sobald diese unter dem CRA harmonisiert sind), können Aufwand und Kosten für Drittprüfungen vermeiden. Wer ohne harmonisierte Norm arbeitet, kommt um eine externe Prüfung nicht herum.
Typische Produkte der Klasse I (schematisch, typischerweise — keine verbindliche Einzelfallbewertung):
- Software für Identitäts- und Zugriffsmanagement (IAM)
- Browser und browserähnliche Produkte
- Passwortmanager
- Software zur Malware-Erkennung und Endpoint-Schutz
- VPN-Produkte
- Netzwerkmanagement-Tools
- SIEM-Systeme (Security Information and Event Management)
- Boot-Manager und sichere Boot-Komponenten
- Public-Key-Infrastruktur (PKI) und Zertifikatsverwaltung
- Router, Modems und Switches
- Mikroprozessoren und Mikrocontroller mit sicherheitsbezogenen Funktionen
Wichtige Produkte — Klasse II: Notifizierte Stelle verpflichtend
Produkte der Klasse II (Anhang III, Teil II) unterliegen einer deutlich strengeren Anforderung: Die Beteiligung einer notifizierten Stelle ist in jedem Fall verpflichtend, unabhängig davon, ob harmonisierte Normen angewandt werden oder nicht. Das Konformitätsbewertungsverfahren folgt entweder dem Weg Modul B + Modul C (EU-Baumusterprüfung plus Konformitätsnachweis zur Bauart) oder dem Modul H (umfassende Qualitätssicherung).
Für Hersteller bedeutet das: Kapazitätsplanung bei notifizierten Stellen sollte frühzeitig beginnen. Da viele Hersteller gleichzeitig auf den Markt drängen werden, ist mit Engpässen bei akkreditierten Prüfstellen zu rechnen.
Typische Produkte der Klasse II (schematisch — keine verbindliche Einzelfallbewertung):
- Hypervisoren und Container-Runtimes
- Hardware-Firewalls sowie Systeme zur Angriffserkennung und -abwehr (IDS/IPS)
- Manipulationssichere Mikroprozessoren (Tamper-Resistant)
- Manipulationssichere Mikrocontroller
Kritische Produkte: Höchste Anforderungen an den Konformitätsnachweis
Produkte der Klasse „kritisch" (Anhang IV) tragen das höchste Risikopotenzial für Sicherheit und kritische Infrastruktur. Hier ist die Beteiligung einer notifizierten Stelle ausnahmslos verpflichtend — oder es muss ein verpflichtendes EU-Zertifizierungsschema angewandt werden, sobald ein solches für die betreffende Produktkategorie vorliegt.
Typische Produkte dieser Kategorie:
- Smartcards und vergleichbare Produkte
- Secure Elements (Hardware-Sicherheitsmodule auf Chipebene)
- Smart-Meter-Gateways
Das Kernfunktions-Prinzip: Worauf es bei der Einordnung ankommt
Ob ein Produkt als „wichtig" oder „kritisch" gilt, hängt nicht primär an Markennamen oder Branchenbezeichnungen, sondern an der tatsächlich übernommenen Funktion. Ein Produkt, das typischerweise in der Standard-Kategorie verortete Aufgaben übernimmt, kann in eine höhere Klasse fallen, wenn es zugleich Kernfunktionen eines Klasse-I- oder Klasse-II-Produkts ausübt (z. B. ein Gerät, das neben Heimautomation auch PKI-Dienste bereitstellt).
Die Durchführungsverordnung (EU) 2025/2392 liefert technische Beschreibungen zur Einordnung. Da die endgültige Klassifizierung eines konkreten Produkts von Funktion, Einsatzkontext und techn. Merkmalen abhängt, empfiehlt sich für komplexe Produkte eine strukturierte Betroffenheits- und Klassifizierungsanalyse.
Konformitätsbewertung: Die Verfahren im Detail
Modul A — Interne Kontrolle
Der Hersteller erstellt die technische Dokumentation, bewertet die Konformität selbst, stellt die EU-Konformitätserklärung aus und bringt die CE-Kennzeichnung an. Keine externe Stelle involviert. Zulässig für Standard-Produkte sowie bedingt für Klasse-I-Produkte (bei Anwendung harmonisierter Normen).
Modul B — EU-Baumusterprüfung
Eine notifizierte Stelle prüft das Produktmuster und stellt eine EU-Baumusterprüfbescheinigung aus. Zwingend kombiniert mit Modul C.
Modul C — Konformität mit der Bauart
Der Hersteller erklärt, dass sein Produkt dem geprüften Baumuster entspricht. Erfordert ein Qualitätsmanagementsystem für die Produktion.
Modul H — Umfassende Qualitätssicherung
Eine notifizierte Stelle bewertet das gesamte Qualitätsmanagementsystem des Herstellers (Design, Fertigung, Endprüfung) und überwacht es laufend. Alternative zu Modul B+C für Klasse-II-Produkte.
Zeitplan und strategische Empfehlung
Die Fristen sind eng bemessen:
- 11. September 2026: Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle sind einzuhalten — unabhängig von der Produktklasse.
- 11. Dezember 2027: Volle Produktanforderungen inkl. CE-Kennzeichnung und Konformitätsbewertung für alle Klassen.
Hersteller von Klasse-II- und kritischen Produkten sollten jetzt mit der Klassifizierungsanalyse beginnen, da Auditkapazitäten bei notifizierten Stellen begrenzt sind und der Aufbau eines CRA-konformen Qualitätsmanagementsystems mehrere Monate in Anspruch nimmt. Hersteller von Klasse-I-Produkten profitieren davon, frühzeitig zu klären, ob anwendbare harmonisierte Normen existieren — das entscheidet über den Aufwand für die Konformitätsbewertung.
Für eine erste Einordnung, ob Ihr Produkt überhaupt in den Geltungsbereich des CRA fällt, empfiehlt sich zunächst der interaktive Betroffenheits-Check. Die konkrete Klassifizierung und den passenden Konformitätspfad besprechen wir gerne in einem persönlichen Erstgespräch.
Interne Links: Weiterführende Artikel
- Erst Betroffenheit klären, dann Klassifizierung — systematische Prüfschritte für Hersteller, Importeure und Händler
- SBOM-Anforderungen nach Klasse — welche Software-Stücklisten-Tiefe je Produktklasse typischerweise erwartet wird
- Konformitätsbewertung im Gesamtüberblick — alle CRA-Pflichten auf einen Blick
Häufige Fragen
Wie finde ich heraus, in welche CRA-Produktklasse mein Produkt fällt?
Muss ich für ein Klasse-I-Produkt immer eine notifizierte Stelle einschalten?
Was ist der Unterschied zwischen Modul B+C und Modul H?
Gelten die Produktklassen-Anforderungen auch schon vor dem 11. Dezember 2027?
Was bedeutet die Durchführungsverordnung (EU) 2025/2392 für die Klassifizierung?
Sprechen wir über Ihre CRA-Readiness
Unsicher, in welche Klasse Ihr Produkt fällt? Christian Gebhardt, Geschäftsführer von Blackfort Technology und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs, begleitet Hersteller bei der CRA-Klassifizierung und der Auswahl des richtigen Konformitätspfads. Jetzt unverbindliches Erstgespräch anfragen.
Erstgespräch anfragen Betroffenheit prüfen