Cluster E · Kosten & Fristen

CRA-Konformitätsbewertung: Alle Module erklärt

Verfasst am
Lesezeit
9 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

CRA Konformitätsbewertung Module A bis H: Welches Modul gilt für welche Risikoklasse, wie läuft die Notified-Body-Prüfung ab und was kostet sie?

Inhaltsverzeichnis
  1. Warum das richtige Modul so wichtig ist
  2. Die Module im Überblick
  3. Modul A: Interne Fertigungskontrolle (Selbstbewertung)
  4. Was bedeutet Modul A?
  5. Für welche Produkte gilt Modul A?
  6. Modul B: EU-Baumusterprüfung
  7. Was bedeutet Modul B?
  8. Modul B+C: Baumusterprüfung + Konformitätserklärung
  9. Modul B+H: Baumusterprüfung + umfassendes QM-System
  10. Modul H: Umfassendes Qualitätssicherungssystem
  11. Was bedeutet Modul H?
  12. Welches Modul gilt für welche Klasse?
  13. NANDO-Datenbank: Wo finde ich akkreditierte Notified Bodies?
  14. Typische Kosten der Konformitätsbewertungsverfahren
  15. Häufige Fehler bei der Modulwahl
  16. Empfehlung: Entscheidungsbaum für die Modulwahl
  17. Quellen

Warum das richtige Modul so wichtig ist

Der Cyber Resilience Act schreibt nicht nur vor, was Hersteller tun müssen — er schreibt auch vor, wie sie nachweisen, dass sie es getan haben. Dieser Nachweis ist das Konformitätsbewertungsverfahren, und die Verfahren sind in Module eingeteilt.

Das falsche Modul zu wählen ist einer der teuersten Fehler im CRA-Prozess — weil er erst bei der Notified-Body-Prüfung auffällt.

Wer ein Important-Class-II-Produkt nach Modul A (Selbstbewertung) bewertet, merkt das Problem nicht in der eigenen Dokumentation. Sondern wenn ein Großkunde die Konformitätserklärung prüft, wenn eine Marktaufsichtsbehörde anfrägt oder wenn der Notified Body während eines Audits feststellt, dass das Modul für diese Produktklasse gar nicht zulässig ist. Dann beginnt der Prozess von vorne.

Was viele dabei übersehen: Die Modulstruktur im CRA leitet sich aus dem Beschluss 768/2008/EG des Europäischen Parlaments und des Rates ab — dem Referenzrahmen für Konformitätsbewertungsverfahren im europäischen Produktrecht.¹ Der CRA übernimmt diese Struktur und weist jedem Risikoniveau spezifische Module zu. Wer das nicht kennt, klassifiziert falsch.

Die Module im Überblick

ModulBezeichnungNotified Body?Typisch für
AInterne FertigungskontrolleNeinDefault-Klasse, Important Class I (mit Normen)
BEU-BaumusterprüfungJa (Prüfung)Basis für Modul B+C und B+H
CKonformität mit dem BaumusterNeinKombiniert mit Modul B
HUmfassendes QualitätssicherungssystemJa (Zertifizierung + Überwachung)Important Class II, Critical

Hinweis: CRA verwendet in der Praxis die Kombinationen Modul A, Modul B+C, Modul B+H und Modul H als eigenständige Verfahren. Die Module D, E, F und G des Beschluss 768/2008/EG werden vom CRA nicht verwendet.

Modul A: Interne Fertigungskontrolle (Selbstbewertung)

Was bedeutet Modul A?

Modul A ist das einfachste Konformitätsbewertungsverfahren. Hersteller bewerten selbst und eigenverantwortlich, ob ihr Produkt alle CRA-Anforderungen erfüllt. Kein externer Prüfer ist beteiligt.

Das bedeutet ausdrücklich nicht, dass der Aufwand gering ist. Modul A erfordert:

  • Vollständige Risikoanalyse nach Anhang I
  • Umsetzung aller zehn Sicherheitsanforderungen aus Anhang I
  • Erstellung der vollständigen technischen Dokumentation nach Anhang VII
  • SBOM als Pflichtbestandteil
  • Ausstellung der EU-Konformitätserklärung nach Anhang V
  • CE-Kennzeichnung am Produkt oder in der Begleitdokumentation

Was entfällt: die Einbeziehung einer Notified Body. Hersteller tragen die alleinige Verantwortung — was Flexibilität bietet, aber auch das volle Haftungsrisiko bedeutet.

Für welche Produkte gilt Modul A?

Default-Klasse (die große Mehrheit aller CRA-Produkte): Modul A ist zwingend und ausschließlich vorgesehen. Hersteller können keine andere Verfahrensoption wählen.¹

Important Class I (Anhang III, Klasse I) — mit Einschränkung: Modul A ist nur dann zulässig, wenn Hersteller vollständig harmonisierte europäische Standards oder Common Specifications anwenden, die im Amtsblatt der EU veröffentlicht wurden. Ohne diese Normen ist Modul A für Important Class I nicht erlaubt.¹

Genau hier passieren in der Praxis die meisten Fehleinschätzungen. Ein Hersteller von embedded-Software für Heizungssteuerungen — Anhang III Klasse I — plant Modul A, prüft aber nie, ob die einschlägigen harmonisierten Standards überhaupt schon veröffentlicht sind. Sind sie oft nicht.

Praktischer Hinweis 2026: Viele der relevanten harmonisierten CRA-Standards (insbesondere die EN-18031-Reihe) sind derzeit noch nicht vollständig veröffentlicht. Hersteller von Important-Class-I-Produkten, die den Modul-A-Weg planen, sollten regelmäßig beim Europäischen Normungsinstitut ETSI sowie im EU-Amtsblatt prüfen, wann die einschlägigen Standards die formale Veröffentlichung erlangen.

Modul B: EU-Baumusterprüfung

Was bedeutet Modul B?

Modul B ist kein eigenständiges Konformitätsbewertungsverfahren — es ist der erste Teil der Kombinationen Modul B+C und Modul B+H. In Modul B prüft eine Notified Body (notifizierte Stelle) ein repräsentatives Muster des Produkts auf Übereinstimmung mit den CRA-Anforderungen.

Der Prüfungsablauf:

  1. Hersteller stellen der Notified Body einen vollständigen technischen Dokumentationsordner zur Verfügung (nach Anhang VII)
  2. Die Notified Body prüft die Dokumentation und das Baumuster
  3. Sie bewertet, ob die Sicherheitsanforderungen aus Anhang I erfüllt sind
  4. Bei positivem Ergebnis: Ausstellung einer EU-Baumusterprüfbescheinigung

Die EU-Baumusterprüfbescheinigung ist zeitlich befristet — in der Regel auf 5 Jahre. Bei wesentlichen Produktänderungen und bei Ablauf ist eine Verlängerung oder Neuprüfung erforderlich.

Modul B+C: Baumusterprüfung + Konformitätserklärung

Nach abgeschlossener Modul-B-Prüfung erklärt der Hersteller in Modul C, dass das in Verkehr gebrachte Produkt dem geprüften Baumuster entspricht. Die laufende Fertigungskontrolle liegt beim Hersteller, ohne weitere Notified-Body-Einbindung in der Produktion.

Modul B+C ist für Important Class II und Critical zugelassen.¹

Modul B+H: Baumusterprüfung + umfassendes QM-System

Hier kombiniert der Hersteller die Baumusterprüfung (Modul B) mit einem vollständigen Qualitätssicherungssystem (Modul H), das eine Notified Body zertifiziert und laufend überwacht. Modul B+H ist aufwändiger als B+C, bietet aber den Vorteil, dass Hersteller bei nachgewiesener QM-Reife in bestimmten Fällen flexibler in der Produktentwicklung agieren können.

Modul H: Umfassendes Qualitätssicherungssystem

Was bedeutet Modul H?

Modul H ist das anspruchsvollste Verfahren und kann ohne vorherige Baumusterprüfung (Modul B) eingesetzt werden. Hersteller legen ihrer gesamten Entwicklung, Fertigung und Prüfung ein umfassendes Qualitätssicherungssystem zugrunde, das eine Notified Body:

  • Erstprüft (Audit zur Zertifizierung des QM-Systems)
  • Zulässt (formale Ausstellung einer QM-Systemzulassung)
  • Laufend überwacht (periodische Folgeaudits, in der Regel jährlich)

Dabei prüft die Notified Body, ob das QM-System alle CRA-relevanten Entwicklungs- und Fertigungsprozesse abdeckt — Risikoanalyse, Sicherheitstests, Schwachstellenmanagement, Updateprozesse.

Für wen ist Modul H geeignet?

Besonders vorteilhaft ist Modul H für Hersteller, die:

  • Mehrere Produkte in der gleichen Risikoklasse vermarkten
  • Ein bereits nach ISO 9001 oder ISO 27001 zertifiziertes QM-System haben, das um CRA-Anforderungen erweitert werden kann
  • Häufige Produktvarianten oder schnelle Entwicklungszyklen haben (weil nicht jede Version einzeln geprüft wird)

Konkret: Ein Industrie-4.0-Anbieter, der zwanzig verschiedene industrielle MQTT-Gateways in Anhang III Klasse II führt, fährt mit Modul H oft wirtschaftlicher als mit zwanzig einzelnen B+C-Verfahren. Das ist der Punkt, den viele übersehen.

Modul H ist für Important Class II und Critical zugelassen.¹

Welches Modul gilt für welche Klasse?

RisikoklasseModul AModul B+CModul B+HModul H
DefaultPflichtNicht vorgesehenNicht vorgesehenNicht vorgesehen
Important Class I (mit harmonisierten Normen)ErlaubtErlaubtErlaubtErlaubt
Important Class I (ohne harmonisierte Normen)Nicht erlaubtPflicht (eine der Optionen)ErlaubtErlaubt
Important Class IINicht erlaubtErlaubtErlaubtErlaubt
CriticalNicht erlaubtErlaubtNicht vorgesehenErlaubt

Für Critical-Produkte kann die EU-Kommission per delegiertem Rechtsakt vorschreiben, dass zusätzlich ein europäisches Cybersicherheits-Zertifikat (EUCC) nach der EU-Cybersicherheitsverordnung 2019/881 erforderlich ist oder als Konformitätsnachweis anerkannt wird.¹

NANDO-Datenbank: Wo finde ich akkreditierte Notified Bodies?

Die NANDO-Datenbank (New Approach Notified and Designated Organisations) ist das offizielle Verzeichnis der EU-Kommission für akkreditierte Notified Bodies. Für den CRA wird NANDO die Liste der nach CRA-Verordnung notifizierten Stellen führen.

Aktuelle Situation (Mai 2026): Die CRA-spezifische Notifizierung der Prüfstellen läuft schrittweise an. Für die technische Prüfung der Cybersicherheitsanforderungen kommen insbesondere in Betracht:

  • Technisch-organisatorisch akkreditierte Prüflabore (z. B. TÜV, Dekra, LSTI, SGS)
  • IT-Sicherheitsprüfstellen mit bestehender BSZ/EUCC-Erfahrung (z. B. BSI-Prüfstellen, SGS-FIMKO)

NANDO-Datenbank: https://ec.europa.eu/growth/tools-databases/nando/

Hinweis: Für das BSI als nationale Marktaufsicht in Deutschland gibt es darüber hinaus eigene Ansprechpartner für CRA-Fragen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/

Typische Kosten der Konformitätsbewertungsverfahren

Die folgenden Kostenschätzungen sind Richtwerte auf Basis von Markterfahrungen im europäischen Produktzertifizierungsbereich. Individuelle Angebote können je nach Produktkomplexität, Region und Notified Body erheblich abweichen.

VerfahrenTypischer KostenrahmenZeitaufwand
Modul A (Selbstbewertung)15.000–60.000 € (interne Kosten: Personal, Tools, Dokumentation)3–9 Monate
Modul B (Baumusterprüfung)20.000–80.000 € (Notified-Body-Gebühr)3–6 Monate
Modul B+C (gesamt)25.000–100.000 €4–8 Monate
Modul H (QM-System-Zertifizierung)40.000–150.000 € (Erstprüfung + jährliche Überwachung ~10.000–20.000 €/Jahr)6–12 Monate

Einordnung: Diese Zahlen erscheinen hoch. Sind sie auch. Aber im Verhältnis zu den CRA-Bußgeldern (bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes) und dem Reputationsschaden eines Marktrücknahme-Verfahrens relativieren sie sich schnell. Für KMUs bieten einige Notified Bodies schlankere Prüfverfahren an, die gezielt auf die Größe des Unternehmens und die Komplexität des Produkts abgestimmt sind.

Häufige Fehler bei der Modulwahl

Fehler 1: Modul A für Important Class I ohne harmonisierte Normen Der häufigste Fehler überhaupt: Ein Hersteller von industriellen Fernwartungskomponenten — Anhang III Klasse I — wählt Modul A, ohne zu prüfen, ob die einschlägigen harmonisierten Standards bereits im Amtsblatt veröffentlicht sind. Ohne diese Normen ist Modul A unzulässig. Punkt.

Fehler 2: Modul A für Important Class II oder Critical Diese Produktklassen schließen Modul A kategorisch aus — unabhängig davon, welche Normen angewendet werden. Wer das übersieht, muss den gesamten Konformitätsprozess wiederholen.

Fehler 3: Notified Body zu spät einbinden Notified Bodies haben begrenzte Kapazitäten. Wer erst im zweiten Halbjahr 2027 eine Notified Body sucht, riskiert, bis zum Dezember-2027-Stichtag keinen Prüfungstermin zu bekommen. Das klingt nach einem fernen Problem. Ist es nicht.

Fehler 4: Modulwahl ohne Produktklassifizierung Richtige Modulwahl setzt voraus, dass Hersteller die Produktklasse korrekt bestimmt haben. Wer sich bei der Klassifizierung irrt (Anhang III oder IV?), wählt zwangsläufig das falsche Modul. Eine indikative Klassifizierung erhalten Sie über den kostenlosen CRA-Check.

Empfehlung: Entscheidungsbaum für die Modulwahl

  1. Klasse bestimmen (Anhang IV → Critical; Anhang III Klasse II → Important II; Anhang III Klasse I → Important I; sonst → Default)
  2. Default? → Modul A — fertig.
  3. Important Class I? → Prüfen, ob einschlägige harmonisierte Standards veröffentlicht sind.
    • Ja → Modul A zulässig (aber freiwillig auch B+C, B+H, H möglich)
    • Nein → Notified Body erforderlich; Modul B+C, B+H oder H wählen
  4. Important Class II oder Critical? → Notified Body zwingend. Wahl zwischen B+C, B+H oder H nach strategischen Kriterien (Produktanzahl, QM-Reife, Entwicklungsgeschwindigkeit).
  5. Critical? → Zusätzlich prüfen, ob delegierter Rechtsakt eine EUCC-Pflicht vorschreibt.

Für die vollständige Übersicht aller Pflichten lesen Sie CRA-Pflichten für Hersteller. Die Risikoklassen sind unter CRA Risikoklassen detailliert beschrieben.

Quellen

  1. EU-Verordnung 2024/2847 (Cyber Resilience Act), Artikel 32–36, Anhang V, Anhang VII, Anhang VIII: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. Beschluss 768/2008/EG des Europäischen Parlaments und des Rates (Konformitätsbewertungsmodule A bis H): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32008D0768
  3. EU-Kommission — NANDO-Datenbank (Notified Bodies): https://ec.europa.eu/growth/tools-databases/nando/
  4. BSI — CRA und Konformitätsbewertung, technische Anforderungen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  5. ENISA — Guidance on CRA Conformity Assessment: https://www.enisa.europa.eu/topics/cyber-resilience-act
  6. EU-Verordnung 2019/881 (Cybersecurity Act, EUCC): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R0881

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.