Cluster E · Kosten & Fristen

Den richtigen Notified Body für CRA finden

Verfasst am
Lesezeit
6 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Welcher Notified Body prüft CRA-Produkte wirklich? NANDO-Datenbank nutzen, Auswahlkriterien kennen, Red Flags erkennen — und 2027 nicht zu spät anfangen.

Inhaltsverzeichnis
  1. Was ein Notified Body ist — und warum er im CRA eine andere Rolle spielt
  2. Der aktuelle Stand: Wenige akkreditierte Stellen, viele wartende Hersteller
  3. Welche Stellen sind für welche Produkte relevant?
  4. Auswahlkriterien: Was wirklich zählt
  5. 1. NANDO-Listung für den richtigen CRA-Bereich
  6. 2. Erfahrung mit CRA vs. verwandten Frameworks
  7. 3. Kapazität und realistische Zeitplanung
  8. 4. Sprache und Kommunikation
  9. 5. Preis und Transparenz
  10. Red Flags: Was Sie misstrauisch machen sollte
  11. Zeitplanung: Die Sequenz, die Sie kennen müssen
  12. Quellen

Was ein Notified Body ist — und warum er im CRA eine andere Rolle spielt

Ein Notified Body ist eine von einem EU-Mitgliedstaat benannte und der EU-Kommission gemeldete unabhängige Prüfstelle. „Notifiziert” heißt: Der Mitgliedstaat bestätigt gegenüber der Kommission, dass diese Stelle die technische Kompetenz und organisatorische Unabhängigkeit besitzt, um Konformitätsbewertungen für einen bestimmten Produktbereich durchzuführen. In Deutschland ist die Bundesanstalt für Materialforschung und -prüfung (BAM) die zuständige Akkreditierungsbehörde; die Deutsche Akkreditierungsstelle (DAkkS) spielt bei der Zulassung ebenfalls eine Rolle.¹

Für bestimmte Produktklassen schreibt der CRA einen Notified Body zwingend vor: Hersteller von Important Class II- und Critical-Produkten können die Konformität nicht selbst bescheinigen — sie brauchen eine externe, notifizierte Stelle. Important Class I-Hersteller benötigen einen Notified Body dann, wenn sie keine vollständig anwendbaren harmonisierten europäischen Standards einsetzen können — was angesichts des aktuellen Standardisierungsstands für viele Produkte bis 2027 der Realfall sein wird.²

Das ist der Punkt, den viele übersehen: Der CRA unterscheidet sich von früheren Produktsicherheits-Richtlinien in einem entscheidenden Detail. Die Notifizierung gilt produktbereichsspezifisch. Ein Notified Body, der für die Radio Equipment Directive (RED) akkreditiert ist, ist nicht automatisch für CRA-Bewertungen berechtigt. Das ist keine Fußnote — das ist ein echter Engpassfaktor für 2026 und 2027.

Der aktuelle Stand: Wenige akkreditierte Stellen, viele wartende Hersteller

Die NANDO-Datenbank (New Approach Notified and Designated Organisations) der EU-Kommission listet alle offiziell notifizierten Stellen nach Richtlinie und Produktkategorie: https://ec.europa.eu/growth/tools-databases/nando/

Stand Frühjahr 2026: Die Zahl der für den Cyber Resilience Act spezifisch notifizierten Stellen ist im einstelligen Bereich. Die meisten großen Prüfinstitute — TÜV SÜD, TÜV Rheinland, Bureau Veritas, SGS, DEKRA — haben CRA-Bewertungsprogramme angekündigt oder befinden sich im Akkreditierungsverfahren. Einige operieren bereits unter vorläufiger Notifizierung im Rahmen bestehender Produktsicherheits-Akkreditierungen.

Das Problem ist nicht das Fehlen kompetenter Stellen. Das Problem ist die schiere Menge von Herstellern, die bis Dezember 2027 eine externe Bewertung abgeschlossen haben müssen — bei begrenzter Kapazität auf Seiten der Prüfstellen. Ein vollständiges CRA-Audit für Important Class II dauert je nach Produktkomplexität sechs bis zwölf Monate. Bei einer Firewall oder einem Hypervisor mit komplexer Codebasis sind Zeiträume am oberen Ende dieser Spanne realistischer.

Wer erst im Frühjahr 2027 einen Notified Body sucht, wird für sein Produkt keinen Termin vor dem Dezember-Stichtag bekommen.

Keine Prognose. Zwingend aus den verfügbaren Kapazitäten und den bekannten Produktzahlen in der EU. Die Kommission schätzt, dass Tausende von Produkten in die wichtigen Klassen fallen werden. Die akkreditierten Stellen zählen aktuell im zweistelligen Bereich.

In der Praxis erleben wir: Besonders IoT-Startups und mittelständische Maschinenbauer unterschätzen diesen Flaschenhals systematisch. Ein Hersteller von industriellen MQTT-Gateways — typischerweise Important Class II — braucht nicht nur einen freien Prüftermin, sondern auch eine Stelle, die Erfahrung mit genau dieser Gerätearchitektur mitbringt. Beides gleichzeitig zu finden, wird 2027 schwer.

Welche Stellen sind für welche Produkte relevant?

Alle großen europäischen Prüfinstitute kommen aus dem CE-Marking-Umfeld und haben unterschiedliche Stärken:

TÜV SÜD (München): Starke Kompetenz im Bereich Cybersecurity für industrielle Systeme (OT/ICS), Smart-Home und IoT. Hat eigene Cybersecurity Testing Labs und ist in der EUCC-Zertifizierung aktiv. Für Hersteller von Industriesteuerungen, Netzwerkkomponenten und Embedded Systems erste Adresse.

TÜV Rheinland (Köln): Breites Spektrum von Consumer IoT über Medizinprodukte bis zu Enterprise-Software. Hat CRA-spezifische Beratungs- und Prüfangebote früh angekündigt. Gute Kapazitäten für mittelständische Hersteller.

DEKRA (Stuttgart): Stark bei Automotive und industriellen Anwendungen, zunehmend auch in der Cybersecurity. Relevant für Hersteller, die bereits in anderen Bereichen mit DEKRA zusammenarbeiten.

Bureau Veritas / SGS: Internationale Prüfkonzerne mit EU-Präsenz. Relevant wenn internationale Zertifizierung parallel gebraucht wird (z. B. für Märkte außerhalb der EU). Weniger spezialisiert auf deutsche Mittelstandskunden.

Für Hersteller von Produkten, die in die Critical-Klasse fallen (HSM, Smart Meter Gateways, Chipkarten), sind spezialisierte Stellen mit EUCC-Akkreditierung relevant — der Markt ist hier noch enger.

Auswahlkriterien: Was wirklich zählt

1. NANDO-Listung für den richtigen CRA-Bereich

Nicht verhandelbar. Bevor Sie ein erstes Gespräch führen: Überprüfen Sie in der NANDO-Datenbank, ob die Stelle für den CRA und für die relevante Produktkategorie notifiziert ist. Akkreditierung für RED oder MDR reicht nicht. Fragen Sie nach dem aktuellen Notifizierungsstatus — manche Stellen sind im Antragsverfahren und können erst ab einem bestimmten Datum tätig werden.

2. Erfahrung mit CRA vs. verwandten Frameworks

Stellen, die aus dem RED- oder MDR-Bereich kommen, kennen Konformitätsbewertungsverfahren — aber die spezifischen Anforderungen des CRA (SBOM, Schwachstellenmanagement, Lifecyclebetrachtung) sind neu. Fragen Sie konkret: Wie viele CRA-Bewertungen hat die Stelle bereits abgeschlossen? Welche Branchen? Welche Produktkomplexität?

Konkret bedeutet das: Ein Anbieter von embedded Software für Heizungssteuerungen sollte nicht einfach den nächstgelegenen TÜV beauftragen — sondern gezielt fragen, ob die Stelle Erfahrung mit ähnlich gelagerten Embedded-Systemen und den dazugehörigen Lifecycle-Anforderungen nach Art. 13 EU-VO 2024/2847 hat.

3. Kapazität und realistische Zeitplanung

Fragen Sie nach dem nächsten verfügbaren Starttermin für ein Audit und nach der geschätzten Gesamtdauer. Wenn eine Stelle für Ihr Produktprofil erst in einem Jahr Kapazitäten hat, ist das eine relevante Information — sie müssen sie jetzt kennen, nicht in acht Monaten.

4. Sprache und Kommunikation

Technische Audits werden in aller Regel auf Englisch oder Deutsch durchgeführt. Für kleine und mittelständische Hersteller ohne dedicated Compliance-Team ist deutschsprachige Kommunikation ein echter Vorteil — nicht wegen Kompetenz, sondern wegen Effizienz und Fehlervermeidung.

5. Preis und Transparenz

Preisspannen für CRA-Audits werden selten öffentlich kommuniziert. Grobe Orientierung: Für ein Important Class II-Produkt mittlerer Komplexität sollten Sie mit Kosten zwischen 30.000 und 100.000 Euro rechnen — je nach Scope, Dokumentationsstand und Stelle. Critical-Produkte liegen darüber. Holen Sie mindestens zwei Vergleichsangebote ein. Lassen Sie sich die Kosten detailliert aufschlüsseln (Vorbewertung, Hauptaudit, Berichterstellung, Nachprüfung).

Das klingt nach viel. Ist es auch — aber gemessen an den Marktfolgen eines Vertriebsstopps durch fehlende Konformität ist es kalkulierbar.

Red Flags: Was Sie misstrauisch machen sollte

“CRA-Zertifizierung in 4–6 Wochen”: Unrealistisch für jedes Produkt jenseits der Default-Klasse. Ein vollständiges Audit für Important Class II umfasst technische Dokumentation, SBOM-Prüfung, Sicherheitsarchitektur-Review und in der Regel auch Penetrationstests. Sechs Wochen reichen nicht einmal für die Vorbereitung.

Keine NANDO-Listung, aber “CRA-ready”: Manche Beratungsunternehmen bieten „CRA-Assessments” an, die keinen offiziellen Konformitätsnachweis erzeugen. Nicht wertlos — aber kein Ersatz für die externe Bewertung durch einen notifizierten Notified Body, wenn Ihr Produkt sie zwingend braucht.

Fehlende Referenzen aus dem Bereich: Wenn eine Stelle noch kein einziges CRA-Audit abgeschlossen hat, sind Sie als Hersteller de facto ihr erster Testfall. Das kann funktionieren — aber Sie sollten es wissentlich eingehen.

Pauschale Bewertung ohne Produktkenntnis: Seriös arbeitende Stellen fragen vor einer Angebotserstellung detailliert nach dem Produkttyp, der Architektur, den Zielmärkten und dem aktuellen Dokumentationsstand. Ein Angebot ohne diese Informationen bedeutet, dass die Stelle Ihre spezifischen Anforderungen nicht verstanden hat.

Was viele CRA-Berater nicht sagen: Auch etablierte Prüfinstitute können strukturell überfordert sein, wenn das Produktprofil zu weit von ihrer bisherigen Erfahrung entfernt liegt. Ein TÜV mit starker Automotive-Historie ist nicht automatisch die richtige Wahl für einen Industrie-4.0-Anbieter mit komplexer Cloud-Anbindung.

Zeitplanung: Die Sequenz, die Sie kennen müssen

Selbst wenn Sie heute anfangen, ist der Weg bis zum abgeschlossenen Konformitätszertifikat lang:

  1. Interne Vorbereitung: Technische Dokumentation, SBOM, Risikoanalyse, Schwachstellenmanagement-Prozesse müssen vollständig vorliegen, bevor ein externes Audit beginnt. Je nach aktuellem Stand: 3–9 Monate.
  2. Auswahl und Beauftragung Notified Body: NANDO prüfen, Angebote einholen, Vertrag schließen. 4–8 Wochen.
  3. Vorab-Sichtung der Dokumentation: Die Stelle prüft Ihre Unterlagen vor dem eigentlichen Audit. 4–8 Wochen.
  4. Hauptaudit: Technischer Review, ggf. Vor-Ort-Termin, Tests. 4–12 Wochen abhängig von Produktkomplexität.
  5. Bericht und Freigabe: Nacharbeiten aufgrund von Findings, finale Freigabe. 4–8 Wochen.

Gesamtdauer vom heutigen Tag bis zum Zertifikat: Realistisch 9 bis 18 Monate. Bis Dezember 2027 konform sein zu wollen bedeutet heute — Frühjahr 2026 — gerade noch genug Vorlaufzeit, wenn die interne Dokumentation gut ist. Wer noch am Anfang der Dokumentationsarbeit steht, sollte das nüchtern einkalkulieren.

Für eine Übersicht aller relevanten CRA-Stichtage lesen Sie CRA-Fristen 2026 und 2027. Die interne Vorbereitung für ein externes Audit beginnt mit der CRA-Selbstbewertung. Einen Überblick über die Produktklassen, für die ein Notified Body zwingend ist, finden Sie unter CRA-Risikoklassen.

Quellen

  1. EU-Verordnung 2024/2847 (Cyber Resilience Act), Artikel 43–50 (Konformitätsbewertungsverfahren und Notified Bodies), Anhang VIII (EU-Baumusterprüfung), Anhang IX (Vollständiges Qualitätssicherungssystem): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. EU-Kommission — NANDO-Datenbank (New Approach Notified and Designated Organisations): https://ec.europa.eu/growth/tools-databases/nando/
  3. ENISA — Überblick Konformitätsbewertung CRA: https://www.enisa.europa.eu/topics/cyber-resilience-act
  4. BSI — Marktaufsicht und Konformitätsbewertung: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  5. DAkkS — Akkreditierung Konformitätsbewertungsstellen: https://www.dakks.de/

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.