CRA Risikoklassen: Default, Important, Critical erklärt

Warum gibt es Risikoklassen?

Der Cyber Resilience Act (EU-Verordnung 2024/2847) differenziert beim Konformitätsbewertungsverfahren nach dem Risikoniveau eines Produkts. Die Logik dahinter ist einfach: Nicht jedes vernetzte Produkt trägt das gleiche Risiko für kritische Infrastrukturen, die öffentliche Sicherheit oder Endnutzer.

Ein vernetztes Thermometer im Heimbereich und ein Hypervisor in einem Rechenzentrum sind beide „Produkte mit digitalen Elementen” — aber das Schadenspotenzial einer Kompromittierung ist grundlegend verschieden. Der CRA trägt dem Rechnung, indem er für höhere Risikoklassen strengere Nachweispflichten und externe Prüfung vorschreibt.

Was viele CRA-Berater nicht sagen: Die Klassifizierung regelt ausschließlich das Konformitätsbewertungsverfahren — also wie der Hersteller nachweist, dass er konform ist. Die inhaltlichen Sicherheitsanforderungen aus Anhang I gelten für alle Klassen gleichermaßen.¹ Ein Default-Produkt muss dieselbe Risikoanalyse, dieselbe SBOM und dasselbe Schwachstellenmanagement vorweisen wie ein Important-Class-I-Produkt — nur der externe Prüfaufwand unterscheidet sich.

Übersicht aller vier Klassen

Klasse 1: Default — für den Großteil aller Produkte

Wer fällt darunter?

Zur Default-Klasse gehören alle Produkte mit digitalen Elementen, die nicht in Anhang III oder Anhang IV der Verordnung aufgelistet sind. Laut Schätzungen der EU-Kommission fallen rund 80–90 % aller CRA-Produkte in diese Klasse.¹

Welche Produkte sind typische Default-Produkte?

• IoT-Sensoren und -Gateways ohne Sicherheitsfunktion (z. B. ein Feuchtigkeitssensor, der Daten per MQTT in die Cloud sendet)
• Vernetzte Industriesteuerungen (SPS, IPC) ohne Sicherheitsfunktion
• Smart-Home-Geräte (Glühbirnen, Thermostate, Steckdosen) — sofern kein Sicherheits-Hub
• B2B-SaaS-Anwendungen mit lokal installierter Client-Komponente (z. B. eine Desktop-App, die sich per API mit einem Cloud-Service verbindet)
• Vernetzte Maschinen und Maschinenkomponenten
• Router und Switches ohne Sicherheitsfunktion
• Consumer-Produkte mit Konnektivität (Fitnessarmbänder, vernetzte Haushaltsgeräte)
• Eingebettete Software in vernetzten Produkten

Konformitätsbewertung: Selbstbewertung nach Modul A

Hersteller von Default-Produkten können die Konformität selbst bewerten (Modul A — interne Fertigungskontrolle). Konkret bedeutet das:

• Keine externe Prüfstelle (Notified Body) erforderlich
• Hersteller führt Risikoanalyse durch, setzt Anhang-I-Anforderungen um, erstellt technische Dokumentation
• Hersteller stellt EU-Konformitätserklärung aus und bringt CE-Kennzeichnung an
• Prüft die Marktaufsichtsbehörde im Nachgang, kann sie jederzeit Einsicht in die technische Dokumentation fordern

Das klingt nach wenig Aufwand. Ist es aber nicht. Selbstbewertung bedeutet nicht, dass Pflichten entfallen — alle inhaltlichen Anforderungen (Risikoanalyse, SBOM, Meldepflicht, technische Dokumentation) gelten vollständig. Nur die externe Prüfung entfällt.

Nehmen wir ein konkretes Beispiel: Ein IoT-Startup, das industrielle MQTT-Gateways für die Gebäudeautomation entwickelt — klassisches Default-Produkt — muss trotzdem eine vollständige SBOM aller Softwarekomponenten vorhalten, Schwachstellen aktiv monitoren und innerhalb von 24 Stunden an ENISA melden, sobald eine aktiv ausgenutzte Sicherheitslücke entdeckt wird (Art. 14 EU-VO 2024/2847). Der Unterschied zur Important Class I liegt ausschließlich darin, dass kein Notified Body diese Dokumentation vorab abnimmt. Wer das als „weniger Arbeit” liest, hat die Verordnung falsch verstanden.

Klasse 2: Important Class I (Anhang III, Klasse I)

Produktliste aus Anhang III

Anhang III Klasse I enthält eine abschließende Liste sicherheitsrelevanter Produktkategorien. Dazu gehören laut Verordnung:¹

• Identitäts- und Zugriffsmanagement-Systeme (IAM) — z. B. Single-Sign-On-Lösungen, die Unternehmensanmeldungen verwalten
• Passwort-Manager — sowohl Consumer- als auch Enterprise-Varianten
• Browser (sowohl für Verbraucher als auch für professionelle Anwendungen)
• VPN-Software für Endnutzer
• Smart-Home-Hubs (Geräte, die andere Smart-Home-Geräte steuern) — z. B. ein Zigbee-Gateway, das Lampen, Thermostate und Schlösser koordiniert
• Sicherheits-Token (Hardware-Sicherheitsschlüssel, Software-Token)
• Netzwerk-Management-Software
• Antivirensoftware und Anti-Malware-Produkte
• Router und Modems für den Einsatz in Wohn- und Büroumgebungen
• Sicherheitsprodukte für Gebäude (intelligente Schlösser, Alarmsysteme)
• Vernetzte Spielzeuge mit Sprach- oder Standortfunktion
• Wearables im Gesundheitsbereich (außerhalb MDR-Bereich)

Konformitätsbewertung: Mit oder ohne harmonisierte Standards

Important Class I hat eine Besonderheit: Ob ein Notified Body einzubinden ist, hängt davon ab, ob der Hersteller harmonisierte europäische Standards oder Common Specifications anwendet:¹

• Mit vollständiger Anwendung harmonisierter Standards: Selbstbewertung nach Modul A ist möglich.
• Ohne vollständige Anwendung harmonisierter Standards: Hersteller müssen einen Notified Body einbeziehen (Modul B+C, B+H oder Modul H).

Was sind harmonisierte Standards im CRA-Kontext? Die Standardisierungsorganisationen CEN, CENELEC und ETSI entwickeln derzeit entsprechende Standards auf Mandat der EU-Kommission. Als besonders relevant gelten ETSI EN 303 645 (Consumer IoT) und die Reihe EN 18031 (in Entwicklung). Den aktuellen Stand rufen Hersteller beim Europäischen Normungsinstitut ab — wichtig dabei: Noch sind viele dieser Standards nicht verabschiedet, weshalb sich die Anforderungen an die Selbstbewertung bis Ende 2026 konkretisieren werden.

Das ist der Punkt, den viele übersehen: Wer als Important-Class-I-Hersteller jetzt auf den Weg über harmonisierte Standards setzt, plant mit etwas, das noch nicht vollständig existiert. Kalkulierbares Risiko — aber keines, das man ungeprüft eingehen sollte. Ein Maschinenbauer, der Netzwerk-Management-Software für seine Fertigungsanlagen bündelt, steht genau vor dieser Frage: Selbstbewertung auf Basis noch nicht finalisierter Standards, oder Notified Body einplanen und Sicherheit kaufen? Wer auf Nummer sicher gehen will, nimmt einen Notified Body in Anspruch, auch wenn das teurer ist. Angesichts der Notified-Body-Kapazitäten ab Juni 2026 sollten Hersteller in dieser Klasse die Entscheidung frühzeitig treffen.

Klasse 3: Important Class II (Anhang III, Klasse II)

Produktliste aus Anhang III

Anhang III Klasse II enthält besonders sicherheitskritische Produktkategorien, für die der CRA externe Prüfung vorschreibt:¹

• Hypervisoren und Container-Runtimes (Virtualisierungsplattformen) — z. B. ein kommerziell vertriebener Hypervisor für On-Premise-Rechenzentren eines KMU
• Public-Key-Infrastrukturen (PKI) und Zertifizierungsanwendungen — z. B. interne CA-Software für Unternehmens-Zertifikate
• Firewalls — sowohl für Unternehmen als auch persönliche Firewalls, unabhängig von der Betriebsgröße
• Mikrocontroller mit Sicherheitskomponenten (Tamper-resistente Hardware für Sicherheitsfunktionen)

Konformitätsbewertung: Notified Body zwingend

Für Important Class II ist die Einbeziehung einer notifizierten Stelle nicht optional. Hersteller müssen eines der folgenden Module anwenden:¹

• Modul B+C: EU-Baumusterprüfung durch Notified Body (Modul B), gefolgt von Konformitätserklärung des Herstellers (Modul C)
• Modul B+H: EU-Baumusterprüfung (Modul B) kombiniert mit umfassendem Qualitätssicherungssystem (Modul H)
• Modul H: Vollständiges Qualitätssicherungssystem, das der Notified Body bewertet und überwacht

In der Praxis erleben wir: Wer in diese Klasse fällt und noch keinen Notified Body kontaktiert hat, gerät unter Zeitdruck. Nicht erst nach Erscheinen der NANDO-Datenbank im Juni 2026 — jetzt. Konkret bedeutet das: Ein Industrie-4.0-Anbieter, der eine Firewall-Lösung für vernetzte Produktionsumgebungen vertreibt, braucht mehrere Monate allein für den Bewertungsprozess. Wer erst im Sommer 2026 beginnt, wird den Dezember-2027-Stichtag mit hoher Wahrscheinlichkeit nicht einhalten.

Alle CRA-Fristen und Stichtage finden Sie unter CRA-Fristen 2026 und 2027.

Klasse 4: Critical Products (Anhang IV)

Eine sehr enge Produktliste

Anhang IV des CRA enthält die kleinste, aber regulatorisch anspruchsvollste Gruppe. Stand der Verordnung umfasst diese Klasse:¹

• Hardware Security Devices mit Sicherheitsfunktion (HSM — Hardware Security Modules), z. B. dedizierte HSM-Appliances für Schlüsselverwaltung in Rechenzentren
• Smart Meter Gateways (intelligente Messsysteme im Energiebereich), die für die Kommunikation zwischen Messsystem und Energieversorger zuständig sind
• Chipkarten und ähnliche Geräte mit kryptographischen Schlüsseln und Sicherheitsfunktionen (Smartcards IC)

Konformitätsbewertung: Notified Body plus ggf. EUCC

Für Critical Products gilt:¹

• Notified Body ist zwingend (Modul B+C oder Modul H)
• Zusätzlich kann die Europäische Kommission per delegiertem Rechtsakt festlegen, dass ein europäisches Cybersicherheits-Zertifikat (EUCC) nach der EU-Cybersicherheitsverordnung 2019/881 (Cybersecurity Act) als Konformitätsnachweis dient oder vorgeschrieben wird

Hersteller in dieser Klasse brauchen in der Regel spezialisierte Rechts- und technische Beratung — die Anforderungen und Prüfungsverfahren sind sehr spezifisch. Dazu kommt: Die Marktkapazitäten für die Zertifizierung kritischer Produkte sind begrenzt. Die wenigen akkreditierten Stellen werden früh ausgebucht sein.

Wie bestimme ich meine Klasse?

Die Bestimmung der richtigen Klasse folgt einer klaren Logik:

1. Schritt 1: Prüfen Sie, ob Ihr Produkt in Anhang IV aufgelistet ist → Critical
2. Schritt 2: Prüfen Sie, ob Ihr Produkt in Anhang III Klasse II aufgelistet ist → Important Class II
3. Schritt 3: Prüfen Sie, ob Ihr Produkt in Anhang III Klasse I aufgelistet ist → Important Class I
4. Schritt 4: Wenn nichts zutrifft → Default

Wichtig: Die Zuordnung erfolgt nach dem höchsten zutreffenden Risiko. Wenn ein Produkt Merkmale aus mehreren Klassen hat, gilt die höchste zutreffende Klasse.

Die Klassenlisten in Anhang III und IV sind abschließend — es gilt also nicht das Prinzip der „ähnlichen Produkte”, sondern ein klarer Listenansatz. Was Hersteller oft übersehen: Ein IAM-Modul, das als integrierter Bestandteil einer B2B-Software ausgeliefert wird, kann die gesamte Produktlinie in Important Class I heben. Sobald das Produkt also eine Funktion aus Anhang III Klasse I abdeckt — auch als Teilkomponente — greift die höhere Klasse. Im Zweifel sollte die Klassifizierung anwaltlich und ggf. mit der nationalen Marktaufsichtsbehörde abgestimmt werden.

Eine indikative Klassifizierung erhalten Sie in wenigen Minuten über den kostenlosen CRA-Check. Für die vollständige Übersicht aller Hersteller-Pflichten lesen Sie CRA-Pflichten für Hersteller.

Vergleich der Klassen auf einen Blick

Quellen

1. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 (Cyber Resilience Act), Artikel 2, Artikel 32–36, Anhang I, Anhang III (Klasse I und II), Anhang IV, Anhang VIII: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
2. BSI — CRA-Risikoklassen und Konformitätsbewertung: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
3. ENISA — CRA Product Classification Guidance: https://www.enisa.europa.eu/topics/cyber-resilience-act
4. EU-Kommission — NANDO-Datenbank (Notified Bodies): https://ec.europa.eu/growth/tools-databases/nando/
5. EU-Verordnung 2019/881 (Cybersecurity Act / EUCC-Grundlage): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R0881