Cluster B · Konkrete Aufgaben

CRA: Self-Assessment oder Notified Body?

Verfasst am
Lesezeit
7 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Wann Hersteller die CRA-Konformität selbst bewerten dürfen und wann ein Notified Body Pflicht ist — mit Kosten, Zeitrahmen und Kapazitätsrisiken.

Inhaltsverzeichnis
  1. Die Grundfrage, die viele Hersteller zu spät stellen
  2. Default-Klasse: Selbstbewertung als Regelweg
  3. Important Class I: Der Knackpunkt
  4. Important Class II und Critical: Notified Body ist Pflicht
  5. Was ist ein Notified Body, und wie findet man ihn?
  6. Realistische Kosten und Zeitrahmen
  7. Das Kapazitätsproblem: Unterschätzt und gefährlich
  8. Checkliste: Was Sie jetzt tun sollten
  9. Fazit

Die Grundfrage, die viele Hersteller zu spät stellen

Ob Sie Ihr Produkt selbst bewerten dürfen oder eine externe Prüfstelle beauftragen müssen — das entscheidet sich nicht nach Bauchgefühl. Maßgeblich sind die Risikoklasse Ihres Produkts und die Frage, ob harmonisierte Normen für Ihre Produktkategorie bereits existieren. Wer diese Weiche erst kurz vor der Markteinführung prüft, riskiert einen Zeitverzug von einem Jahr oder mehr.

Konkret zeigt dieser Artikel, welche Anforderungen der Cyber Resilience Act (Verordnung EU 2024/2847) an die Konformitätsbewertung stellt — mit realistischen Kosten und einem Blick auf das größte praktische Problem: die fehlende Kapazität bei notifizierten Stellen.

Default-Klasse: Selbstbewertung als Regelweg

Über 90 Prozent aller vernetzten Produkte fallen in die sogenannte Default-Klasse. Für diese Produkte sieht Artikel 28 CRA als Standardweg die interne Konformitätsbewertung vor.

Das bedeutet konkret: Der Hersteller bewertet selbst, ob sein Produkt die wesentlichen Anforderungen aus Anhang I erfüllt. Er erstellt eine technische Dokumentation nach Anhang VII, stellt eine EU-Konformitätserklärung nach Anhang V aus und bringt die CE-Kennzeichnung an. Eine externe Prüfstelle ist nicht vorgeschrieben.

Der Haken liegt im Wort „selbst”. Das setzt voraus, dass Sie wissen, was Anhang I von Ihnen verlangt. Die wesentlichen Anforderungen umfassen unter anderem eine Analyse bekannter Schwachstellen im Produkt und in allen Drittkomponenten, ein SBOM (Software Bill of Materials), sichere Standardkonfigurationen, ein Schwachstellen-Meldeverfahren gegenüber ENISA sowie die Bereitstellung von Sicherheitsupdates über die gesamte Unterstützungszeit. Das ist kein Papierkram — das ist Ingenieurarbeit.

Ein Hersteller von embedded Software für Heizungssteuerungen — typisches Default-Klasse-Produkt — muss trotzdem eine vollständige SBOM seiner verwendeten Open-Source-Bibliotheken vorlegen und ein dokumentiertes Patch-Verfahren nachweisen. Selbstbewertung heißt nicht: einfach.

Harmonisierte Normen wie die noch in Entwicklung befindlichen ETSI EN 303 645 (IoT) oder die geplante ISO/IEC 27001-Ableitung für Software-Prozesse können die Bewertung erleichtern: Wer nachweislich eine einschlägige harmonisierte Norm anwendet, profitiert von der Konformitätsvermutung (Artikel 27 CRA). Allerdings sind die meisten für den CRA relevanten harmonisierten Normen Stand Mitte 2026 noch nicht im EU-Amtsblatt veröffentlicht.

Important Class I: Der Knackpunkt

Für Produkte der Klasse Important I — das sind Produkte, die in Anhang III Gruppe 1 des CRA aufgeführt sind, darunter Browser, Passwortmanager, VPN-Clients, SIEM, Network Monitoring Tools und eine Reihe weiterer Kategorien — gilt eine verschärfte Regel:

  • Mit einschlägiger harmonisierter Norm: Selbstbewertung ist weiterhin möglich, wenn der Hersteller die Norm vollständig anwendet und dokumentiert.
  • Ohne einschlägige harmonisierte Norm: Pflicht zur externen Konformitätsbewertung. Der Hersteller muss entweder ein EU-Typprüfungsverfahren (Modul B + C) oder eine vollständige Qualitätssicherungsprüfung (Modul H) durch eine notifizierte Stelle durchführen lassen.

Was viele CRA-Berater nicht klar genug sagen: Für viele Produktkategorien der Klasse Important I existieren harmonisierte Normen Stand heute noch nicht oder sind noch nicht im Amtsblatt veröffentlicht. In der Übergangsphase werden viele Hersteller dieser Klasse faktisch gezwungen sein, einen Notified Body einzuschalten — auch wenn sie das eigentlich vermeiden könnten, sobald Normen vorliegen.

Ein IoT-Startup, das ein industrielles MQTT-Gateway für die Maschinenanbindung vertreibt und unter Important I fällt, steht damit vor einer unschönen Wahl: Notified Body einschalten und 4–6 Monate Vorlauf einplanen — oder auf eine harmonisierte Norm warten, die vielleicht noch Monate auf sich warten lässt. Beides kostet Zeit, die die meisten Startups nicht haben.

Important Class II und Critical: Notified Body ist Pflicht

Für Produkte der Klasse Important II (Anhang III Gruppe 2: Hypervisoren, Firewalls, Mikrocontroller mit sicherheitsrelevanten Funktionen, SmartCard-ICs u. a.) und der Klasse Critical (Betriebssysteme für kritische Infrastruktur, HSMs, industrielle Steuerungssysteme) gibt es keine Alternative: Hier ist eine notifizierte Stelle zwingend erforderlich, unabhängig von harmonisierten Normen.

Artikel 32 CRA schreibt für diese Klassen vor, dass die Konformitätsbewertung durch eine nach Artikel 35 CRA notifizierte Stelle zu erfolgen hat. Eine Konformitätserklärung ohne Notified-Body-Bescheinigung ist für diese Produkte rechtlich nicht belastbar — und damit ein Marktzugangsproblem. Punkt.

Was ist ein Notified Body, und wie findet man ihn?

Ein Notified Body (notifizierte Stelle) ist eine vom jeweiligen EU-Mitgliedstaat benannte und bei der Europäischen Kommission gemeldete Prüf- und Zertifizierungsstelle. Die Notifizierung gilt für spezifische Bereiche und Produktkategorien — nicht jede akkreditierte Prüfstelle ist automatisch auch für CRA-Bewertungen notifiziert.

Die zentrale Datenbank ist die NANDO-Datenbank (New Approach Notified and Designated Organisations), abrufbar unter ec.europa.eu/growth/tools-databases/nando. Dort können Sie nach Richtlinie/Verordnung, Produktbereich und Land filtern.

Das ist der Punkt, den viele übersehen: Zum Zeitpunkt der CRA-Anwendung — ab September 2026 für ENISA-Meldepflichten, vollständige Geltung ab Dezember 2027 — sind für den CRA spezifisch notifizierte Stellen in Europa noch sehr rar. Die meisten europäischen Prüfinstitute (TÜV, BSI-Zertifizierung, DNV, SGS) befinden sich noch in der Akkreditierungsphase für CRA-spezifische Module.

Realistische Kosten und Zeitrahmen

Auf Basis verfügbarer Marktinformationen und Analogien zu ähnlichen Konformitätsverfahren (RED, MDR) lassen sich folgende Größenordnungen ableiten:

Important Class I (ohne harmonisierte Norm):

  • Kosten: 4.000–15.000 € je nach Produktkomplexität und gewähltem Modul
  • Zeitrahmen: 3–6 Monate für Bewerbung, Prüfung und Bescheinigung
  • Treiber: Tiefe der technischen Dokumentation, Anzahl zu prüfender Szenarien

Important Class II:

  • Kosten: 20.000–60.000 €, in Ausnahmefällen mehr
  • Zeitrahmen: 6–9 Monate, abhängig von Auftragslage der Stelle
  • Treiber: Komplexität des Produkts, Anzahl sicherheitskritischer Funktionen, vorhandene Zertifizierungen (Common Criteria, IEC 62443)

Critical:

  • Kosten: Schwer zu schätzen; bei Hardwarekomponenten wie HSMs sind 100.000+ € realistisch
  • Zeitrahmen: 9–18 Monate; Analogie zu Common Criteria EAL4+ zeigt, wie aufwändig solche Verfahren werden können
  • Hinweis: Für viele Critical-Produkte ist eine Common-Criteria-Zertifizierung anrechenbar — Artikel 27 CRA ermöglicht die Nutzung bestehender Zertifikate, wenn der Geltungsbereich passt

Diese Zahlen sind Orientierungswerte. Holen Sie frühzeitig Angebote ein — nicht erst sechs Monate vor dem Markteinführungstermin.

Das Kapazitätsproblem: Unterschätzt und gefährlich

Das am meisten unterschätzte Risiko für Hersteller der Klassen Important II und Critical ist die Knappheit an Notified-Body-Kapazitäten. In der Praxis erleben wir genau das Muster, das schon bei der MDR zu Marktblockaden geführt hat.

Zum Vergleich: Als die Medizinprodukteverordnung (MDR, EU 2017/745) im Mai 2021 vollständig in Kraft trat, gab es in der EU zeitweise weniger als 20 notifizierte Stellen für Klasse III-Produkte. Die Folge: Wartezeiten von 18–24 Monaten, Hersteller die keine Zertifikate bekamen, Produkte die vom Markt genommen werden mussten. Die EU musste mehrfach Übergangsfristen verlängern.

Beim CRA droht dasselbe Szenario — in einem noch größeren Markt. Während in der MDR einige Tausend Hersteller betroffen waren, sprechen Schätzungen der Europäischen Kommission von mehreren Hunderttausend Produkten, die unter den CRA fallen. Die Anzahl der für CRA-Module notifizierten Stellen liegt Stand Mitte 2026 im einstelligen Bereich. Das klingt nach einem abstrakten Problem. Ist es nicht.

Was das praktisch bedeutet: Ein Hersteller von industriellen Steuerungssystemen — klassisches Critical-Szenario, Anhang III Gruppe 2 — der Mitte 2026 mit der Suche nach einem Notified Body beginnt, wird realistisch frühestens 2027 einen Prüftermin erhalten. Wenn er Glück hat. Für Produkte mit Markteinführung 2027 oder frühe 2028 bedeutet das: Die Konformitätsbewertung muss jetzt gestartet werden.

Checkliste: Was Sie jetzt tun sollten

Schritt 1: Risikoklasse bestimmen Prüfen Sie anhand von Anhang II und III des CRA, in welche Klasse Ihr Produkt fällt. Unsicher? Nutzen Sie den CRA RouteCheck, um eine erste Einschätzung zu erhalten.

Schritt 2: Harmonisierte Normen prüfen Existiert für Ihre Produktkategorie bereits eine einschlägige harmonisierte Norm im EU-Amtsblatt? Falls ja, können Sie für Important I möglicherweise auf einen Notified Body verzichten.

Schritt 3: NANDO recherchieren Suchen Sie in der NANDO-Datenbank nach für den CRA notifizierten Stellen in Ihrer Produktkategorie. Nehmen Sie Kontakt auf und erfragen Sie Verfügbarkeit und Vorlaufzeiten.

Schritt 4: Technische Dokumentation vorbereiten Notified Bodies prüfen, was Sie vorlegen — je besser Ihre Dokumentation, desto schneller und günstiger das Verfahren. Starten Sie mit Anhang VII CRA als Checkliste.

Schritt 5: Budget einplanen Setzen Sie realistische Rückstellungen: Bei Important I mindestens 10.000 €, bei Important II mindestens 40.000 €, bei Critical mindestens 80.000 € — plus interne Aufwände für Dokumentation und Nachbesserungen.

Fazit

Selbstbewertung oder Notified Body — das ist keine Ermessensfrage. Der CRA-Text regelt das klar. Für die meisten Produkte (Default-Klasse) bleibt die Selbstbewertung der gangbare Weg. Für Important II und Critical ist ein Notified Body Pflicht — und wer damit zu lange wartet, findet keinen freien Termin mehr.

Bis Dezember 2027 muss alles stehen. Wer jetzt noch nicht mit der Kapazitätsplanung begonnen hat, sollte das diese Woche nachholen.

Weiterführend: CRA-Risikoklassen im Detail | EU-Konformitätserklärung korrekt ausstellen

Quellen: EU-Verordnung 2024/2847 (CRA), Artikel 27–35 und Anhänge III, V, VII; NANDO-Datenbank der Europäischen Kommission; Erfahrungswerte aus MDR-Konformitätsverfahren (EU 2017/745).

Keine Rechtsberatung. Indikative Einschätzung auf Basis öffentlich verfügbarer Informationen.

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.