Willkommen zur vierten Episode unserer fortlaufenden Reihe „The Cybersecurity Compass“, in der wir weiterhin die komplexen Anforderungen von Cybersecurity-Regulierungen beleuchten.
In dieser Folge konzentrieren wir uns auf das Zusammenspiel zwischen dem Cyber Resilience Act (CRA) und der CE-Kennzeichnung, die Bedeutung der Erfüllung der CRA-Anforderungen für die Erlangung der CE-Kennzeichnung sowie die Konformitätsbewertungsverfahren, die Herstellern zur Verfügung stehen.
Die CE-Kennzeichnung und ihre Bedeutung verstehen
Die CE-Kennzeichnung ist ein Symbol für die Konformität mit EU-Vorschriften und für viele Produkte, die im Europäischen Wirtschaftsraum (EWR) in Verkehr gebracht werden, verpflichtend. Sie zeigt an, dass ein Produkt bewertet wurde und die grundlegenden Anforderungen an Gesundheit, Sicherheit und Umweltschutz erfüllt.
Mit der Einführung des CRA ist Cybersecurity zu einem integralen Bestandteil dieses Bewertungsprozesses geworden.
Die wesentliche Rolle des CRA bei der CE-Kennzeichnung
Der CRA ist ein zentraler Bestandteil der umfassenderen Digital Decade Strategy der EU und darauf ausgerichtet, die Sicherheit von Produkten mit digitalen Elementen zu erhöhen.
Die Einhaltung des CRA bedeutet nicht nur, Cybersecurity-Anforderungen zu erfüllen – sie ist ein entscheidender Schritt auf dem Weg zur Erlangung der CE-Kennzeichnung für digitale Produkte.
In Episode 02 haben wir die grundlegenden Cybersecurity-Anforderungen gemäß Anhang I des CRA detailliert erläutert. Diese Anforderungen erstrecken sich sowohl auf die Vorbetriebsphase (Konzeption, Entwicklung und Produktion) als auch auf die Betriebsphase (fortlaufendes Vulnerability-Management, Incident-Response und Sicherheitsupdates).
Die Erfüllung dieser Anforderungen ist entscheidend, um die Konformität eines Produkts mit dem CRA nachzuweisen – und damit eine Voraussetzung für die CE-Kennzeichnung.
Konformitätsbewertungswege für die CRA-Compliance
Der CRA sieht mehrere Wege zum Nachweis der Konformität vor, die jeweils auf unterschiedliche Produktkategorien und Risikoniveaus zugeschnitten sind.
Ein entscheidender Faktor innerhalb dieser Verfahren ist die Frage, ob eine Bewertung durch eine unabhängige Drittstelle erforderlich ist. Dies hängt von der Klassifizierung des Produkts und den damit verbundenen Risiken ab.
Nachfolgend eine Übersicht der möglichen Konformitätsbewertungswege:
1. Modul A: Selbstbewertung
Anwendbarkeit: Vorgesehen für Produkte der Standardkategorie mit geringerem Risikoniveau.
Drittbewertung: Nicht erforderlich.
Verfahren: Hersteller können eine Selbstbewertung durchführen, um die Einhaltung der CRA-Anforderungen sicherzustellen. Dieser Weg ist weniger komplex, setzt jedoch eine umfassende technische Dokumentation und die Einhaltung der in Anhang VIII aufgeführten harmonisierten Normen voraus.
2. Modul B + C: EU-Baumusterprüfung und Konformität auf Grundlage der internen Fertigungskontrolle
Anwendbarkeit: Geeignet für kritischere Produkte, einschließlich bestimmter Produkte der Klasse I.
Drittbewertung: Für Modul B erforderlich.
Verfahren: Dieser Weg beginnt mit einer EU-Baumusterprüfung durch eine notifizierte Stelle (Modul B), gefolgt von einer Konformitätsbewertung auf Grundlage der internen Fertigungskontrolle (Modul C). Dadurch wird ein höheres Maß an Prüfung sichergestellt, insbesondere bei Produkten mit bedeutender Rolle im Bereich Cybersecurity.
3. Modul H: Umfassende Qualitätssicherung
Anwendbarkeit: Vorgeschrieben für die kritischsten Produkte, einschließlich solcher der Klasse II und weiterer kritischer Kategorien.
Drittbewertung: Während des gesamten Prozesses erforderlich.
Verfahren: Dieser Weg umfasst eine umfassende Bewertung durch eine notifizierte Stelle und deckt den gesamten Produktlebenszyklus ab – von der Entwicklung bis zur Produktion. Es handelt sich um das strengste Verfahren und ist verpflichtend für Produkte, deren Versagen schwerwiegende Folgen haben könnte.
Fazit
Die Integration des CRA in den CE-Kennzeichnungsprozess verdeutlicht die wachsende Bedeutung von Cybersecurity für Produktsicherheit und Compliance. Durch die Wahl des geeigneten Konformitätsbewertungswegs und die Erfüllung der CRA-Anforderungen erreichen Hersteller nicht nur die CE-Kennzeichnung, sondern stärken zugleich die Sicherheitsstrategie ihrer Produkte und schaffen Vertrauen bei Kunden und Stakeholdern.
In einer sich stetig weiterentwickelnden digitalen Landschaft ist es nicht nur eine regulatorische Notwendigkeit, Compliance sicherzustellen, sondern auch ein klarer Wettbewerbsvorteil. Wenn Sie Fragen haben oder weitere Unterstützung zur CRA-Compliance oder zum CE-Kennzeichnungsprozess benötigen, können Sie sich jederzeit an unsere Kolleg:innen Natalia und Ayhan wenden. Sie begleiten Sie dabei, diese komplexen regulatorischen Anforderungen souverän zu erfüllen.
Freuen Sie sich auf weitere Einblicke in den kommenden Episoden von „The Cybersecurity Compass“.
Ihr Ansprechpartner
Natalia Petrova-Korudzhiyski
Senior Business Consultant • BU Security & Safety
Ihr Ansprechpartner
Ayhan Mehmed
Lead Business Consultant • BU Security & Safety