Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen.

Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.

Das interne Kontrollverfahren ist gemäß ErwG 45 CRA-E der Standardfall für die Konformitätsbewertung. Allerdings kann der Hersteller freiwillig auch ein strengeres Verfahren unter Einbeziehung eines Dritten wählen. Wenn ein kritisches Produkt der Klasse I (z.B. Browser oder Passwort-Manager) Gegenstand des Konformitätsbewertungsverfahrens ist, soll der Hersteller eine Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 verwenden und die Konformitätsbewertung selbstständig durchführen oder alternativ das EU-Baumusterprüfverfahren unter Beteiligung dritter Stellen oder eine Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung absolvieren. Letztere Alternativen sind verpflichtend, wenn es sich um kritische Produkte der Klasse II (z.B. Betriebssysteme oder Firewalls) handelt.

1. Internes Kontrollverfahren (Art. 24 Abs. 1 lit. a CRA-E)

Mit dem internen Kontrollverfahren kann der Hersteller selbstständig nachweisen, dass die Produkte mit digitalen Elementen und die von ihm getroffenen Maßnahmen zur Milderung von Schwachstellen den Anforderungen in Anhang I entsprechen. Ebenso bezieht sich dieser Nachweis auch auf die Pflicht, dass bereits in den Phasen der Konzeption, Entwicklung und Herstellung entsprechend der Risiken ein angemessenes Cybersicherheitsniveau zu gewährleisten ist. Hierzu muss der Hersteller im Vorfeld eine generelle Risikoanalyse seines Produkts mit digitalen Elementen vornehmen und muss dies bereits für die Erstellung der technischen Dokumentation entsprechend dokumentieren.

Weiterhin wird mit diesem internen Konformitätsverfahren nachgewiesen, dass der Hersteller die technische Dokumentation gemäß Anhang V erstellt hat. Schließlich stellt der Hersteller für das geprüfte Produkt mit digitalen Elementen eine schriftliche EU-Konformitätserklärung i.S.d. Art. 20 CRA-E aus und bringt die CE-Kennzeichnung an dem Produkt mit digitalen Elementen an. Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller gemäß Art. 20 Abs. 4 CRA-E die Verantwortung für die Konformität des Produkts.

2. EU-Baumusterprüfverfahren (Art. 24 Abs. 1 lit. b CRA-E)

Das EU-Baumusterprüfverfahren teilt sich in zwei unterschiedliche Verfahrensabschnitte auf.

Bei der EU-Baumusterprüfung überprüft eine notifizierte Stelle zunächst die technische Konzeption und Entwicklung des Produkts mit digitalen Elementen und die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen sowie deren Vereinbarkeit mit den Anforderungen des Anhang I. Diese Prüfung wird anhand der technischen Dokumentation und weiterer Nachweise (z.B. Prüfungsergebnisse von Laboren) sowie Mustern von Teilen des Produkts vorgenommen. Dabei wird das Produkt mit digitalen Elementen technisch untersucht, was beispielsweise direkt am Sitz des Herstellers durchgeführt werden kann. Über die Prüfung wird ein Bericht erstellt und eine EU-Baumusterprüfbescheinigung ausgestellt.

In dem zweiten Verfahrensschritt (Konformität mit dem Baumuster auf der Grundlage einer internen Fertigungskontrolle) prüft der Hersteller, dass die betreffenden Produkte dem in der EU-Baumusterprüfbescheinigung beschriebenen Baumuster entsprechen und die Anforderungen aus Anhang I Abschnitt 1 erfüllen. Sofern dies der Fall ist, stellt der Hersteller eine schriftliche Konformitätserklärung aus und bringt die CE-Kennzeichnung an dem Produkt an.

3. Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung (Art. 24 Abs. 1 lit. c CRA-E)

Bei diesem Konformitätsbewertungsverfahren implementiert der Hersteller zunächst ein Qualitätssicherungssystem und beantragt bei einer notifizierten Stelle die Bewertung dieses Systems im Hinblick auf die betreffenden Produkte mit digitalen Elementen.

Das Qualitätssicherungssystem soll die Konformität des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen mit den Anforderungen in Anhang I nachweisen. Dieses Verfahren eignet sich besonders bei Produkten, die in Serie produziert werden, da das Qualitätssicherungssystem die Übereinstimmung der Produktserie mit den Anforderungen des CRA-E gewährleistet.

Das Qualitätssicherungssystem umfasst Qualitätssicherungsprogramme, -pläne, -handbücher und qualitätsbezogene Aufzeichnungen.

Eine Besonderheit dieses Verfahrens ist, dass die notifizierte Stelle das Qualitätssicherungssystem fortlaufend durch regelmäßige Audits überwacht und vom Hersteller über etwaige Änderungen des Systems informiert wird und diese genehmigen muss. Der Hersteller muss der notifizierten Stelle zu Bewertungszwecken ferner Zugang zu den Einrichtungen gewähren.

Dem Hersteller obliegt es, für jedes Produktmodell eine schriftliche Konformitätserklärung auszustellen und eine CE-Kennzeichnung anzubringen.

4. Ausschluss von der Pflicht zur Durchführung eines Konformitätsbewertungsverfahrens

Es gibt allerdings auch Produkte mit digitalen Elementen, bei denen ein Konformitätsverfahren nicht durchzuführen ist. Nach Art. 18 Abs. 1 CRA-E wird eine Konformität mit dem CRA-E nämlich vermutet, wenn ein Produkt mit digitalen Elementen und das vom Hersteller festgelegte Verfahren mit harmonisierten Normen übereinstimmen, die im Amtsblatt der Europäischen Union veröffentlicht worden sind und die Anforderungen jener Normen auch erfüllen. Dasselbe gilt gemäß Art. 18 Abs. 2 CRA-E für Produkte und Verfahren, die mit den in Art. 19 CRA-E genannten gemeinsamen Spezifikationen übereinstimmen.

Bei Produkten mit digitalen Elementen, für die eine EU-Konformitätserklärung oder ein Cybersicherheitszertifikat im Rahmen eines nach der Verordnung (EU) 2019/881 angenommenen europäischen System für die Cybersicherheitszertifizierung ausgestellt wurde, wird ebenfalls eine Konformität mit den Anforderungen in Anhang I vermutet. Die Europäische Kommission kann Durchführungsrechtsakte erlassen, um zu bestimmen, welche Cybersicherheitszertifizierung zum Nachweis verwendet werden kann und ob diese dann die Hersteller von der Pflicht nach Art. 24 Abs. 2 und 3 CRA-E zur Durchführung einer Konformitätsbewertung durch Dritte entbindet.

Empfehlung für die Praxis:

Da mit den Konformitätsbewertungsverfahren weitere Erfordernisse für Hersteller zu beachten sind, sollten diese sich mit den Anforderungen in Art. 24 CRA-E und Anhang VI vertraut machen und bereits erste Prozesse zur Durchführung implementieren.

Da auch sicherstellen müssen, dass Hersteller die geeigneten Konformitätsbewertungsverfahren nach Art. 24 CRA-E durchgeführt haben und selbst ein Händler bei entsprechenden Zweifeln an der Konformität ein solches Produkt nicht auf dem Markt bereitstellen darf, regen wir an, dass sich auch diese Wirtschaftsakteure mit jenen Vorgaben der Verordnung frühzeitig auseinandersetzen.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.