Artikel 32 Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen

Summary What does Article 32 of the CRA regulation say?

This article is the central mechanism for how manufacturers prove their products with digital elements meet the regulation's essential cybersecurity requirements.

It sets out a tiered system of conformity assessment procedures, where the route a manufacturer must take depends on the risk classification of their product.

Standard products have the most flexibility, while products categorised as important (split into class I and class II under Annex III) and critical (listed in Annex IV) face progressively stricter requirements, with critical products being directed primarily toward European cybersecurity certification schemes.

The article connects directly to Article 7 and Article 8, which define those product classifications, and to Article 27, which governs the role of harmonised standards and certification schemes in establishing a presumption of conformity.

Important points:

Manufacturers must select a conformity assessment procedure appropriate to their product's risk classification — the higher the classification, the more rigorous the required procedure, with self-assessment only available for standard products.
Manufacturers of free and open-source software falling under Annex III categories may use the standard procedures from paragraph 1, provided the technical documentation is made publicly available at the time of placing the product on the market.
Conformity assessment fees must be reduced to take into account the specific interests and needs of microenterprises and small and medium-sized enterprises, including start-ups.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Der Hersteller führt eine Konformitätsbewertung des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren durch, um festzustellen, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt sind. Der Hersteller erbringt den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen anhand eines der folgenden Verfahren:
  1. internes Kontrollverfahren (auf der Grundlage von Modul A) gemäß Anhang VIII
  2. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII
  3. Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII; oder
  4. sofern verfügbar und anwendbar, ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 27 Absatz 9.
1. Hat der Hersteller bei der Bewertung der Konformität eines wichtigen Produkts mit digitalen Elementen, das in Klasse I gemäß Anhang III fällt, und der von dessen Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung mindestens der Vertrauenswürdigkeitsstufe „mittel“ gemäß Artikel 27 nicht oder nur zum Teil angewandt oder sind solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht vorhanden, so sind die Produkte mit digitalen Elementen und die vom Hersteller festgelegten Verfahren im Hinblick auf die grundlegenden Cybersicherheitsanforderungen einem der folgenden Verfahren zu unterziehen:
  1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII oder
  2. eine Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII.
1. Handelt es sich bei dem Produkt um ein wichtiges Produkt mit digitalen Elementen, das in Klasse II gemäß Anhang III fällt, so erbringt der Hersteller den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren:
  1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII;
  2. eine Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII, oder
  3. sofern verfügbar und anwendbar, ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 27 Absatz 9 der vorliegenden Verordnung mindestens auf der Vertrauenswürdigkeitsstufe „mittel“ gemäß der Verordnung (EU) 2019/881.
1. Bei in Anhang IV aufgeführten kritischen Produkten mit digitalen Elementen wird der Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren erbracht:
  1. ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 8 Absatz 1 oder
  2. wenn die Bedingungen des Artikels 8 Absatz 1 nicht erfüllt sind, eines der in Absatz 3 genannten Verfahren.
1. Hersteller von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten und in die in Anhang III aufgeführten Kategorien fallen, können die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der in Absatz 1 dieses Artikels genannten Verfahren nachweisen, sofern die in Artikel 31 genannte technische Dokumentation zum Zeitpunkt des Inverkehrbringens dieser Produkte der Öffentlichkeit zugänglich gemacht wird.
1. Bei der Festlegung der Gebühren für die Konformitätsbewertung werden die besonderen Interessen und Bedürfnisse von Kleinstunternehmen und kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, berücksichtigt, und diese Gebühren werden proportional zu deren besonderen Interessen und Bedürfnissen gesenkt.

Relevant recitals

Erwägungsgrund 81 Voluntary European cybersecurity certification framework

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.

Erwägungsgrund 90 Conformity assessment procedures

Damit die Wirtschaftsakteure die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachweisen können und die Marktüberwachungsbehörden sicherstellen können, dass Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, diesen Anforderungen genügen, sind Konformitätsbewertungsverfahren vorzusehen. Im Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates(³⁰) sind Module für Konformitätsbewertungsverfahren festgelegt, die der Höhe des Risikos und dem geforderten Sicherheitsniveau angemessen sind. Um die sektorübergreifende Kohärenz zu gewährleisten und Ad-hoc-Varianten zu vermeiden, sollten die Konformitätsbewertungsverfahren zur Überprüfung der Konformität von Produkten mit digitalen Elementen mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auf diesen Modulen beruhen. In den Konformitätsbewertungsverfahren sollten sowohl produkt- als auch verfahrensbezogene Anforderungen untersucht und überprüft werden, die den gesamten Lebenszyklus von Produkten mit digitalen Elementen abdecken, einschließlich Planung, Konzeption, Entwicklung oder Herstellung, Tests und Wartung des Produkts mit digitalen Elementen.

Erwägungsgrund 91 Conformity assessment procedure modules

Die Konformitätsbewertung von Produkten mit digitalen Elementen, die in dieser Verordnung nicht als wichtige oder kritische Produkte mit digitalen Elementen aufgeführt sind, kann vom Hersteller in eigener Verantwortung nach dem internen Kontrollverfahren auf der Grundlage von Modul A des Beschlusses Nr. 768/2008/EG gemäß dieser Verordnung durchgeführt werden. Dies gilt auch für Fälle, in denen ein Hersteller beschließt, eine geltende harmonisierte Norm, eine gemeinsame Spezifikation oder ein europäisches Schema für die Cybersicherheitszertifizierung ganz oder teilweise nicht anzuwenden. Dem Hersteller bleibt freigestellt, ein strengeres Konformitätsbewertungsverfahren unter Einbeziehung eines Dritten zu wählen. Im Rahmen der nach dem internen Kontrollverfahren durchgeführten Konformitätsbewertung stellt der Hersteller sicher und erklärt er auf eigene Verantwortung, dass das Produkt mit digitalen Elementen und die Prozesse des Herstellers die in dieser Verordnung festgelegten geltenden grundlegenden Cybersicherheitsanforderungen erfüllen. Fällt ein wichtiges Produkt mit digitalen Elementen in die Klasse I, so ist eine zusätzliche Vertrauenswürdigkeitsprüfung erforderlich, um die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachzuweisen. Der Hersteller sollte harmonisierte Normen, gemeinsame Spezifikationen oder europäische Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden und von der Kommission in einem Durchführungsrechtsakt ermittelt wurden, verwenden, wenn er die Konformitätsbewertung in eigener Verantwortung durchführen möchte (Modul A). Verwendet der Hersteller solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht, so sollte eine Konformitätsbewertung unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H). Unter Berücksichtigung des Verwaltungsaufwands für die Hersteller und der Tatsache, dass die Cybersicherheit in der Konzeptions- und Entwicklungsphase materieller und immaterieller Produkte mit digitalen Elementen eine wichtige Rolle spielt, wurden Konformitätsbewertungsverfahren auf der Grundlage der Module B und C oder des Moduls H des Beschlusses Nr. 768/2008/EG als am besten geeignet ausgewählt, um die Konformität wichtiger Produkte mit digitalen Elementen auf verhältnismäßige und wirksame Weise zu bewerten. Der Hersteller, der die Konformitätsbewertung durch Dritte durchführen lässt, kann das Verfahren auswählen, das seinem Konzeptions- und Herstellungsprozess am besten entspricht. Angesichts des noch größeren Cybersicherheitsrisikos, das mit der Verwendung wichtiger Produkte mit digitalen Elementen verbunden ist, die in die Klasse II fallen, sollte an deren Konformitätsbewertung stets ein Dritter beteiligt werden, auch wenn das Produkt vollständig oder teilweise harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung entspricht. Hersteller wichtiger Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten, sollten das interne Kontrollverfahren auf der Grundlage von Modul A anwenden können, sofern sie die technische Dokumentation der Öffentlichkeit zugänglich machen.

Erwägungsgrund 92 Definition of 'production' for software (or non-tangible) products

Während die Herstellung materieller Produkte mit digitalen Elementen in der Regel einen erheblichen Aufwand während der gesamten Konzeptions-, Entwicklungs- und Herstellungsphase erfordert, konzentriert sich die Herstellung von Produkten mit digitalen Elementen in Form von Software fast ausschließlich auf die Konzeption und Entwicklung, wogegen die Herstellungsphase eine untergeordnete Rolle spielt. Dennoch müssen Softwareprodukte oft noch kompiliert und zu Versionen zusammengefügt, gepackt, zum Herunterladen bereitgestellt oder auf physische Datenträger kopiert werden, bevor sie in den Verkehr gebracht werden. Bei der Anwendung der einschlägigen Konformitätsbewertungsmodule zur Überprüfung der Konformität des Produkts mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in der Konzeptions-, Entwicklungs- und Herstellungsphase sollten diese Tätigkeiten als dem Herstellungsprozess gleichkommende Tätigkeiten betrachtet werden.

Erwägungsgrund 96 Reasonable fees for conformity assessments

Um die Verhältnismäßigkeit sicherzustellen, sollten die Konformitätsbewertungsstellen bei der Festlegung der Gebühren für die Verfahren der Konformitätsbewertung den besonderen Interessen und Bedürfnissen von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, Rechnung tragen. Insbesondere sollten die Konformitätsbewertungsstellen die in dieser Verordnung vorgesehenen einschlägigen Prüfverfahren und Tests nur dann anwenden, wenn dies angemessen ist und ein risikobasierter Ansatz verfolgt wird.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.