Art. 47 Operative Pflichten der notifizierten Stellen | CRA regulation | CRA

This article governs how notified bodies must conduct conformity assessments under the Cyber Resilience Act.

It sets out both the procedural framework — referencing Article 32 and Annex VIII — and the behavioural standards expected of these bodies.

The article strikes a balance between flexibility and rigour: assessments must be tailored to the realities of the businesses being assessed, but this cannot come at the expense of the protection standards the regulation demands.

The article also addresses what notified bodies must do when non-compliance is detected, both before and after a certificate has been issued.

Important points:

Notified bodies are required to conduct conformity assessments in a proportionate manner, taking into account factors such as the size of the undertaking, its sector, and the cybersecurity risk level of the product — with particular consideration for microenterprises and SMEs.
Notified bodies must not issue a certificate of conformity where a manufacturer has failed to meet the essential cybersecurity requirements, and must instead require corrective measures.
Notified bodies retain ongoing monitoring obligations after issuing a certificate, and must suspend or withdraw it — and ultimately restrict or revoke it — if corrective measures are not taken or prove ineffective.

1. Die notifizierten Stellen führen die Konformitätsbewertungen im Einklang mit den Konformitätsbewertungsverfahren gemäß Artikel 32 und Anhang VIII durch.
1. Die Konformitätsbewertungen werden unter Wahrung der Verhältnismäßigkeit durchgeführt, wobei unnötige Belastungen der Wirtschaftsakteure vermieden werden. Die Konformitätsbewertungsstellen üben ihre Tätigkeiten unter gebührender Berücksichtigung der Größe der Unternehmen, insbesondere in Bezug auf Kleinstunternehmen sowie kleine und mittlere Unternehmen, der Branche, in der sie tätig sind, ihrer Struktur, ihres Grads der Komplexität und des Cybersicherheitsrisikos der betroffenen Produkte mit digitalen Elementen und Technologien und des Massenfertigungs- oder Seriencharakters des Fertigungsprozesses aus.
1. Die notifizierten Stellen gehen hierbei jedoch so streng vor und halten ein solches Schutzniveau ein, wie dies für die Konformität der Produkte mit digitalen Elementen mit dieser Verordnung erforderlich ist.
1. Stellt eine notifizierte Stelle fest, dass ein Hersteller die in Anhang I oder in den entsprechenden harmonisierten Normen oder gemeinsamen Spezifikationen gemäß Artikel 27 festgelegten Anforderungen nicht erfüllt hat, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und stellt keine Konformitätsbescheinigung aus.
1. Hat eine notifizierte Stelle bereits eine Bescheinigung ausgestellt und stellt im Rahmen der Überwachung der Konformität fest, dass das Produkt mit digitalen Elementen die in dieser Verordnung festgelegten Anforderungen nicht mehr erfüllt, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und setzt die Bescheinigung falls nötig aus oder widerruft sie.
1. Werden keine Korrekturmaßnahmen ergriffen oder zeigen sie nicht die nötige Wirkung, so schränkt die notifizierte Stelle die Bescheinigungen ein, setzt sie aus bzw. widerruft sie, je nachdem, was angemessen ist.