Welche Produkte benötigen ein europäisches Cybersicherheitszertifikat (EUCC)?

NIS-2-D & CRA – kritische Produkte und kritische Infrastrukturen

Im Beratungsalltag erreicht uns immer wieder die Frage, ob eine bestimmte Produktgruppe ein europäisches Cybersicherheitszertifikat benötigt, oder nicht. 

Der Antwort muss sich auf verschiedenen Wegen genähert werden. 

1) CRA – kritische Produkte

Der CRA bindet das Inverkehrbringen von kritischen Produkten mit digitalen Elementen an eine erfolgreiche Zertifizierung (EUCC). Jene drei kritischen Produktkategorien sind im Anhang IV definiert: Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen und Chipkarten. 

Noch etwas Geduld: Bis zum 11. Dezember 2025 erlässt die Kommission einen Durchführungsrechtsakt, in welchem sie die technische Beschreibung der Kategorien von Produkten mit digitalen Elementen gemäß Anhang IV festlegt. 

→ Update: Die angekündigte Durchführungsverordnung (EU) 2025/2392 der Kommission wurde am 01.12.2025 im Amtsblatt veröffentlicht.

Die Kommission hat zudem die Befugnis Kategorien kritischer Produkte mit digitalen Elementen hinzuzufügen oder zu streichen. Auch anschließend an den zuvor genannten Durchführungsrechtsakt. 

2) NIS-2-Richtlinie - Cybersicherheitsrisikomanagement

Die NIS-2-Richtlinie benennt Sektoren für wesentliche und wichtige Einrichtungen (z.B. Energie, Verkehr, Bankwesen) welche u.a. Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen müssen. Aus diesem Cybersicherheitsrisikomanagement kann resultieren, dass nur IKT-Produkte mit einem hochwertigen Konformitätsbewertungsnachweis gemäß CRA zum Einsatz kommen. Es kann also sein, dass die Kunden (wesentliche und wichtige Einrichtungen) der IKT-Produkthersteller nach europäischen Cybersicherheitszertifikaten verlangen. Die Wertigkeit der Konformitätsbewertungsverfahren kann umgangssprachlich wie folgt abgestuft werden, von hochwertig zu niederwertig:

  • Europäisches Cybersicherheitszertifikat gemäß EUCC
  • Einbindung einer Notifizierten Stelle + EU-Konformitätserklärung
  • EU-Konformitätserklärung, mit Amtsblatt-gelisteter harmonisierter Norm.
  • EU-Konformitätserklärung, ohne Amtsblatt-gelisteter harmonisierter Norm.

3) Nationale Rechtsverordnungen zur Festlegung von „kritischen Komponenten“

Der Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie wird nachfolgend E-NIS2UmsuCG** genannt. 

Zum Status: Am 13.11.2025 beschloss der Bundestag das Cybersicherheitsgesetz NIS2UmsuCG**, welches die Vorgaben der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) umsetzen soll. Im nächsten Schritt ist der Bundesrat am Zug. 

„Kritische Komponenten“ werden in einer gesonderten Rechtsverordnung als solche eingestuft. Eine Rechtsverordnung wird nicht vom Bundestag als Gesetzgeber, sondern von der Exekutive, in diesem Fall vom Bundesministerium des Innern, erlassen. Die Voraussetzung für eine Rechtsverordnung ist eine gesetzliche Ermächtigung gemäß § 56 Absatz 7 und 8 E-NIS2UmsuCG**. 

In der Rechtsverordnung kann eine Komponente als kritische Komponente bestimmt werden, wenn: 

1. es sich bei der Komponente um ein IKT-Produkt handelt,

2. die Komponente in kritischen Anlagen eingesetzt wird,

3. die Komponente eine kritische Funktion realisiert und

4. eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Komponente zu einer Beeinträchtigung der Funktionsfähigkeit kritischer Anlagen oder zu anderen Beeinträchtigungen der öffentlichen Ordnung oder Sicherheit führen könnte.

Das Konformitätsbewertungsverfahren für kritische Komponenten ist das europäische Cybersicherheitszertifikat gemäß EUCC.

 

Zusammenfassung

Es gibt also drei Windrichtungen, aus denen die Notwendigkeit eines Cybersicherheitszertifikats gemäß EUCC kommen kann. 

 

EUCC: Das auf den Gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung 

Im Kontext von EUCC gibt es zum einen das ISO/IEC 17025-akkreditierte Prüflabor (ITSEF), und zum anderen die ISO/IEC 17065-akkreditierte Zertifizierungsstelle (CB). Die konkreten Schwachstellenanalysemethoden und die Penetrationstests (z.B. „Denial of service“, „Code Injection“), welche im Kompetenzbereich des ITSEFs liegen, müssen für jeden kompetenzseitig abgedeckten Technologietypen angezeigt werden (z.B. Hardwarearchitekturen (S1), Datenbanken (S6), Netzwerkprotokolle (N1) und Einbruchserkennung (N9)). Neben den allgemeinen Schwachstellenanalysemethoden und Penetrationstests gibt es besondere Angriffstechniken, welche es durch das Laborpersonal zu beherrschen gilt. Für Chipkarten (engl. Smartcards) seien hier bspw. die Seitenkanalangriffe (side channel attacks) genannt. [Quelle: enisa]
 

Haben Sie Fragen zu den Inhalten dieses Artikels oder anderen Cybersecurity Themen? Für noch mehr Unterstützung stehen wir Ihnen gern zur Verfügung. Schreiben Sie uns einfach eine E-Mail mit Ihrer Frage oder nutzen Sie dazu unser Kontaktformular.

 

Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant
 



BEGRIFFE UND ABKÜRZUNGEN

ITSEF: Information Technology Security Evaluation Facility, siehe Accreditation of ITSEFs for the EUCC

CRA: (EU) 2024/2847 [Cyber Resilience Act (CRA)]

NIS2: (EU) 2022/2555 [NIS-2-Richtlinie]

EUCC: Das auf den Gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung

E-NIS2UmsuCG** 
**“Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ 
(Berücksichtigung (BT-Drucksache 21/1501) unter Berücksichtigung des Änderungsantrags der Fraktionen der CDU/CSU und SPD (Ausschussdrucksache 21(4)096))

IKT: Informations- und Kommunikationstechnologie

Weitere Informationen zu dieser News

Veröffentlicht am 26.11.2025
Kategorie: Fokus Industry, Fokus Consumer Goods & Retail, Fokus Electrical and Wireless, Insider-Compliance, Compliance

zurück zur Übersicht

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
Unsere Weihnachtsaktion "Spenden statt Versenden" 2025

Nächstenliebe statt Weihnachtskarten

mehr

Ein vertrautes Gesicht in neuer Rolle

Maya Loerzer verstärkt die Geschäftsführung bei GLOBALNORM

mehr

Rückblick auf die 13. GLOBALNORM Konferenz Product Compliance – „Jetzt schlägt es 13“

Zwei Tage voller hochkarätiger Vorträge, praxisnaher Tutorials und intensiver Diskussionen boten Einblicke in aktuelle Trends, rechtliche Entwicklungen und globale Herausforderungen

mehr

STANDARDS News
EU: Harmonisierte Normen

Was macht die harmonisierte Norm zur harmonisierten Norm?

mehr

Eine Übersicht aktueller Normen-Updates

Warum ein Normenmanagementsystem seine Daseinsberechtigung hat

mehr

Aktuelle Lage zur ISO/IEC-Klage gegen die Europäische Kommission

Auswirkungen auf die Veröffentlichung harmonisierter Normen

mehr

COMPLIANCE News
EU: Konsolidierte Listen der im OJEU gelisteten Standards: frisch von der EU veröffentlicht

Licht und Schatten

mehr

EU: Amtsblattlistung RoHS-Ausnahmen

Finale Ablaufdaten Blei-Ausnahmen – Handlungsbedarf!

mehr

Welche Produkte benötigen ein europäisches Cybersicherheitszertifikat (EUCC)?

NIS-2-D & CRA – kritische Produkte und kritische Infrastrukturen

mehr

En
Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK