„Unser Smart-Fridge läuft auf Linux, also ist er ein wichtiges Produkt der Klasse I nach CRA, weil Betriebssysteme auf der Liste stehen." Diesen Satz höre ich in Beratungsgesprächen regelmäßig. Die Logik dahinter ist nachvollziehbar und trotzdem falsch. Denn der Cyber Resilience Act klassifiziert Produkte nicht nach ihrer technischen Architektur, sondern nach ihrer Kernfunktionalität.

Wie klassifiziert der CRA Produkte?
Der Cyber Resilience Act (CRA) teilt Produkte mit digitalen Elementen in vier Kategorien ein, die jeweils unterschiedliche Konformitätspflichten auslösen.
Standard-Produkte bilden die breite Masse. Für sie gilt: Selbstbewertung nach den Grundanforderungen des CRA, keine zwingende Drittpartei-Prüfung. Das betrifft die meisten vernetzten Alltagsgeräte, Haushaltsgeräte, einfache IoT-Sensoren, vernetzte Spielzeuge.
Wichtige Produkte der Klasse I umfassen laut Anhang III des CRA unter anderem Browser, Passwortmanager, Smart-Home-Produkte mit Sicherheitsfunktionen sowie Betriebssysteme für allgemeine Zwecke (und hier liegt die Quelle des Missverständnisses). Für wichtige Produkte der Klasse I kann eine Drittpartei-Konformitätsbewertung erforderlich sein, wenn keine harmonisierten Normen herangezogen werden.
Wichtige Produkte der Klasse II, also Firewalls, Intrusion-Detection-Systeme und Industrie-Router, erfordern zwingend eine externe Konformitätsbewertung durch eine notifizierte Stelle.
Kritische Produkte schließlich, wie bestimmte Hardware-Sicherheitsmodule oder Smart-Meter-Gateways, unterliegen einer Zertifizierung durch ENISA (die EU-Agentur für Cybersicherheit) oder nach einem europäischen Cybersecurity-Schema.
Die vollständige Übersicht finden Sie in unserer CRA-Zusammenfassung.
Warum die Kernfunktionalität entscheidet
Das Missverständnis entsteht, weil Hersteller die Listen in den CRA-Anhängen als Komponentenlisten lesen, obwohl es Produktkategorien-Listen sind. Der Unterschied ist fundamental.
Nehmen wir den Smart-Fridge. Er läuft auf einem eingebetteten Linux-System, hat eine WLAN-Verbindung, zeigt Inhalte auf einem Touchscreen an. Technisch gesehen enthält er ein vollwertiges Betriebssystem. Die Frage, die der CRA stellt, ist jedoch nicht: „Welche Komponenten sind verbaut?" Sondern: „Was ist die primäre Funktion dieses Produkts?"
Die Antwort ist eindeutig. Der Smart-Fridge kühlt Lebensmittel. Das Betriebssystem ist ein Hilfsmittel. Es ermöglicht Vernetzung, Interface und Steuerung, aber es ist nicht das, wofür der Nutzer das Gerät kauft. Die Klassifizierung folgt dem Zweck, nicht der Architektur.
Das klarste Gegenbeispiel liefert das Smartphone. Jedes moderne Smartphone integriert ein vollwertiges Betriebssystem (Android oder iOS), das als eigenständiges Produkt zweifelsohne unter die Kategorie wichtiger Produkte der Klasse I „Betriebssysteme für allgemeine Zwecke" fallen würde. Dennoch ist ein Smartphone kein wichtiges Produkt der Klasse I nach CRA. Es ist ein Standard-Produkt, weil seine Kernfunktion Kommunikation und Anwendungsausführung ist, nicht das Bereitstellen eines Betriebssystems.
Ein anderes Bild ergibt sich bei einem Industrie-Gateway, das primär als Netzwerk-Sicherheitskomponente eingesetzt wird. Es filtert Datenverkehr, kontrolliert Zugriffe und überwacht Verbindungen und gibt dabei nebenbei Temperaturdaten aus. Hier wäre ernsthaft zu prüfen, ob die Klassifizierung als wichtiges Produkt der Klasse II (Firewalls, Industrie-Router) greift, weil Netzwerksteuerung die Hauptfunktion ist.
Die EU-Guidance zum CRA ist in diesem Punkt eindeutig. Maßgeblich ist der bestimmungsgemäße Verwendungszweck des Gesamtprodukts, wie er sich aus Produktbeschreibung, Vermarktung und typischer Nutzung ergibt.
Mythos vs. Fakt
Mythos: Wenn ein Produkt eine Komponente integriert, die in den CRA-Anhängen als wichtige Produkte der Klasse I oder der Klasse II gelistet ist, etwa ein Betriebssystem, übernimmt das Gesamtprodukt automatisch diese Klassifizierung.
Fakt: Der CRA klassifiziert das Gesamtprodukt nach seiner Kernfunktionalität. Eine integrierte Komponente, die für sich genommen eine höhere Klasse hätte, stuft das Endprodukt nicht automatisch hoch, solange sie nicht die primäre Funktion des Geräts bestimmt. Ein Smart-Fridge bleibt ein Standard-Produkt. Ein Smartphone bleibt ein Smartphone.
Konkrete Konsequenzen für die Produktklassifizierung
Die richtige Klassifizierung ist keine Formalie. Sie entscheidet darüber, welche Konformitätsbewertung Sie durchführen müssen, welche Kosten entstehen und wie Ihre Markteinführung aussieht. Drei Handlungsempfehlungen.
1. Definieren Sie die Kernfunktionalität schriftlich, aus Nutzerperspektive. Was kauft jemand, wenn er Ihr Produkt kauft? Formulieren Sie diesen Satz so, wie er in Ihrem Produkthandbuch oder in einer Werbeanzeige stehen würde. Dieser Satz ist Ihr Ausgangspunkt für die Klassifizierung und sollte in Ihrer technischen Dokumentation verankert sein. Gerichte und Marktüberwachungsbehörden werden im Zweifelsfall genau dort nachschauen.
2. Dokumentieren Sie Ihre Klassifizierungsentscheidung und ihre Begründung. Der CRA lässt bei Grenzfällen Interpretationsspielraum. Das ist kein Freifahrtschein für Beliebigkeit, sondern eine Einladung zur sorgfältigen Argumentation. Halten Sie fest, welche Anhänge Sie geprüft haben, warum Sie welche Kategorien ausgeschlossen haben, und welche Funktion Sie als primär eingestuft haben. Diese Dokumentation schützt Sie bei Marktüberwachungsprüfungen und ist ohnehin Teil der technischen Unterlagen, die der CRA verlangt. Mehr zu den Anforderungen an die Konformitätsbewertung lesen Sie in unserem Artikel zur CE-Kennzeichnung unter dem CRA.
3. Holen Sie bei echten Grenzfällen eine rechtliche Einschätzung ein. Nicht jede Klassifizierungsfrage ist trivial. Ein vernetztes Gerät mit Zugangskontrollfunktion, ein Industrie-PC mit Firewall-Modul, ein Smart-Home-Hub mit Sicherheitssensor-Integration. Hier kann die Grenze zwischen Standard und wichtigen Produkten der Klasse I fließend sein. Die Konformitätspflichten unterscheiden sich erheblich, ebenso wie die möglichen Bußgelder bei Falschklassifizierung. Details zu den Sanktionen finden Sie in unserem Artikel zu CRA-Strafen und Bußgeldern.
Was bedeutet das für Ihre CRA-Roadmap?
Die Klassifizierung Ihrer Produkte ist einer der ersten und wichtigsten Schritte in jeder CRA-Compliance-Roadmap und bestimmt, wie viel Zeit und Ressourcen Sie einplanen müssen.
Für wichtige Produkte der Klasse I ohne harmonisierte Normen und für alle wichtigen Produkte der Klasse II ist eine externe Konformitätsbewertung durch eine notifizierte Stelle erforderlich. Die Kapazitäten dieser Stellen sind begrenzt. Wer spät anfängt, riskiert Wartezeiten, die einen pünktlichen Marktzugang gefährden.
Zwei Stichtage sind dabei besonders relevant:
- 11. September 2026: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle treten in Kraft, unabhängig von der Produktklasse.
- 11. Dezember 2027: Die vollständige CRA-Anwendbarkeit greift. Ab diesem Datum dürfen nur noch konforme Produkte in Verkehr gebracht werden.
Wer die Klassifizierung seiner Produktpalette noch nicht abgeschlossen hat, läuft Gefahr, die notwendigen Konformitätsbewertungen nicht rechtzeitig zu beginnen. Unsere CRA-Compliance-Roadmap gibt einen strukturierten Überblick über die notwendigen Schritte bis zu beiden Stichtagen.
Häufig gestellte Fragen
Gilt das Klassifizierungsprinzip auch für Software-Produkte? Ja. Auch bei Software richtet sich die Klassifizierung nach der Hauptfunktion des Gesamtprodukts. Eine Anwendung, die primär als Passwortmanager fungiert, ist ein wichtiges Produkt der Klasse I, auch wenn sie nebenbei einfache Notizfunktionen bietet. Eine Textverarbeitungssoftware, die einen integrierten Passwort-Safe enthält, bleibt ein Standard-Produkt, solange der Passwort-Safe eine Nebenfunktion ist.
Was passiert, wenn wir unser Produkt falsch klassifizieren? Falschklassifizierung kann als Inverkehrbringen eines nicht-konformen Produkts gewertet werden. Das kann Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Marktüberwachungsbehörden können zudem Rückrufe anordnen. Eine konservative Klassifizierung im Zweifelsfall ist daher keine Vorsicht, sondern Vernunft.
Kann sich die Klassifizierung durch ein Software-Update ändern? Grundsätzlich ja. Wenn ein Update eine neue Kernfunktion einführt, etwa wenn ein Haushaltsgerät eine primäre Sicherheitsüberwachungsfunktion erhält, kann das eine Neuklassifizierung und einen neuen Konformitätsprozess auslösen. Das ist der Kern des Begriffs „wesentliche Änderung" im CRA. Eine Änderung, die die Sicherheitseigenschaften oder die bestimmungsgemäße Verwendung des Produkts grundlegend verändert, löst den vollen Konformitätsprozess neu aus.
Müssen wir die Klassifizierung gegenüber Behörden nachweisen? Ja. Die technischen Unterlagen, die Hersteller nach CRA erstellen müssen, umfassen auch die Begründung der Produktklassifizierung. Marktüberwachungsbehörden können diese Unterlagen anfordern. Eine nicht dokumentierte oder schlecht begründete Klassifizierung ist damit ein Compliance-Risiko, auch wenn die Klassifizierung inhaltlich korrekt wäre.
Wie behandelt der CRA Produkte mit mehreren gleichwertigen Hauptfunktionen? Das ist ein echter Graubereich, den der CRA nicht abschließend klärt. Die EU-Guidance empfiehlt, in solchen Fällen die sicherheitsrelevanteste Funktion als maßgeblich zu betrachten, was im Zweifelsfall zu einer höheren Klassifizierung führt. Bei echten Hybridprodukten empfehle ich dringend eine rechtliche Einschätzung.
Fazit
Ein Betriebssystem im Kühlschrank macht aus dem Kühlschrank kein Betriebssystem, zumindest nicht im Sinne des Cyber Resilience Act. Die Klassifizierung folgt der Kernfunktionalität des Gesamtprodukts, nicht der Komponentenliste. Das klingt einfach, hat aber weitreichende praktische Konsequenzen. Falsche Klassifizierung bedeutet falsche Konformitätsbewertung, falsche Konformitätsbewertung bedeutet regulatorisches Risiko.
Wer die Klassifizierung seiner Produktpalette strukturiert angehen möchte, sollte früh damit beginnen, nicht erst wenn der Stichtag näher rückt. Eine systematische CRA-Compliance-Plattform hilft dabei, Produktklassifizierungen zu dokumentieren, Konformitätsnachweise zu verwalten und Änderungen im Produktportfolio laufend zu überwachen. Starten Sie mit einer kostenlosen CRA-Bewertung und klären Sie, wo Ihre Produkte stehen.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.