„Cybersicherheit ist doch ein abstraktes IT-Thema, das hat nichts mit dem physischen Schutz von Menschen zu tun."
Diesen Satz höre ich von Herstellern, die sich auf den EU Cyber Resilience Act (CRA) vorbereiten, und er verrät einen grundlegenden Denkfehler über das, was der CRA eigentlich regelt. Denn der CRA ist kein reines IT-Sicherheitsgesetz. Er ist ein Produktsicherheitsgesetz. Und der Unterschied ist entscheidend.
Was bedeutet „schutzbedürftige Verbraucher" im CRA?
Der CRA folgt dem New Legislative Framework (NLF), dem EU-Rechtsrahmen für Produktsicherheit, der auch hinter CE-Kennzeichnung, Maschinenverordnung und Spielzeugrichtlinie steht. Das bedeutet: Die zentrale Frage ist nicht, ob ein Produkt „digital" ist, sondern welche Risiken es für Menschen mit sich bringt.
Der CRA-Anhang III klassifiziert Produkte in zwei Kategorien wichtiger Produkte (Klasse I und Klasse II) sowie eine Gruppe kritischer Produkte. Entscheidendes Kriterium für die Einordnung ist das Risikopotenzial. Dabei spielt die Frage, wer das Produkt nutzt, eine zentrale Rolle.
Vernetztes Spielzeug, Babyphones und Wearables zur Gesundheitsüberwachung sind in Anhang III als wichtige Produkte der Klasse I explizit aufgeführt. Nicht weil sie besonders komplexe Software enthalten, sondern weil ihre Nutzergruppen, also Kinder, Patienten, ältere oder kranke Menschen, besonders schutzbedürftig sind. Ein Angriff auf diese Geräte trifft Menschen, die sich selbst kaum schützen können.
Der Gesetzgeber hat damit eine klare Aussage getroffen: Cybersicherheit ist keine abstrakte IT-Eigenschaft. Sie ist ein Sicherheitsmerkmal mit direktem Einfluss auf Leib und Leben.
Warum die Gleichsetzung von „digital" und „abstrakt" gefährlich ist
Viele Hersteller denken Cybersicherheit in Kategorien der Unternehmenssicherheit: Datenverlust, Betriebsunterbrechung, Reputationsschaden. Das sind legitime Risiken, aber sie beschreiben nur einen Teil des Schadensbildes.
Bei Produkten mit direktem Zugang zu schutzbedürftigen Personen ist das Schadensbild ein anderes.
Ein gehacktes Babyphone kann zur Überwachung oder Manipulation von Säuglingen genutzt werden. Ein kompromittiertes Gesundheits-Wearable kann falsche Messwerte liefern und medizinische Entscheidungen verfälschen. Ein vernetztes Spielzeug kann dazu missbraucht werden, ein Kind zu orten, zu belauschen oder mit ihm zu interagieren, ohne Wissen der Eltern.
Das sind keine theoretischen Szenarien. Es gibt dokumentierte Vorfälle mit vernetzten Spielzeugen, bei denen Angreifer Sprachverbindungen zu Kindern aufbauen konnten. Der CRA reagiert auf eine Realität, die bereits existiert, und zieht aus ihr regulatorische Konsequenzen.
Hersteller, die diesen Zusammenhang unterschätzen, riskieren nicht nur Bußgelder. Sie riskieren, Produkte auf den Markt zu bringen, die konkrete Menschen in konkrete Gefahr bringen.
Mythos vs. Fakt
Mythos: Cybersicherheit ist ein abstraktes IT-Thema ohne Bezug zum physischen Schutz von Menschen.
Fakt: Der CRA behandelt Cybersicherheit explizit als Produktsicherheitsmerkmal. Schutzbedürftige Verbraucher sind ein zentrales Klassifizierungskriterium. Vernetztes Spielzeug, Babyphones und Gesundheits-Wearables gelten als wichtige Produkte der Klasse I, mit entsprechend erhöhten Anforderungen an Konformitätsbewertung, Schwachstellenmanagement und Update-Verpflichtungen.
Konkrete Konsequenzen für Hersteller
1. Produktklassifizierung vor Entwicklungsstart prüfen. Ob Ihr Produkt unter wichtige Produkte der Klasse I fällt, ist keine Frage, die sich am Ende der Entwicklung klären lässt. Die Klassifizierung beeinflusst das gesamte Konformitätsbewertungsverfahren. Hersteller wichtiger Produkte der Klasse I können nicht ausschließlich auf Selbstbewertung setzen, sondern müssen harmonisierte Normen anwenden oder ein Drittparteien-Verfahren mit einer benannten Stelle (Notified Body) durchlaufen. Dabei ist zu beachten: Harmonisierte Normen für den CRA sind zum aktuellen Zeitpunkt (Mai 2026) noch nicht verabschiedet. Solange sie fehlen, ist der Weg über eine benannte Stelle in der Praxis die maßgebliche Option. Das kostet Zeit, Ressourcen und Planung. Nachträglich funktioniert das nicht. Prüfen Sie frühzeitig, welche Anhang-III-Kategorien auf Ihr Produkt zutreffen könnten. Im Zweifelsfall empfiehlt sich eine rechtliche Einschätzung, der CRA lässt an einigen Stellen Interpretationsspielraum, aber die Kategorien für schutzbedürftige Nutzer sind vergleichsweise klar formuliert. Einen Überblick über das gesamte Konformitätsverfahren finden Sie in unserem Artikel zur CRA-Konformitätsbewertung und CE-Kennzeichnung.
2. Schwachstellenmanagement als Dauerprozess etablieren. Für wichtige Produkte der Klasse I gilt nicht nur, dass sie zum Zeitpunkt des Inverkehrbringens, also der erstmaligen tatsächlichen Bereitstellung auf dem EU-Markt, sicher sein müssen. Der CRA verpflichtet Hersteller, Schwachstellen aktiv zu monitoren und zu beheben, über die gesamte, vorab deklarierte Produktlebensdauer. Für ein Spielzeug, das fünf Jahre im Kinderzimmer steht, bedeutet das fünf Jahre aktives Schwachstellenmanagement. Das ist kein einmaliger Aufwand, sondern ein kontinuierlicher Betriebsprozess. Mehr dazu, wie Sie diesen Prozess strukturieren, erklärt unser Leitfaden zum Schwachstellenmanagement unter dem CRA.
3. Update-Bereitstellung als Produktmerkmal einplanen. Sicherheitsupdates sind unter dem CRA keine freiwillige Serviceleistung, sondern eine gesetzliche Pflicht. Hersteller müssen sicherstellen, dass Updates zuverlässig auf das Gerät eingespielt werden können, und dass Nutzer darüber informiert werden. Für Produkte, die von schutzbedürftigen Personen genutzt werden, ist das besonders kritisch. Eine nicht geschlossene Schwachstelle in einem Kinderüberwachungsgerät ist kein Komfortproblem, sondern ein Sicherheitsrisiko. Planen Sie Update-Mechanismen von Beginn an ein, als Architekturentscheidung, nicht als nachträgliches Feature.
Was bedeutet das für Ihre CRA-Roadmap?
Zwei Stichtage bestimmen die CRA-Compliance-Planung.
11. September 2026: Die Meldepflichten treten in Kraft. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle an die zuständigen Behörden, in Deutschland das BSI, auf EU-Ebene die ENISA (EU-Agentur für Cybersicherheit), melden. Wer bis dahin kein funktionierendes Schwachstellenmonitoring aufgebaut hat, riskiert, Meldepflichten zu verletzen, ohne es zu merken.
11. Dezember 2027: Die volle CRA-Anwendbarkeit. Ab diesem Datum dürfen nur noch konforme Produkte in Verkehr gebracht werden. Für wichtige Produkte der Klasse I bedeutet das: Konformitätsbewertung abgeschlossen, technische Dokumentation vollständig, CE-Kennzeichnung rechtmäßig angebracht.
Beide Fristen sind näher, als sie wirken. Die Konformitätsbewertung für ein wichtiges Klasse-I-Produkt ist kein zweiwöchiges Projekt. Wer 2026 noch nicht mit der strukturierten Vorbereitung begonnen hat, wird 2027 unter Druck geraten. Eine detaillierte Übersicht der Meilensteine finden Sie in unserer CRA-Compliance-Roadmap.
Häufig gestellte Fragen
Fällt jedes vernetzte Spielzeug automatisch unter wichtige Produkte der Klasse I? Ja, wenn es als „vernetztes Spielzeug" im Sinne des CRA-Anhangs III gilt. Die Kategorie ist im CRA explizit aufgeführt. Entscheidend ist, ob das Produkt als Spielzeug für Kinder konzipiert ist und eine Netzwerkverbindung aufweist, nicht ob es primär als Spielzeug oder als IoT-Gerät vermarktet wird. Im Zweifelsfall gilt: Wenn das Produkt von Kindern genutzt wird und Daten überträgt, sollten Sie von wichtigen Produkten der Klasse I ausgehen.
Was genau bedeutet „Drittparteien-Konformitätsbewertung" für Hersteller wichtiger Produkte der Klasse I? Hersteller wichtiger Produkte der Klasse I haben zwei Wege. Entweder sie wenden vollständig harmonisierte europäische Normen an und können dann unter bestimmten Bedingungen eine Selbstbewertung vornehmen, oder sie durchlaufen ein Konformitätsbewertungsverfahren mit einer benannten Stelle (Notified Body). In der Praxis bedeutet das Mehraufwand gegenüber Standardprodukten, die allein auf Selbstbewertung setzen können.
Wichtiger Hinweis zum aktuellen Stand (Mai 2026): Harmonisierte Normen für den CRA existieren noch nicht. Sie wurden bislang nicht verabschiedet. Solange das der Fall ist, steht Herstellern wichtiger Produkte der Klasse I der Weg über harmonisierte Normen praktisch nicht offen. In dieser Übergangsphase müssen sie entweder den Weg über eine benannte Stelle gehen oder andere geeignete Nachweisverfahren wählen. Dieser Stand kann sich ändern, sobald die EU-Kommission entsprechende Normen anerkennt.
Ein häufig genanntes Beispiel in der Industrie ist die IEC 62443, die Normenfamilie für Cybersicherheit in der Industrieautomation. Sie wird voraussichtlich zunächst nicht zu den harmonisierten Normen nach CRA gehören. Hersteller, die heute auf IEC 62443-Konformität setzen, sollten daher nicht davon ausgehen, dass diese Norm automatisch die CRA-Konformitätsbewertung erleichtert oder ersetzt. Auch das kann sich langfristig ändern, ist aber zum aktuellen Zeitpunkt nicht gesichert.
Gilt die Update-Pflicht auch, wenn das Produkt nicht mehr aktiv verkauft wird? Ja. Die Pflicht zur Bereitstellung von Sicherheitsupdates gilt für die gesamte Lebensdauer des Produkts, also nicht nur solange es im Handel erhältlich ist, sondern solange es im Einsatz sein kann. Hersteller müssen die erwartete Produktlebensdauer vorab deklarieren und sicherstellen, dass sie in diesem Zeitraum Updates bereitstellen können.
Ist ein Gesundheits-Wearable, das keine Medizindaten überträgt, trotzdem CRA-relevant? Ja. Die CRA-Klassifizierung hängt nicht davon ab, ob das Gerät medizinische Daten überträgt oder als Medizinprodukt reguliert ist. Wenn ein Wearable zur Gesundheitsüberwachung konzipiert ist, also beispielsweise Vitaldaten misst und Netzwerkfähigkeit hat, fällt es unter die Kategorie wichtiger Produkte der Klasse I im CRA-Anhang III. Ggf. greift zusätzlich die Medizinprodukteverordnung (MDR), aber das ist eine separate Regulierung.
Was droht, wenn ich meinen Status als wichtiges Produkt der Klasse I falsch einschätze? Erhebliches. Der CRA sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Zudem droht ein Marktverbot für nicht konforme Produkte. Details zu den Sanktionen finden Sie in unserem Artikel zu CRA-Strafen bei Nichteinhaltung.
Fazit
Der CRA ist kein IT-Gesetz. Er ist ein Produktsicherheitsgesetz, das digitale Risiken als physische Risiken begreift, weil sie das in vielen Fällen sind. Wer Produkte für Kinder, Patienten oder andere schutzbedürftige Personengruppen entwickelt, trägt erhöhte Verantwortung. Rechtlich durch die Einstufung als wichtiges Produkt der Klasse I, und moralisch durch die Realität, was ein Sicherheitsversagen in diesen Produkten anrichten kann.
Wenn Sie noch nicht sicher sind, in welche Klasse Ihre Produkte fallen, und was das konkret für Ihr Konformitätsverfahren bedeutet, ist jetzt der richtige Zeitpunkt für eine strukturierte Bestandsaufnahme. Ein kostenloses CRA-Assessment hilft dabei, die eigene Produktlandschaft systematisch einzuordnen, bevor die Stichtage aus dem Kalender in die Praxis kippen.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.