Eine der häufigsten Fragen, die Hersteller stellen: Fällt mein Produkt überhaupt unter den Cyber Resilience Act? Die Antwort ist für die meisten Hersteller digitaler Produkte: ja. Der CRA hat einen bewusst breiten Anwendungsbereich, der nahezu alle Produkte mit digitalen Elementen erfasst, die auf dem EU-Markt bereitgestellt werden.
Die Grundregel: Produkte mit digitalen Elementen
Der CRA definiert seinen Anwendungsbereich über den Begriff "Produkte mit digitalen Elementen". Darunter fallen alle Software- und Hardwareprodukte sowie deren Fernverarbeitungslösungen, bei denen eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk besteht.
Konkret bedeutet das: Jedes Produkt, das Software enthält und in irgendeiner Form vernetzt ist oder vernetzt werden kann, fällt unter den CRA. Das umfasst physische Geräte mit eingebetteter Software wie IoT-Geräte, Smart-Home-Produkte, industrielle Steuerungen, Netzwerkausrüstung und Embedded Systems. Ebenso fallen reine Softwareprodukte darunter – Desktop-Anwendungen, Mobile Apps, Firmware und Betriebssysteme. Auch Komponenten, die als Einzelteile auf den Markt gebracht werden, sind erfasst: Mikroprozessoren mit Sicherheitsfunktionen, Softwarebibliotheken und Module.
Der Anwendungsbereich ist technologieneutral. Es spielt keine Rolle, ob Ihr Produkt über WiFi, Bluetooth, Ethernet, Mobilfunk oder ein anderes Protokoll kommuniziert.
Was der CRA nicht erfasst: Die Ausnahmen
Der CRA enthält einige klar definierte Ausnahmen. Diese betreffen Produktkategorien, die bereits durch andere EU-Regulierungen abgedeckt sind.
Medizinprodukte sind ausgenommen, da sie bereits unter die Medizinprodukteverordnung (MDR) und die In-vitro-Diagnostika-Verordnung (IVDR) fallen. Diese Regulierungen enthalten bereits umfassende Cybersicherheitsanforderungen.
Fahrzeuge und deren Zubehör sind ausgenommen, sofern sie unter die Typgenehmigungsverordnung für Kraftfahrzeuge fallen. Die UNECE-Regulierungen R155 und R156 decken Cybersicherheit für Fahrzeuge ab.
Luftfahrtprodukte sind ausgenommen, die unter die EU-Luftfahrtverordnungen fallen.
Produkte für nationale Sicherheit und Verteidigung sind ausgenommen, ebenso wie Produkte, die ausschließlich für militärische Zwecke entwickelt wurden.
Open-Source-Software ist grundsätzlich ausgenommen, sofern sie nicht im Rahmen einer kommerziellen Tätigkeit auf den Markt gebracht wird. Wird Open-Source-Software jedoch kommerziell vertrieben oder in einem kommerziellen Produkt eingesetzt, fällt sie unter den CRA. Für Open-Source-Stewards (Stiftungen und Organisationen, die Open-Source-Projekte pflegen) gelten abgemilderte Pflichten.
Wichtig: SaaS-Produkte fallen grundsätzlich nicht unter den CRA, da sie nicht als Produkt "in Verkehr gebracht" werden. Es gibt jedoch eine entscheidende Ausnahme: Wenn die Fernverarbeitung (Remote Data Processing) vom Hersteller des Geräts bereitgestellt wird und für die Kernfunktion des Produkts erforderlich ist, fällt diese Fernverarbeitung mit unter den CRA.
Die drei Produktkategorien im Detail
Der CRA teilt alle erfassten Produkte in drei Kategorien ein, die unterschiedliche Konformitätsbewertungsverfahren erfordern.
Standardprodukte (Default). Die große Mehrheit aller Produkte – geschätzt über 90 Prozent – fällt in diese Kategorie. Dazu gehören alle Produkte, die nicht explizit in den Anhängen III und IV des CRA als wichtig oder kritisch gelistet sind. Beispiele: intelligente Lautsprecher, smarte Glühbirnen, vernetzte Haushaltsgeräte, Fitness-Tracker, einfache Sensoren, die meisten Software-Anwendungen und Spiele. Für Standardprodukte genügt eine Selbstbewertung durch den Hersteller.
Wichtige Produkte (Klasse I). Diese Kategorie umfasst Produkte mit höherem Sicherheitsrisiko. Anhang III des CRA listet diese Produkte auf: Identitätsmanagementsysteme und Software für privilegierten Zugriff, Browser, Passwortmanager, Software zur Erkennung von Malware, Produkte mit VPN-Funktion, Netzwerkmanagementsysteme, SIEM-Systeme (Security Information and Event Management), Boot-Manager, Systeme zur Ausstellung digitaler Zertifikate, physische und virtuelle Netzwerkschnittstellen, Betriebssysteme für Geräte und Router, die nicht unter Klasse II fallen, sowie Mikroprozessoren mit sicherheitsrelevanten Funktionen. Für Klasse-I-Produkte ist eine Selbstbewertung möglich, wenn harmonisierte Normen vollständig angewendet werden. Andernfalls ist eine benannte Stelle erforderlich.
Wichtige Produkte (Klasse II). Diese Kategorie umfasst Produkte mit noch höherem Risiko: Hypervisoren und Container-Laufzeitumgebungen, Firewalls und Intrusion-Detection-Systeme, manipulationssichere Mikroprozessoren und Mikrocontroller, Hardware-Sicherheitsmodule (HSM), sichere Kryptoprozessoren, Smartcard-Leser, Industrieautomationsgeräte mit Sicherheitsfunktionen sowie Roboter-Sensorsysteme. Klasse-II-Produkte erfordern zwingend die Einbeziehung einer benannten Stelle.
Kritische Produkte. Anhang IV listet eine kleine Gruppe kritischer Produkte: Hardware-Geräte mit Sicherheitsboxen (z. B. Hardware-Sicherheitsmodule, Smartcards), Gateway-Geräte für Smartmeter und andere Geräte für fortgeschrittene Sicherheitszwecke. Auch für kritische Produkte ist eine benannte Stelle zwingend erforderlich.
Sonderfälle: Häufige Fragen zur Abgrenzung
In der Praxis ergeben sich immer wieder Grenzfälle bei der Bestimmung des Anwendungsbereichs.
Produkte ohne Netzwerkverbindung: Ein rein analoges Produkt oder ein Produkt mit Software, aber ohne jegliche Netzwerkschnittstelle, fällt nicht unter den CRA. Sobald jedoch eine USB-Schnittstelle, Bluetooth-Funktion oder andere Konnektivitätsoption vorhanden ist, greift der CRA.
Ersatzteile und Komponenten: Wenn eine Komponente als eigenständiges Produkt auf den Markt gebracht wird (z. B. ein WiFi-Modul), fällt sie unter den CRA. Wird sie hingegen ausschließlich als internes Bauteil eines anderen Produkts verwendet und nicht separat vertrieben, wird sie über das Endprodukt erfasst.
Cloud-Backend für Hardware: Wenn ein Gerät ein Cloud-Backend benötigt, das vom selben Hersteller bereitgestellt wird, fällt diese Fernverarbeitung mit unter den CRA. Das gilt etwa für Smart-Home-Hubs, die ohne Cloud-Anbindung nicht funktionieren.
Updates für bestehende Produkte: Ein reines Software-Update für ein bestehendes Produkt löst keine neue CRA-Bewertung aus – es sei denn, das Update verändert die vorgesehene Verwendung des Produkts wesentlich oder betrifft die Sicherheitsarchitektur grundlegend.
So prüfen Sie, ob Ihr Produkt betroffen ist
Gehen Sie systematisch vor: Hat Ihr Produkt Software oder Firmware? Kann es eine Datenverbindung zu einem Netzwerk oder anderen Geräten herstellen? Wird es auf dem EU-Markt bereitgestellt? Fällt es unter eine der definierten Ausnahmen? Wenn die ersten drei Fragen mit Ja und die letzte mit Nein beantwortet werden, fällt Ihr Produkt unter den CRA.
Im nächsten Schritt bestimmen Sie die Produktkategorie anhand der Anhänge III und IV des CRA. Davon hängt ab, welches Konformitätsbewertungsverfahren Sie durchlaufen müssen und welche Anforderungen konkret gelten.
Unsere kostenlose CRA-Reifegradanalyse hilft Ihnen dabei, schnell einzuschätzen, ob und wie der CRA Ihr Produkt betrifft – und welche Schritte Sie als nächstes unternehmen sollten.