Welche Produkte fallen unter den Cyber Resilience Act?

Welche Produkte fallen unter den Cyber Resilience Act?

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die in der EU vertrieben werden, unabhängig davon, wo sie entwickelt wurden oder wo der Hersteller sitzt. Erfasst werden sowohl physische als auch virtuelle Produkte, deren Funktion auf Vernetzung und Datenverarbeitung basiert.

Cloud-Services sind nur dann Teil des Geltungsbereichs, wenn sie zwingend für das Produkt notwendig sind. Ausgenommen sind unter anderem Medizinprodukte, Automotive, Verteidigungsgüter sowie Ersatzteile. Für Verbraucher heißt das, mehr Sicherheit bei einer breiten Palette digitaler Produkte. Für Hersteller heißt es, genau zu prüfen, ob ihre Produkte in den Scope fallen und welches Assessment-Verfahren notwendig ist.

CRA Schnelltest

Du bist dir unsicher, ob deine Produkte überhaupt betroffen sind vom CRA? Mit unserem CRA Schnelltest kannst du in weniger als zwei Minuten herauszufinden, ob der Cyber Resilience Act für dein Produkt relevant ist.

Zum CRA Schnelltest
Illustration Cyber Resilience Act Schnelltest

Was sind Produkte mit digitalen Elementen

Im Kern betrifft der CRA Products with Digital Elements. Das sind alle Produkte, die:

  • Hardware und Software, die sich direkt oder indirekt mit anderen Geräten oder Netzwerken verbinden können.
  • Produkte, die lokale oder Remote-Datenverarbeitung enthalten, wenn diese Verarbeitung für die Funktion notwendig ist.
  • Produkte, die virtuell (z. B. APIs, Netzwerke) oder physisch (z. B. Ports, Schnittstellen) verbunden sind.
  • Produkte, die im Rahmen einer kommerziellen Aktivität vertrieben werden, auch wenn sie kostenlos sind, solange sie Teil einer Geschäftsstrategie sind.

Beispiele:

  • Ein Smart Home Gerät wie ein vernetzter Lautsprecher.
  • Eine App zur Steuerung eines Thermostats.
  • Eine Industriesteuerung, die über eine Cloud-Plattform kommuniziert.
  • Ein Wearable, das Daten via Bluetooth und Internet überträgt.

Der Scope ist bewusst weit gefasst, damit Sicherheitslücken in alltäglichen Geräten genauso adressiert werden wie in geschäftskritischen Anwendungen. Der CRA ist damit für eine große Vielzahl an Produkten gültig und nicht wie andere EU-Verordnungen auf einzelne Branchen oder Produktarten fokussiert.

Virtuelle und physische Konnektivität

Produkte können auf zwei Arten miteinander verbunden sein:

  • Physisch – durch Ports, Schnittstellen oder Kabel (z. B. ein USB-Gerät oder Router).
  • Virtuell – durch Software-Schnittstellen, Protokolle oder Netzwerke (z. B. APIs, Bluetooth, WLAN).

Der CRA macht bei der Konnektivität keinen Unterschied. Beide Formen sind mit dem CRA reguliert, weil beide ein Einfallstor für Angriffe darstellen.

Was bedeutet Remote Data Processing

Ein Schlüsselbegriff, welcher im CRA oft verwendet wird, ist das „Remote Data Processing“. Daran unterscheidet sich auch, ob beispielsweise Cloud Services im Scope vom CRA sind oder eben nicht. Diese klare Abgrenzung ist für die Hersteller notwendig.

Mit dem Begriff “Remote Data Processing” ist gemeint: Wenn die Datenverarbeitung nicht lokal im Gerät oder in der Software stattfindet, sondern in einer externen Infrastruktur (z. B. Cloud oder Remote-Server), und diese Verarbeitung integraler Bestandteil des Produkts ist.

Ein paar Beispiele verdeutlichen das:

  • Im Scope:
    • Eine Smartwatch-App, deren Funktionen nur mit einer Cloud-Anbindung laufen.
    • Ein IoT-Gerät, das über eine Hersteller-Cloud gesteuert wird.
  • Nicht im Scope:
    • Ein Online-Shop, der einfach im Browser geöffnet wird.
    • Ein Cloud-Dienst, der zwar existiert, aber nicht zwingend erforderlich für das Produkt ist. Beispielsweise zusätzliche Rezepte, welche frei verfügbar sind für ein Smart Home Kochgerät.

Als Faustregel kann man sagen, wenn Remote Data Processing notwendig ist, damit das Produkt wie vorgesehen funktioniert, gehört es in den Scope. Damit gelten die gleichen Anforderungen wie an das eigentliche Produkt und vor allem muss auch ein entsprechendes Assessment vorgesehen werden.

Wann müssen Cloud-Services mitberücksichtigt werden?

Ein zentraler Diskussionspunkt ist die Frage, wann Cloud-Services in den Geltungsbereich des CRA fallen und wann nicht. Grundsätzlich gilt, dass die Cloud nur dann Teil des Produkts ist und damit reguliert, wenn sie zwingend notwendig für die Funktion des Produkts ist und unter der Verantwortung des Herstellers steht.

Cloud im Scope

  • Zwingende Voraussetzung für die Nutzung: Wenn ein Gerät oder eine Software ohne die Cloud gar nicht funktionsfähig ist, gehört die Cloud eindeutig in den Scope.
  • Beispiele:
    • Eine IoT-Kamera, die ohne Verbindung zur Hersteller-Cloud nicht auf Bilder zugreifen lässt.
    • Ein Smart-Home-Thermostat, welches ausschließlich über eine Cloud-App gesteuert werden kann.
    • Eine Smartwatch, die ihre Gesundheitsdaten nur über die Hersteller-Cloud verarbeitet.
  • Konsequenz: Hier trägt der Hersteller Verantwortung für die Sicherheit sowohl des Geräts als auch der zugehörigen Cloud-Infrastruktur.

Cloud nicht im Scope

  • Optionale oder zusätzliche Services: Wenn die Cloud nur ein ergänzendes Feature ist, ohne das das Produkt weiterhin seine Grundfunktion erfüllt, fällt sie nicht unter den CRA.
  • Beispiele:
    • Ein Online-Shop, über den man Ersatzteile oder Zusatzfunktionen kaufen kann.
    • Ein optionaler Cloud-Speicher, in den ein Nutzer seine Daten zusätzlich hochladen könnte, während das Produkt auch lokal funktioniert.
    • Eine Mobile App, die zwar einen Mehrwert bietet, aber nicht zwingend für die Grundfunktion des Geräts notwendig ist.
  • Konsequenz: Diese Dienste bleiben außerhalb des CRA, sie unterliegen ggf. anderen Regelungen, aber nicht dem CRA selbst.

Wichtig ist die Abgrenzung:

  • Nur wenn die Cloud als integraler Bestandteil des Produkts entwickelt und betrieben wird und unter Verantwortung des Herstellers steht, ist sie mit abgedeckt.
  • Nutzt ein Produkt hingegen einen externen, unabhängigen Cloud-Service, der nicht notwendig ist, fällt dieser Service nicht in den Scope.

    CRA Gap-Analyse

    Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

    Zur Gap-Analyse
    Illustration Cyber Resilience Act Gap Analyse

Produkte auf dem EU-Markt

Ein zentrales Ziel des Cyber Resilience Act ist es, ein einheitliches Schutzniveau für alle Verbraucherinnen und Verbraucher in der EU sicherzustellen. Deshalb macht die Verordnung keine Unterschiede danach, wo ein Produkt entwickelt oder von welchem Unternehmen es auf den Markt gebracht wird.

Das bedeutet ganz konkret:

  • Es spielt keine Rolle, ob ein Produkt in Deutschland, den USA, China oder Japan entwickelt wurde.
  • Ebenso irrelevant ist, ob der Hersteller seinen Sitz innerhalb oder außerhalb der EU hat.
  • Entscheidend ist allein: Das Produkt wird auf dem europäischen Markt bereitgestellt, also verkauft oder in anderer Form im Rahmen einer kommerziellen Aktivität angeboten.

Damit fallen auch Hersteller, die ihre Geräte oder Software aus Drittstaaten in die EU exportieren, unter die Regelungen des CRA. Wer ein Produkt in Europa verkaufen will, muss sich an die gleichen Spielregeln halten wie ein europäischer Anbieter. Inwieweit das natürlich in der Realität kontrolliert und eingehalten wird ist fraglich und wird sich zeigen.

Konsequenzen für internationale Hersteller

Für große internationale Unternehmen bedeutet das, dass sie ihre Entwicklungs- und Sicherheitsprozesse so gestalten müssen, dass sie die Anforderungen des CRA erfüllen, wenn sie den europäischen Markt weiter bedienen möchten.

Rolle von Herstellern, Importeuren und Händlern

Der CRA verteilt die Verantwortung jedoch nicht nur auf den Hersteller. Je nachdem, ob die Produkte in der EU tatsächlich hergestellt werden, ob sie nur importiert haben, gibt es weitere Pflichten für die jeweiligen Akteure.

  • Hersteller tragen die Hauptverantwortung für die Konformität des Produkts.
  • Importeure müssen sicherstellen, dass Produkte aus Drittstaaten nur dann auf den EU-Markt kommen, wenn sie den CRA erfüllen.
  • Händler wiederum dürfen nur konforme Produkte vertreiben.

Wir werden diesem Thema einen eigenen Blogbeitrag widmen, um im Detail zu zeigen, welche Pflichten jede dieser Gruppen konkret hat und wie sie sich vorbereiten können.

Was gilt für kostenfreie Produkte?

Ein entscheidendes Kriterium für die Anwendbarkeit des Cyber Resilience Act ist die sogenannte kommerzielle Aktivität. Der CRA greift immer dann, wenn ein Produkt im Rahmen einer wirtschaftlichen Tätigkeit auf den Markt gebracht oder vertrieben wird. Dabei ist es unerheblich, ob dafür ein direkter Preis verlangt wird oder nicht. Somit kann verhindert werden, dass Unternehmen kostenlose Produkte als Schlupfloch nutzen, um die Anforderungen aus dem CRA zu umgehen.

Auch kostenlose Produkte können unter den CRA fallen

Viele Unternehmen bieten Software oder Geräte zunächst kostenlos an, um Kunden zu gewinnen oder Daten zu sammeln. Der CRA stellt klar:

  • Kostenlos heißt nicht automatisch ausgenommen.
  • Entscheidend ist, ob das Produkt Teil einer Vertriebs- oder Geschäftsstrategie ist und damit eine kommerzielle Aktivität verfolgt wird.

Welche kostenlosen Produkte fallen nicht unter den CRA?

Anders sieht es aus, wenn ein Produkt rein privat und ohne wirtschaftliche Absicht entwickelt oder bereitgestellt wird.

  • Beispiel: Eine Privatperson programmiert eine kleine App und stellt sie kostenlos und ohne geschäftlichen Hintergrund ins Netz. In solchen Fällen handelt es sich nicht um eine kommerzielle Aktivität – der CRA findet keine Anwendung.

Welche Produkte sind ausgenommen?

Die Verordnung definiert klar, welche Produktkategorien nicht unter den CRA fallen:

  • Medizinprodukte (EU 2017/745)
  • In-vitro-Diagnostika (EU 2017/746)
  • Automotive-Produkte (EU 2019/2144)
  • Produkte für nationale Sicherheit oder Verteidigung
  • Luftfahrtprodukte (EU 2018/1139)
  • Marineausrüstung (EU 2014/90)
  • Ersatzteile für bestehende Produkte, sofern diese Teile nicht eigenständig genutzt werden können

Damit soll Doppelregulierung vermieden werden – diese Sektoren haben bereits eigene, oft sehr strenge Sicherheitsvorschriften.

Keine Ausnahme für geringe Stückzahlen: Es spielt keine Rolle, ob 10 oder 1.000.000 Produkte produziert werden – sobald es eine kommerzielle Aktivität ist, gilt der CRA. Das gilt natürlich nur, wenn das Produkt nicht bereits ausgenommen ist (siehe oben).

Ausnahmen für Proof of Concepts oder Alpha Versionen

Der Cyber Resilience Act soll die Innovation nicht ausbremsen. Deshalb stellt die Verordnung klar: Prototypen, Proof of Concepts (PoCs) und Testversionen dürfen auch weiterhin entwickelt, erprobt und eingesetzt werden, ohne dass die vollen Anforderungen des CRA greifen.

Das gilt sowohl für die interne Entwicklung als auch für das öffentliche Präsentieren auf Fachmessen oder bei Kunden. Wichtig ist dabei allerdings, es muss eindeutig gekennzeichnet sein, dass es sich um ein nicht finales Produkt handelt und es noch kein CE-Zeichen gibt.

Welche weitere Produktklassifizierung gibt es?

Der Cyber Resilience Act unterscheidet nicht nur danach, welche Produkte in den Scope fallen, sondern auch, welche Rolle und Kritikalität diese Produkte für die Cybersicherheit haben.

Um das einheitlich zu regeln, führt der CRA eine Klassifizierung in drei Stufen ein: Standardprodukte, Important Products und Critical Products.

Standardprodukte

Unter diese Kategorie fallen alle Produkte mit digitalen Elementen, die nicht ausdrücklich als „important“ oder „critical“ eingestuft sind. Das betrifft also die breite Masse von Alltags- und Konsumgütern – Geräte und Software, die zwar vernetzt sind, aber nicht als besonders sicherheitskritisch gelten. Beispiele: Smarte Lautsprecher, einfache Apps, viele IoT-Geräte im Consumer-Bereich.

Important Products

Produkte mit erhöhter Bedeutung für die Sicherheit werden als „Important“ eingestuft. Sie werden nochmals in zwei Klassen unterteilt:

  • Class I (Important I): Hierzu gehören zentrale Softwareprodukte wie Betriebssysteme, Browser und VPNs, aber auch sicherheitsrelevante Lösungen wie SIEM-Systeme oder Smart-Home-Sicherheitsgeräte. Diese Produkte sind weit verbreitet und haben daher eine große Angriffsfläche.
  • Class II (Important II): In diese Kategorie fallen Produkte, die tiefer in die Infrastruktur eingreifen und eine noch größere sicherheitstechnische Bedeutung haben. Dazu zählen Firewalls, Intrusion Detection/Prevention-Systeme (IDS/IPS), Hypervisoren, Container-Runtimes sowie Chips mit Manipulationsschutz. Diese Komponenten bilden das Rückgrat vieler IT-Umgebungen und sind daher besonders sensibel.

Critical Products

Die höchste Stufe betrifft „Critical Products“. Hierbei handelt es sich um Produkte, die von zentraler Bedeutung für die Sicherheit ganzer Infrastrukturen sind und deren Kompromittierung schwerwiegende Folgen hätte. Beispiele: Smart Meter Gateways, Hardware-Sicherheitsmodule oder Smartcards.

Auswirkungen der Klassifizierung

Interessanterweise unterscheiden sich die technischen Anforderungen für alle Kategorien nicht, wie es beispielsweise bei der Schutzbedarfsfeststellung nach dem IT-Grundschutz ist. Alle Produkte müssen über den gesamten Lebenszyklus hinweg sicher sein, regelmäßig Updates erhalten und grundlegende Sicherheitsprinzipien einhalten.

Was sich jedoch unterscheidet, ist das Assessment-Verfahren, also die Art, wie die Einhaltung der Anforderungen überprüft wird:

  • Standardprodukte: Hier genügt eine Herstellererklärung.
  • Important Products (Class I): Ebenfalls Selbsterklärung, jedoch in Verbindung mit harmonisierten Standards.
  • Important Products (Class II): Hier wird es strenger: Eine benannte Stelle muss die Konformität überprüfen.
  • Critical Products: Für diese Produkte ist eine verpflichtende EU-Cybersecurity-Zertifizierung auf dem Niveau „substantial“ vorgeschrieben.

Im Rahmen unserer CRA-Blogserie gehen wir noch detaillierter auf das Thema Assessment und Konformitätserklärungen ein.

Was ist mit KI-Produkten?

Der Cyber Resilience Act (CRA) steht nicht isoliert, sondern ist Teil eines ganzen Pakets an europäischen Digitalgesetzen. Besonders eng verknüpft ist er mit der Verordnung (EU) 2024/1689 – dem AI Act.

Produkte mit digitalen Elementen, die künstliche Intelligenz integrieren oder mit KI-Systemen verbunden sind, müssen künftig beide Regelwerke parallel erfüllen:

  • Der CRA stellt sicher, dass das Produkt über seinen gesamten Lebenszyklus hinweg cybersicher ist – inklusive Updates, Schwachstellenmanagement und sicherer Grundeinstellungen.
  • Der AI Act legt zusätzliche Anforderungen an Transparenz, Risikomanagement und vertrauenswürdige Nutzung von KI fest.

Damit wird verhindert, dass Lücken entstehen: Ein Smart-Home-Gerät mit KI-Sprachsteuerung oder eine Industrieanwendung mit Predictive-Maintenance-KI muss sowohl sicher als auch vertrauenswürdig sein.

Fazit

Der Cyber Resilience Act deckt eine außergewöhnlich breite Palette von Produkten ab. Sein Geltungsbereich reicht von alltäglichen Konsumgütern wie Smartwatches oder Lautsprechern, über komplexe Unternehmenssoftware und Betriebssysteme bis hin zu hochsensiblen Komponenten, die in kritischen Infrastrukturen zum Einsatz kommen.

Im Mittelpunkt stehen alle Produkte mit digitalen Elementen, also Geräten oder Software, die Daten verarbeiten und sich mit anderen Systemen verbinden können. Dabei spielt es keine Rolle, ob die Verarbeitung lokal oder über Remote Data Processing erfolgt, sobald die Cloud oder ein externer Dienst notwendig ist, damit das Produkt wie vorgesehen funktioniert, fällt auch dieser Aspekt in den Anwendungsbereich des CRA.

Ausgenommen sind lediglich bestimmte Sektoren, die bereits unter eigene, sehr strenge EU-Regulierungen fallen, wie beispielsweise Medizinprodukte, Automotive oder Verteidigungs- und Luftfahrttechnologie. Ebenfalls nicht betroffen sind reine Ersatzteile, die ausschließlich für Reparatur oder Wartung bestehender Produkte bestimmt sind und nicht eigenständig auf den Markt gebracht werden.

Eine Ausnahme aufgrund von Stückzahlen kennt der CRA nicht. Ob ein Hersteller nur zehn Geräte oder eine Million produziert, sobald ein Produkt im Rahmen einer kommerziellen Aktivität in der EU vertrieben wird, greift die Verordnung. Das gilt auch, wenn das Produkt kostenlos angeboten wird und trotzdem Teil des Geschäftsmodells ist.

Besonders wichtig ist zudem die Klassifizierung der Produkte. Während Standardprodukte meist über eine einfache Herstellererklärung in Verkehr gebracht werden können, unterliegen „Important Products“ bereits strengeren Prüfungen. Für die „Critical Products“ schließlich ist eine verpflichtende EU-Zertifizierung vorgeschrieben. Mit steigender Kritikalität nimmt also nicht die Zahl der Anforderungen zu, sondern die Tiefe und Strenge der Prüfverfahren.

Hersteller müssen frühzeitig klären, ob ihre Produkte unter den CRA fallen und in welche Kategorie sie gehören. Nur so können sie rechtzeitig die passenden Prozesse für Konformität und Assessment aufsetzen.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

SBOM: Die Grundlage für sichere Software-Lieferketten

SBOM: Die Grundlage für sichere Software-Lieferketten

Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.

Mehr lesen
SBOM und der Cyber Resilience Act

SBOM und der Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.

Mehr lesen
Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Mehr lesen