30. Juni 2025
Hinsija Schilling Software

 

Kann Ihr Produkt mit einem Gerät oder einem Netzwerk verbunden werden, umfasst Ihr Produkt sowohl Hardwareprodukte mit vernetzten Funktionen als auch reine Softwareprodukte? Dann ist es laut Cyber Resilience Act (CRA) ein „Produkt mit digitalen Elementen“. Verkaufen Sie Ihr Produkt in der EU, dann müssen Sie den CRA erfüllen. Als Ausnahmen sind nicht-kommerzielle Open-Source-Softwareprodukte und Produkte, für die bereits einschlägige Cyber-Security-Regularien der EU existieren, genannt. Medizinprodukte werden in der EU primär durch die MDR bzw. IVDR und weiterführende Normen wie z.B. die IEC 81001-5-1 reguliert und sind aus dem Scope der CRA an sich ausgeschlossen. Gleichzeitig besagt jedoch Einführungspunkt 10 der CRA Verordnung, dass am Körper tragbare medizinische Geräte, so genannte Wearables, die CRA-Anforderungen erfüllen müssen.

Produktekategorien nach CRA

Die Produkte werden in der CRA in verschiedene Kategorien unterteilt:

  • wichtige Produkte mit digitalen Elementen können in die Klasse I und II unterteilt werden und müssen mindestens eine der Funktionen erfüllen:
    • Funktion, die für die Cybersicherheit anderer Produkte, Netze oder Dienste von entscheidender Bedeutung sind, einschließlich der Sicherung der Authentifizierung und des Zugangs, der Prävention und Erkennung von Eindringen, der Endpunktsicherheit oder des Netzschutzes;
    • Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt in Bezug auf deren Intensität und Fähigkeit, eine große Zahl anderer Produkte oder die Gesundheit, Sicherheit oder Sicherheit seiner Nutzer durch direkte Manipulation zu stören, zu steuern oder zu schädigen, wie z.B. eine zentrale Systemfunktion, einschließlich Netzmanagement, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.
  • kritische Produkte mit digitalen Elementen müssen mindestens einem der Kriterien entsprechen:
    • eine kritische Abhängigkeit wesentlicher Einrichtungen gemäß Artikel 3 der Richtlinie (EU) 2022/2555 von der Kategorie der Produkte mit digitalen Elementen;
    • schwerwiegende Störungen kritischer Lieferketten im gesamten Binnenmarkt bei Sicherheitsvorfällen und ausgenutzten Schwachstellen in Bezug auf die Kategorie von Produkten mit digitalen Elementen
  • Sonstige Produkte, die weder wichtig noch kritisch sind.
Konformitätsbewertungsverfahren nach CRA

Der CRA legt in Kapitel 32 die unterschiedlichen Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen fest. Der Weg zur Konformität hängt dabei von der Art und Kategorie des Produktes ab.

 

Alle Produkte, die in den Scope des CRA fallen, müssen die grundlegenden Cybersicherheitsanforderungen nach Anhang I erfüllen.

Teil I des Anhangs I legt die Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen fest:

  • Gewährleistung eines angemessenes Cybersicherheitsniveaus
  • Bewertung der Cybersicherheitsrisiken gem. Artikel 13 Absatz 2
  • weitere Cybersicherheitsanforderungen gem. Absatz 2, z.B.:
    • Bereitstellung ohne bekannte ausnutzbare Schwachstellen
    • Sicherstellung, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können
    • Vertraulichkeit, Integrität und Verarbeitung von (personenbezogenen) Daten

Teil II beschreibt die Anforderungen an die Behandlung von Schwachstellen:

  • ermitteln und dokumentieren (z.B. Software-Stückliste)
  • behandeln und beheben (z.B. durch Bereitstellung von Sicherheitsaktualisierungen) mit Info über beseitige Schwachstellen
  • Sicherheit regelmäßig testen und überprüfen
  • Strategie für Offenlegung von Schwachstellen und dazugehörigen Maßnahmen
  • Mechanismen für die sichere, unverzügliche und kostenlose Verbreitung von Aktualisierungen

Für alle Produkte muss auch die Technische Dokumentation nach Anhang VII erstellt und auf Anfrage zur Verfügung gestellt werden.

Alle Konformitätserklärungen müssen zusammen mit der dazugehörigen Technischen Dokumentation 10 Jahre aufbewahrt werden.

Hochrisiko-KI-Systeme in der CRA

Einige Hochrisiko-KI-Systeme (definiert gemäß Artikel 6 der Verordnung (EU) 2024/1689, der sogenannten KI-Verordnung bzw. AI Act) fallen auch in den Anwendungsbereich der CRA-Verordnung, sodass Hersteller beide Regularien betrachten müssen.

Für diese Produkte gilt das in Artikel 43 des AI Acts vorgesehene Konformitätsbewertungsverfahren, die Produkte unterliegen also primär dem KI-Act. Bei der Bewertung müssen Hersteller und die jeweilige benannte Stellen aber auch die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen des Anhangs I der CRA sicherstellen bzw. prüfen.

Die benannten Stellen, die die Konformität derartiger Produkte bewerten, müssen selbst die Anforderungen an die notifizierte Stellen beider Regularien, also sowohl des AI Acts als auch des Kapitels 39 des CRA, erfüllen. Hierauf sollten Hersteller bei der Wahl ihrer benannten Stelle entsprechend achten.

Zeitschiene des CRA

EU-Baumusterprüfbescheinigungen und Zulassungen, die anderen Harmonisierungsrechtsvorschriften unterliegen, bleiben bis zum 11. Juni 2028 gültig, sofern sie nicht schon vorher ablaufen oder andere Harmonisierungsrechtsvorschriften etwas anderes fest legen.

Produkte, die vor dem 11. Dezember 2027 in den Verkehr gebracht werden und nach diesem Zeitpunkt keine wesentlichen Änderungen am Produkt vorgenommen werden, müssen den CRA nicht erfüllen.

Die Meldepflichten für Hersteller nach Artikel 14 gelten jedoch für alle Produkte, auch für Produkte, die vor dem 11. Dezember 2027 in den Verkehr gebracht wurden.

Bis zum 11. Dezember 2025 möchte die Kommission einen Durchführungsrechtsakt erlassen, in dem die technische Beschreibung für wichtige Produkte der Klassen I und II und für kritische Produkte festlegt werden.

Und noch ein paar wichtige Punkte:

Es ist nicht untersagt, ein Produkt/Prototyp bei Messen, Ausstellungen u.ä. zu präsentieren oder zu verwenden, sofern sichtbar gekennzeichnet ist, dass das Produkt (noch) nicht der CRA-Verordnung entspricht.

Es ist nicht untersagt, eine unfertige Software für einen begrenzten Zeitraum zum Testen zur Verfügung zu stellen, sofern sie deutlich als nicht der CRA-Verordnung entsprechend gekennzeichnet ist.

Für Interessenträger (z.B. Unternehmen, Open-Source-Software-Gemeinschaft, Verbraucherverbände, Hochschulen usw.) organisiert die Kommission regelmäßig, mindestens einmal jährlich, Konsultations- und Informationssitzungen

Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.

Verwandte Artikel

Sie haben Fragen? +49 7131 2774-0
seleon GmbH
Im Zukunftspark 9
74076 Heilbronn

Copyright © 2025 seleon GmbH, All Rights Reserved.