Wann gilt der CRA grundsätzlich?
Der CRA gilt grundsätzlich für Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden und eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk haben können.
Der CRA knüpft damit nicht primär an bestimmten Branchen oder Sektoren an, sondern an das jeweilige Produkt selbst. Deshalb können neben IT- und Softwareunternehmen unter anderem auch Maschinenbauer, Händler, Importeure, Hersteller vernetzter Komponenten oder Anbieter digitaler Produktfunktionen betroffen sein.
Maßgeblich sind daher zunächst drei Fragen: Liegt ein Produkt mit digitalen Elementen vor? Liegt sein Zweck bzw. seine vorhersehbare Verwendung auch in der direkten oder indirekten logischen oder physischen Verbindung zu Geräten oder Netzen? Wird das Produkt mit digitalen Elementen in der EU bereitgestellt?
Welche Produkte fallen unter den CRA?
Erfasst sind insbesondere vernetzte Hardware, Softwareprodukte, digitale Komponenten und bestimmte produktbezogene Datenfernverarbeitungslösungen.
Der Begriff „Produkt mit digitalen Elementen“ ist weit. Er umfasst Hardware- und Softwareprodukte, sofern sie eine Verbindung zu Geräten oder Netzwerken herstellen können sowie deren Fernverarbeitungslösungen. Die Verbindung kann physisch oder logisch erfolgen, zum Beispiel über WLAN, Bluetooth, Ethernet, USB, eine API oder eine Cloud-Schnittstelle. Auch ein getrenntes Inverkehrbringen von Software- und Hardwarekomponenten ist möglich.
| Produktart |
Typische Beispiele |
CRA-Relevanz |
| Vernetzte Hardware |
Router, Sensoren, Smart-Home-Geräte, Industriesteuerungen |
regelmäßig relevant |
| Softwareprodukte |
Betriebssysteme, Apps, Desktop-Software, Sicherheitssoftware |
regelmäßig relevant |
| Digitale Komponenten |
Firmware, Softwaremodule, separat vermarktete Hardwarekomponenten |
regelmäßig relevant |
| Produktbezogene Cloud-Funktionen |
Cloud-Anbindung eines Smart-Home-Systems oder einer vernetzten Maschine |
regelmäßig relevant |
| Rein analoge Produkte |
Produkte ohne digitale Funktion und ohne Verbindungsmöglichkeit |
regelmäßig nicht relevant |
Wichtig ist: Ein Produkt muss nicht besonders kritisch sein, um unter den CRA zu fallen. Auch alltägliche digitale Produkte können erfasst sein, wenn sie vernetzbar sind.
Praxisbeispiel: Eine Maschine ohne digitale Schnittstelle fällt nicht allein wegen ihrer industriellen Nutzung unter den CRA. Wird sie aber mit vernetzter Steuerung, Fernwartungsfunktion oder Cloud-Anbindung verkauft, kann der CRA relevant werden.
Für die CRA-Prüfung ist daher die technische Konnektivität des Produkts entscheidender als bspw. die Branche des Anbieters oder dessen Kritikalität.
Newsletter
Für Ihre Inbox
Wichtiges zu Datenschutz, KI, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Welche Unternehmen können vom CRA betroffen sein?
Betroffen sind vor allem Hersteller, Importeure und Händler von Produkten mit digitalen Elementen.
Der CRA betrachtet die Rolle eines Unternehmens in der Lieferkette. Entscheidend ist also nicht nur, wer ein Produkt entwickelt hat, sondern auch, wer es importiert, vertreibt, unter eigener Marke anbietet oder wesentlich verändert.
| Rolle |
Wann relevant? |
| Hersteller |
Wer ein Produkt mit digitalen Elementen entwickelt, herstellt bzw. konzipieren/entwickeln/herstellen lässt oder unter eigenem Namen bzw. eigener Marke vermarktet, ist Hersteller. |
| Importeur |
Wer ein Produkt mit digitalen Elementen aus einem Drittstaat auf dem EU-Markt in Verkehr bringt, kann Einführer sein. |
| Händler |
Wer ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt, ohne es wesentlich zu verändern, kann Händler sein. |
Für viele Unternehmen wird die Abgrenzung zwischen Händler, Importeur und Hersteller besonders wichtig. Wer ein Produkt lediglich weiterverkauft, hat andere Pflichten als ein Unternehmen, das es selbst entwickelt oder zumindest unter eigener Marke anbietet oder technisch verändert.
Die Rollen und Pflichten der Wirtschaftsakteure sind im CRA insbesondere für Hersteller, Importeure und Händler geregelt; zusätzlich kennt die Verordnung Sonderrollen wie Verwalter quelloffener Software (Open-Source-Software-Stewards).
Unternehmen sollten ihre CRA-Rolle daher anhand ihrer tatsächlichen Markt- und Lieferkettenfunktion in Bezug auf die konkreten Produkte mit digitalen Elementen bestimmen, nicht anhand ihrer internen Selbstbeschreibung.
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Termin vereinbaren
Wann gelten Händler oder Importeure selbst als Hersteller?
Händler oder Importeure können wie Hersteller behandelt werden, wenn sie ein Produkt unter eigenem Namen oder eigener Marke vertreiben oder es wesentlich verändern.
Diese Herstellerfiktion ist für die Praxis besonders wichtig. Denn wer nach außen als Anbieter eines digitalen Produkts auftritt oder sicherheitsrelevante Änderungen vornimmt, kann damit in den Anwendungsbereich der Herstellerpflichten des CRA gelangen.
Typische Fälle sind:
- Vertrieb unter eigener Marke
- Private-Label- oder White-Label-Produkte
- Rebranding digitaler Produkte
- technische Anpassungen vor dem Weiterverkauf
- sicherheitsrelevante Änderungen an Hard- oder Software
Praxisbeispiel: Ein Großhändler kauft vernetzte Kameras außerhalb der EU ein und verkauft sie unter eigener Marke in Deutschland. Obwohl er die Kameras nicht selbst entwickelt hat, kann er nach dem CRA als Hersteller gelten.
Wer digitale Produkte umlabelt, unter eigener Marke verkauft oder wesentlich verändert, sollte deshalb immer eine Herstellerrolle nach dem CRA prüfen.
Welche Produkte sind vom CRA ausgenommen?
Bestimmte Produktgruppen sind ausgenommen, wenn sie bereits durch spezielle EU-Regelwerke reguliert werden. Entscheidend ist auch hierbei das konkrete Produkt, nicht die Branche des jeweiligen Wirtschaftsakteurs.
Der CRA soll bestehende Spezialregime nicht doppeln. Deshalb gibt es Ausnahmen für bestimmte Produktbereiche, etwa Medizinprodukte, Fahrzeuge, Luftfahrtprodukte oder Schiffsausrüstung. Diese Ausnahmen sollten aber im Detail geprüft werden.
| Kategorie der Produkte mit digitalen Elementen |
Maßgebendes Regelwerk oder Sonderregime |
| Medizinprodukte und In-vitro-Diagnostika |
MDR und IVDR |
| Bestimmte Kraftfahrzeuge, Anhänger, Systeme, Bauteile und selbstständige technische Einheiten, soweit sie unter die Verordnung (EU) 2019/2144 fallen |
EU-Typgenehmigungs- und Fahrzeugsicherheitsrecht |
| Produkte mit digitalen Elementen, die nach der Verordnung (EU) 2018/1139 zertifiziert wurden |
EU-Flugsicherheitsrecht |
| Schiffsausrüstung |
EU-Schiffsausrüstungsrichtlinie |
| Produkte für nationale Sicherheit oder Verteidigung |
einschlägige Sonderregelungen |
Ausnahmen sollten immer produktbezogen geprüft werden; eine pauschale Branchenausnahme gibt es nicht.
Was gilt für SaaS, Open Source und Bestandsprodukte?
SaaS, Open Source und Bestandsprodukte lassen sich nicht pauschal bewerten. Sie müssen anhand von Marktbereitstellung, Kommerzialisierung, Produktbezug und Änderungsstand bewertet werden.
SaaS und Cloud: Grundsätzlich sind reine SaaS-Angebote nicht das Ziel des CRA. Diese fallen eher unter die NIS-2-Richtlinie bzw. das BSI-Gesetz. SaaS können aber unter den CRA fallen, wenn sie selbst als Elemente von Produkten mit digitalen Diensten aufweisen bzw. als Datenfernverarbeitungslösung für ein Produkt mit digitalen Elementen erforderlich sind. Entscheidend ist die konkrete technische und vertragliche Einordnung.
Open Source: Nicht-kommerzielle freie und quelloffene Software erfahren eine Privilegierung im CRA.
Bestandsprodukte: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den CRA-Anforderungen grundsätzlich nicht vollständig, sofern sie nicht wesentlich verändert werden. Die Meldepflichten nach Artikel 14 CRA gelten jedoch auch für Bestandsprodukte. Im Falle einer wesentlichen Änderung wird das Produkt wie ein neues Produkt behandelt und muss die volle CRA-Konformität gewährleisten.
Schnellcheck: Fällt unser Produkt unter den CRA?
Eine erste Einordnung gelingt über fünf Prüffragen. Sie ersetzen keine rechtliche Detailprüfung, helfen aber bei der schnellen Orientierung.
- Stellt das Produkt ein Produkt mit digitalen Elementen im Sinne des CRA dar?
- Besteht eine Verbindungsmöglichkeit?
- Wird das Produkt auf dem EU-Markt bereitgestellt?
- Welche Rolle nimmt Ihr Unternehmen ein?
- Greift eine Ausnahme oder Sonderkonstellation?
Fazit: Der CRA-Anwendungsbereich sollte produktbezogen geprüft werden
Der Cyber Resilience Act betrifft Unternehmen nicht deshalb, weil sie einer bestimmten Branche angehören, sondern weil sie digitale oder vernetzte Produkte auf dem EU-Markt bereitstellen. Entscheidend sind Produktart, Konnektivität, Marktrolle und mögliche Ausnahmen.
Unternehmen sollten deshalb frühzeitig prüfen, welche Produkte mit digitalen Elementen sie anbieten, importieren oder vertreiben. Besonders wichtig sind dabei Sonderfälle wie SaaS, Open Source, Private Label, wesentliche Produktänderungen und Bestandsprodukte. Wer diese Punkte sauber einordnet, kann besser beurteilen, ob und in welcher Rolle der CRA relevant wird.
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Termin vereinbaren
