Bin ich vom CRA überhaupt betroffen? Diese Produkte fallen in den Geltungsbereich
Viele Unternehmen hören beim Cyber Resilience Act (CRA) zuerst: neue Pflichten, neue Dokumentation, neue Haftungsfragen. Die eigentliche Schlüsselfrage kommt aber noch davor: Sind wir mit unseren Produkten überhaupt betroffen? Genau hier herrscht aktuell viel Unsicherheit – vor allem bei Software-Anbietern, Herstellern vernetzter Produkte und Unternehmen mit Embedded Systems. Der CRA ist seit dem 10. Dezember 2024 in Kraft. Die Hauptpflichten gelten ab dem 11. Dezember 2027, die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle bereits ab dem 11. September 2026.
Die kurze Antwort
Wenn Ihr Unternehmen Hardware oder Software mit digitalen Elementen auf dem EU-Markt bereitstellt und das Produkt direkt oder indirekt mit einem Gerät oder Netzwerk verbunden ist oder verbunden werden kann, ist die Wahrscheinlichkeit hoch, dass der CRA greift. Der Anwendungsbereich umfasst nicht nur Endprodukte, sondern auch Komponenten, die separat auf dem Markt bereitgestellt werden.
Der entscheidende Prüfrahmen: drei Fragen
1. Handelt es sich um ein „Produkt mit digitalen Elementen“?
Der CRA erfasst Produkte, deren beabsichtigte Verwendung oder vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder einem Netzwerk umfasst. Die EU-Kommission nennt ausdrücklich Hardware und Software als erfasste Kategorien. Das betrifft also nicht nur klassische IoT-Geräte, sondern auch Apps, Programme, Komponenten und digitale Funktionen in physischen Produkten.
2. Wird das Produkt auf dem EU-Markt bereitgestellt?
Relevant ist, ob das Produkt im Rahmen einer wirtschaftlichen Tätigkeit auf dem Unionsmarkt bereitgestellt wird. Das kann gegen Bezahlung geschehen, aber auch kostenlos. Entscheidend ist nicht allein der Preis, sondern der Marktbezug. Produkte mit digitalen Elementen, die nicht auf dem Markt bereitgestellt werden, fallen nicht unter den CRA.
3. Fällt das Produkt bereits unter andere spezielle EU-Regelwerke?
Der CRA ist ein horizontaler Rechtsrahmen. Er gilt deshalb nicht grenzenlos für alles Digitale, sondern schließt bestimmte Produkte aus, wenn deren Cybersecurity-Aspekte bereits durch andere EU-Rechtsakte geregelt sind. Für die erste Einordnung ist deshalb wichtig: Nicht nur auf das Produkt schauen, sondern auch auf das regulatorische Umfeld.
Welche Produkte typischerweise im Geltungsbereich liegen
Die EU-Kommission nennt als typische Produkte im CRA-Umfeld unter anderem mobile Apps, Computerprogramme, Smart Speaker, Computerspiele und Speicherchips. Für die strengeren Konformitätsanforderungen werden außerdem Produktkategorien wie Betriebssysteme, Antivirenprogramme, Router und Firewalls als „wichtige Produkte“ hervorgehoben; Smart Cards, Secure Elements und Smart-Meter-Gateways zählen zu den kritischen Kategorien.
Für die Praxis heißt das: Betroffen sind häufig nicht nur „sichtbar vernetzte“ Geräte, sondern auch Produkte, bei denen digitale Funktionen nur ein Teil des Gesamtprodukts sind. Gerade im Maschinenbau, bei Steuerungstechnik, Industriekomponenten, vernetzter Gebäudetechnik oder branchenspezifischer Software ist die CRA-Relevanz oft höher, als Unternehmen zunächst annehmen. Diese Schlussfolgerung ergibt sich aus dem weiten CRA-Begriff der „Produkte mit digitalen Elementen“ und der Erfassung auch separat vermarkteter Komponenten.
Typische Irrtümer in Unternehmen
Ein häufiger Irrtum lautet: „Wir sind nur Softwareanbieter, also betrifft uns das nicht.“ Genau das ist zu kurz gedacht. Der CRA nennt ausdrücklich auch Software-Produkte. Ebenso falsch ist die Annahme: „Wir liefern nur eine Komponente, nicht das Endprodukt.“ Auch separat auf dem Markt bereitgestellte Komponenten können im Anwendungsbereich liegen.
Ein weiterer blinder Fleck: Drittkomponenten und Open-Source-Bausteine. Hersteller müssen laut CRA bei integrierten Drittkomponenten mit der nötigen Sorgfalt handeln, damit diese die Cybersecurity des eigenen Produkts nicht beeinträchtigen. Das Thema endet also nicht am eigenen Quellcode.
Wann besondere Vorsicht bei Open Source gilt
Nicht jede frei verfügbare Open-Source-Software fällt automatisch unter den CRA. Produkte mit digitalen Elementen, die nicht im Rahmen einer wirtschaftlichen Tätigkeit auf dem Markt bereitgestellt werden, sind grundsätzlich nicht erfasst. Gleichzeitig sieht der CRA eigene Regeln für Open-Source-Software-Stewards vor, also Organisationen, die bestimmte Open-Source-Produkte systematisch und dauerhaft für kommerzielle Aktivitäten unterstützen.
Warum die Betroffenheitsfrage so wichtig ist
Wer in den CRA fällt, muss mehr tun als nur „ein paar Sicherheitsmaßnahmen“ nachzuweisen. Hersteller müssen eine Cybersecurity-Risikobewertung durchführen, die grundlegenden Sicherheitsanforderungen während Planung, Entwicklung, Produktion, Bereitstellung und Wartung umsetzen, eine Konformitätsbewertung vor dem Inverkehrbringen durchführen, die EU-Konformitätserklärung erstellen und die CE-Kennzeichnung anbringen. Zusätzlich verlangt der CRA ein wirksames Schwachstellenmanagement über den Support-Zeitraum des Produkts hinweg.
Das ist der eigentliche Grund, warum die Einordnung so früh erfolgen muss: Wer erst 2027 feststellt, dass das eigene Produkt unter den CRA fällt, ist operativ zu spät. Die Betroffenheitsanalyse ist der Startpunkt für Produktklassifizierung, Zuständigkeiten, Dokumentation, Schwachstellenmanagement und spätere Auditfähigkeit. Diese Einschätzung folgt direkt aus den Herstellerpflichten und den gestaffelten Anwendungsdaten des CRA.
Was Unternehmen jetzt konkret tun sollten
Der sinnvollste erste Schritt ist kein juristischer Aufsatz, sondern ein strukturierter Produkt- und Portfolio-Check:
- Welche Hardware- und Softwareprodukte stellen wir in der EU bereit?
- Welche davon haben direkte oder indirekte Datenverbindungen?
- Welche Komponenten oder digitalen Funktionen sind integriert?
- Unterliegt ein Produkt möglicherweise bereits anderem spezifischen EU-Recht?
- Wer verantwortet heute Security, Dokumentation, Support-Zeitraum und Schwachstellenmanagement?
Genau an dieser Stelle trennt sich Theorie von Umsetzung. Der CRA ist nicht nur ein Thema für Legal oder IT-Security. Er betrifft auch Produktmanagement, Entwicklung, Geschäftsführung, Service und Compliance.
Fazit
Die Frage „Sind wir vom CRA betroffen?“ ist keine Randnotiz, sondern die Grundlage für alles Weitere. Wenn Ihr Unternehmen Produkte mit digitalen Elementen auf dem EU-Markt anbietet, sollten Sie den CRA nicht nur als IT-Thema betrachten. Es geht um Produktverantwortung, Security-by-Design, Prozesse und Nachweise über den gesamten Lebenszyklus hinweg.
Sie möchten schnell und belastbar einschätzen, ob Ihre Produkte unter den CRA fallen?Wir unterstützen Sie mit einem pragmatischen CRA-Betroffenheitscheck: Portfolio-Sichtung, regulatorische Einordnung, erste Risikoeinschätzung und klare Prioritäten für die nächsten Schritte.
