24. Juni 2026

CRA-Anwendungsbereich: Fällt Ihr digitales Produkt darunter?

Geschrieben von: Nemko

Der Cyber Resilience Act (CRA) führt Cybersicherheitsanforderungen für viele digitale Produkte ein. Während die wichtigsten Verpflichtungen erst ab Ende 2027 gelten, treten die Meldepflichten bereits im September 2026 in Kraft. Daher ist es für Hersteller entscheidend zu prüfen, ob ihr Produkt in den Anwendungsbereich des CRA fällt.

Was ist der Anwendungsbereich des CRA?

Der Anwendungsbereich des Cyber Resilience Act (CRA) ist umfassender als die Cybersicherheitsanforderungen der Radio Equipment Directive (RED). Der CRA gilt für Produkte mit digitalen Elementen, deren beabsichtigte und/oder vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk umfasst.

Der Begriff „Produkt mit digitalen Elementen“ schließt sowohl Hardware- als auch Softwareprodukte sowie deren Lösungen zur Datenverarbeitung aus der Ferne ein. Der CRA findet zudem Anwendung auf Software und Hardware, auch wenn diese separat in Verkehr gebracht werden.

Ausnahmen vom CRA

Es gibt mehrere Ausnahmen vom CRA, bei denen Produkte durch andere Vorschriften geregelt sind.

Der CRA gilt nicht für Geräte, die unter die folgenden Verordnungen und Richtlinien fallen:

Medical Device Regulation – (EU) 2017/745
In Vitro Diagnostic Regulation – (EU) 2017/746
Fahrzeug-Gesamtsicherheits- / Typgenehmigungsverordnung – (EU) 2019/2144
Zivilluftfahrt – (EU) 2018/1139
Marine Equipment Directive – 2014/90/EU

Weitere Ausnahmen und Einschränkungen gelten für Produkte, die ausschließlich für nationale Sicherheits- oder Verteidigungszwecke entwickelt wurden.

Klassifizierung im Cyber Resilience Act (CRA)

Copilot said: Produkte, die in den Anwendungsbereich des CRA fallen, werden in vier Kategorien eingeteilt, die jeweils mit unterschiedlichen Konformitätsanforderungen verbunden sind:

Standard (Default)
Die meisten Produkte fallen in diese Kategorie und unterliegen den grundlegenden Cybersicherheitsanforderungen des CRA.
Klasse 1
Ein Produkt gilt als wichtiges Produkt der Klasse 1, wenn seine Kernfunktionalität einer in Anhang III aufgeführten Kategorie entspricht. Dazu gehören beispielsweise Betriebssysteme und Virtual Private Networks (VPN).
Klasse 2
Ein Produkt wird als wichtiges Produkt der Klasse 2 eingestuft, wenn seine Kernfunktionalität einer in Anhang III aufgeführten Kategorie entspricht. Dazu zählen unter anderem Hypervisoren und Firewalls.
Kritisch (Critical)
Ein Produkt gilt als kritisch, wenn seine Kernfunktionalität einer in Anhang IV aufgeführten Kategorie entspricht. Dazu gehören beispielsweise Smart-Meter-Gateways und Smartcards.

Die vollständige Liste der Kategorien für Klasse 1, Klasse 2 und kritische Produkte finden Sie am Ende dieses Artikels.

Relevante Fristen im CRA

Meldepflichten – 11. September 2026
Hersteller sind verpflichtet, relevante Behörden (CSIRT und ENISA) über aktiv ausgenutzte Schwachstellen zu informieren, sobald sie davon Kenntnis erlangen.

Hauptanforderungen des CRA – ab 11. Dezember 2027
Die zentralen Verpflichtungen des Cyber Resilience Act treten ab diesem Zeitpunkt in Kraft.

Fazit

Die Festlegung, ob die eigenen Produkte in den Anwendungsbereich des CRA fallen, ist daher ein entscheidender erster Schritt auf dem Weg zur zukünftigen Konformität.

Auch wenn der CRA Cybersicherheitsanforderungen für eine breite Palette von Produkten einführt, befinden sich detaillierte Leitlinien und harmonisierte Normen noch in der Entwicklung. Mit fortschreitender Umsetzung ist daher mit weiteren Klarstellungen zu rechnen.

Referenz – Wichtige Produkte mit digitalen Elementen

Copilot said: Der CRA definiert in Anhang III bestimmte Produktkategorien als „wichtige Produkte“. Diese werden basierend auf der Kernfunktionalität des Produkts in Klasse I und Klasse II unterteilt.

Klasse I

Identitätsmanagementsysteme sowie Software und Hardware für privilegiertes Zugriffsmanagement, einschließlich Authentifizierungs- und Zugangskontrolllesern (einschließlich biometrischer Leser)
Standalone- und eingebettete Browser
Passwort-Manager
Software zur Erkennung, Entfernung oder Quarantäne von Schadsoftware
Produkte mit digitalen Elementen mit VPN-Funktionalität (Virtual Private Network)
Netzwerkmanagementsysteme
Systeme für Security Information and Event Management (SIEM)
Boot-Manager
Software für Public-Key-Infrastrukturen und die Ausstellung digitaler Zertifikate
Physische und virtuelle Netzwerkschnittstellen
Betriebssysteme
Router, Modems für den Internetzugang und Switches
Mikroprozessoren mit sicherheitsrelevanten Funktionen
Mikrocontroller mit sicherheitsrelevanten Funktionen
Anwendungsspezifische integrierte Schaltungen (ASIC) und Field-Programmable Gate Arrays (FPGA) mit sicherheitsrelevanten Funktionen
Allgemeine virtuelle Assistenten für Smart Homes
Smart-Home-Produkte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Sicherheitskameras, Babyüberwachungssysteme und Alarmsysteme
Internetfähige Spielzeuge gemäß Richtlinie 2009/48/EG mit interaktiven Funktionen (z. B. Sprechen oder Filmen) oder Standortverfolgung
Tragbare persönliche Produkte (Wearables) mit Gesundheitsüberwachungsfunktionen (nicht unter MDR/IVDR fallend) oder Wearables für Kinder

Klasse II

Hypervisoren und Container-Laufzeitsysteme zur Unterstützung virtualisierter Ausführungsumgebungen
Firewalls, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS)
Manipulationssichere (tamper-resistant) Mikroprozessoren
Manipulationssichere (tamper-resistant) Mikrocontroller

Kritische Produkte

Hardwaregeräte mit Sicherheitsmodulen (Security Boxes)
Smart-Meter-Gateways innerhalb intelligenter Messsysteme gemäß Artikel 2, Punkt (23) der Richtlinie (EU) 2019/944 sowie andere Geräte für erweiterte Sicherheitszwecke, einschließlich sicherer Kryptoverarbeitung
Smartcards oder vergleichbare Geräte, einschließlich sicherer Elemente

Tags: Cyber Sicherheit