Cyber Resilience Act

Betroffenheit: Produkte mit digitalen Elementen

CRAArt. 2, 3 CRA

Der Cyber Resilience Act erfasst alle Produkte mit digitalen Elementen (Hardware und Software), die eine direkte oder indirekte Daten- oder Netzwerkverbindung haben und in der EU bereitgestellt werden. Betroffen sind vor allem Hersteller, daneben auch Importeure und Händler. Bevor Sie Maßnahmen planen, müssen Sie klären, welche Ihrer Produkte unter den CRA fallen und in welcher Rolle Sie stehen.

Warum diese Pflicht wichtig ist

Die Betroffenheit entscheidet über alles Weitere. Wer fälschlich annimmt, nicht betroffen zu sein, verpasst die Meldepflicht ab September 2026 und die übrigen Pflichten ab Dezember 2027. Die Reichweite ist bewusst breit: von der Industriesteuerung über die vernetzte Maschine bis zur verkauften Software-Anwendung.

So setzen Sie die Pflicht um

  1. 1Produktportfolio erfassen und je Produkt prüfen, ob digitale Elemente mit Datenverbindung vorliegen
  2. 2Eigene Rolle bestimmen (Hersteller, Importeur, Händler, ggf. mehrere zugleich)
  3. 3Ausnahmen prüfen (z.B. Produkte, die bereits sektorspezifisch reguliert sind, etwa Medizinprodukte oder Kraftfahrzeuge)
  4. 4Freie und quelloffene Software gesondert bewerten (Sonderregeln für nicht-kommerzielle Bereitstellung)
  5. 5Betroffene Produkte in einer Liste mit Verantwortlichen dokumentieren

Diese Nachweise sind gefragt

  • Produktliste mit Betroffenheitsbewertung je Produkt
  • Dokumentierte Rollenzuordnung (Hersteller/Importeur/Händler)
  • Begründung für als nicht betroffen eingestufte Produkte

Häufige Fehler

Software vergessen

Der CRA erfasst nicht nur Hardware, sondern ausdrücklich auch eigenständig vertriebene Software. Reine Software-Anbieter halten sich fälschlich für nicht betroffen.

Rolle unterschätzt

Wer Produkte unter eigenem Namen weitervertreibt oder wesentlich verändert, gilt oft selbst als Hersteller mit allen Pflichten.

Häufig gestellte Fragen

Was ist ein Produkt mit digitalen Elementen?

Jedes Software- oder Hardwareprodukt sowie zugehörige Datenverarbeitungslösungen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Daten- oder Netzwerkverbindung einschließt.

Gilt der CRA auch für reine Software?

Ja. Eigenständig auf den Markt gebrachte Software fällt ebenso unter den CRA wie Hardware mit digitalen Elementen.

Bin ich als kleiner Hersteller betroffen?

Grundsätzlich ja. Der CRA kennt keine generelle Ausnahme für kleine Unternehmen, sieht aber Erleichterungen vor, etwa bei den Meldefristen für Kleinst- und Kleinunternehmen.

Ihren CRA-Handlungsbedarf klären

Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.