Was ist ein Produkt mit digitalen Elementen nach dem Cyber Resilience Act (Cyberresilienz-Verordnung)?

Ein Produkt mit digitalen Elementen ist Hardware oder Software, die auf dem EU-Markt bereitgestellt wird und deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem anderen Gerät oder Netz einschließt. Drei Bedingungen entscheiden das: die Produktform, die gewerbliche Bereitstellung auf dem Markt und die Verbindung. Die Verbindung ist die Bedingung, die Teams am häufigsten unterschätzen. Diese Seite führt durch jede Bedingung, die Cloud-spezifischen Fälle und die Sektoren, die außerhalb des Geltungsbereichs des Cyber Resilience Act (CRA) liegen.

Zusammenfassung

  • Der Geltungsbereich ist verbindungsbasiert. Hardware oder Software, die auf dem EU-Markt bereitgestellt wird, ist im Geltungsbereich, wenn ihre bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine Datenverbindung zu einem anderen Gerät oder Netz einschließt.
  • Die Verordnung nennt vier Formen. Softwareprodukte, Hardwareprodukte, separat in Verkehr gebrachte Komponenten und vom Hersteller bereitgestellte Datenfernverarbeitungslösungen.
  • Drei Verbindungstypen gelten. Logisch, physisch und indirekt. Die indirekte Klausel ist der breiteste Auffangtatbestand und erfasst jedes Produkt, das über ein größeres System ein Netz berührt.
  • Bestimmte Sektoren sind ausgenommen. Medizinprodukte, Kraftfahrzeuge, zertifizierte Erzeugnisse der zivilen Luftfahrt, Schiffsausrüstung, Ersatzteile sowie Produkte der nationalen Sicherheit und Verteidigung fallen heraus; siehe Wer muss den CRA einhalten für die jeweils geltende Verordnung.
Verbindung
Die Anwendungsbereichsprüfung
Direkt oder indirekt, zu einem Gerät oder Netz
4
Formen im Geltungsbereich
Software, Hardware, Komponente, Datenfernverarbeitung
3
Verbindungstypen
Logisch, physisch, indirekt
6+
Ausgenommene Sektoren
Medizin, Kraftfahrzeuge, Luftfahrt, Schifffahrt, Verteidigung, Ersatzteile

Der CRA-Geltungsbereich in vier Zahlen: die Prüfung, die ein Produkt einbezieht, die anerkannten Formen, die drei Verbindungsarten und die Sektoren, die herausfallen.

Was gilt als Produkt mit digitalen Elementen?

Kurz gesagt: drei Fragen stellen. Das Produkt liegt nur dann im CRA-Geltungsbereich, wenn alle drei Antworten ja lauten.

  1. Handelt es sich um ein Softwareprodukt, ein Hardwareprodukt, eine separat in Verkehr gebrachte Komponente oder eine Datenfernverarbeitungslösung? Das sind die vier abgedeckten Formen, die im nächsten Abschnitt im Einzelnen erläutert werden.
  2. Wird es im Rahmen einer gewerblichen Tätigkeit auf dem EU-Markt bereitgestellt? Entgeltliche und unentgeltliche Bereitstellung zählen beide, solange die Tätigkeit gewerblich ist.
  3. Schließt seine bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem anderen Gerät oder Netz ein? Die Verbindungstypen werden im Datenverbindungstest weiter unten behandelt.

Einfach gesagt umfasst die Definition Softwareprodukte, Hardwareprodukte, separat vermarktete Software- oder Hardwarekomponenten und die Ferndatenverarbeitungsdienste, die der Hersteller als Teil des Produkts bereitstellt.

Der CRA ist die Verordnung (EU) 2024/2847. Zum weiteren Kontext (was die Verordnung abdeckt, die Stichtage und die Bußgelder) siehe Was ist der Cyber Resilience Act.

Formen eines Produkts mit digitalen Elementen

Die Verordnung erkennt vier Formen an. Auf Ihr Produkt kann jede davon zutreffen.

  • Softwareprodukt. Betriebssysteme, Firewalls, Passwortmanager, Antivirenprogramme, Browser, Browser-Erweiterungen, herunterladbare mobile Apps und kommerziell vertriebene Entwicklerbibliotheken.
  • Hardwareprodukt. Router, IoT-Sensoren, Smart-Kameras, industrielle SPSen, Smart-Home-Geräte und Fitness-Tracker. Alles, was über WLAN, Bluetooth, Ethernet, Mobilfunk oder einen industriellen Feldbus kommuniziert.
  • Separat in Verkehr gebrachte Komponente. Software oder Hardware, die eigenständig für die Integration in ein anderes System ausgeliefert wird. Als separates Produkt vertriebene Firmware, Softwarebibliotheken für OEMs und eingebettete Module fallen alle darunter.
  • Datenfernverarbeitungslösung. Cloud- oder Ferndienste, die der Hersteller als Teil des Produkts entwickelt und bereitstellt, wobei das Fehlen des Dienstes das Produkt daran hindern würde, eine seiner Funktionen zu erfüllen. Das Standardbeispiel ist die Cloud eines Smart-Home-Herstellers, über die Nutzer das Gerät fernsteuern. Ein reiner Cloud-SaaS ohne gebundenes Produkt liegt im Allgemeinen außerhalb der Verordnung; SaaS, PaaS und IaaS als solche fallen unter die Richtlinie (EU) 2022/2555 (NIS2).

Der entscheidende Test ist die Datenverbindung, nicht die Bauform.

Der Datenverbindungstest

Einer von drei Verbindungstypen genügt, um ein Produkt in den Geltungsbereich zu bringen, sofern die bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung des Produkts diese Verbindung einschließt.

Verbindungstyp Bedeutung in einfachen Worten Praxisbeispiel
Logisch Ein virtueller Datenpfad über eine Software-Schnittstelle Ein REST-API-Aufruf zwischen einem Microservice und einem Backend
Physisch Eine Verbindung über elektrische, optische oder mechanische Schnittstellen, Drähte oder Funk Ethernet-Kabel, Bluetooth-Kopplung, RS-485-Industriebus
Indirekt Eine Verbindung zu einem Gerät oder Netz über ein größeres System, das selbst direkt verbindbar ist Sensor, der das Internet nur über einen lokalen Hub erreicht

Die indirekte Verbindungsklausel wird am häufigsten unterschätzt. Ein Sensor, der nur mit einem lokalen Gateway kommuniziert, ist im Geltungsbereich, wenn das Gateway das Internet erreicht, selbst wenn der Sensor keinen eigenen IP-Stack hat.

Wann ein Cloud-Dienst unter den CRA fällt

Eine Cloud- oder SaaS-Komponente liegt innerhalb des CRA-Konformitätsgeltungsbereichs des Produkts nur dann, wenn alle drei der folgenden Bedingungen erfüllt sind. Der Entwurfsleitfaden der Kommission vom März 2026 (Mitteilung Ares(2026)2319816) führt Hersteller Schritt für Schritt durch diese Bedingungen.

  1. Verarbeitet die Lösung Daten aus der Ferne? Wenn der Cloud-Dienst keine Daten tatsächlich aus der Ferne verarbeitet, ist er keine Datenfernverarbeitungslösung.
  2. Würde das Produkt eine seiner Funktionen ohne diese Lösung nicht erfüllen können? Ein Backend, das optional ist oder lediglich anreichert, bringt die Cloud nicht in den Geltungsbereich; das Fehlen des Dienstes muss das Produkt daran hindern, eine beworbene Funktion zu liefern.
  3. Wird die Lösung vom Hersteller oder unter seiner Verantwortung entwickelt? Ein handelsüblicher SaaS eines Drittanbieters, den das Produkt zufällig nutzt, ist keine Datenfernverarbeitungslösung. Ein maßgeschneiderter Dienst, der unter der Verantwortung des Herstellers entwickelt wurde, kann es sein.

Ein Nein bei einer dieser Fragen nimmt die Cloud-Komponente aus dem RDPS-Geltungsbereich heraus.

Außerhalb der RDPS bedeutet nicht außerhalb der Verpflichtung. Auch wenn ein Cloud-Dienst sich nicht als Datenfernverarbeitungslösung qualifiziert, bleiben Sorgfaltspflichten des Herstellers bestehen, wenn der Dienst in das Produkt eingebunden ist. Die Sicherheitspflicht verlagert sich von der Konformitätsbewertung zum Komponentenmanagement; sie entfällt nicht.

Die Kommission veranschaulicht den Test mit fünf konkreten Szenarien: einer Banking-App, einem Smart-Thermostat, einem E-Reader, einem Industrieroboter und einem Mobilfunkgerät. Der Leitfaden liegt noch als Entwurf vor und wartet auf die Finalisierung in allen EU-Sprachversionen. Er behandelt auch ein vom Hersteller betriebenes Mobile-App-Backend und eine Smart-Home-Cloud als nützliche Grenzfälle.

Was KEIN Produkt mit digitalen Elementen ist

Zwei Schwellentests setzen ein Produkt außerhalb des CRA, bevor die Sektorfrage überhaupt greift:

  • Produkte ohne Software, ohne Firmware und ohne Datenverbindung. Ein rein mechanisches Gerät ohne Elektronik liegt bereits an der Eingangsprüfung außerhalb des Geltungsbereichs. Ein einfaches analoges Thermostat, ein passives Kabel oder ein nicht-elektronisches Handwerkzeug wäre nicht erfasst.
  • Reine Cloud-Dienste ohne gebundenes Produkt. Ein eigenständiger SaaS, PaaS oder IaaS, der nicht die Datenfernverarbeitungslösung eines Produkts ist, liegt außerhalb des CRA; diese Cloud-Service-Modelle unterliegen stattdessen der Richtlinie (EU) 2022/2555 (NIS2). Websites, die nicht die Funktionalität eines Produkts mit digitalen Elementen unterstützen, liegen ebenfalls außerhalb des CRA. Die Verordnung erfasst einen Cloud-Dienst nur, wenn der Hersteller ihn als Teil eines Produkts bereitstellt und das Fehlen des Dienstes das Produkt am Funktionieren hindern würde.

Häufig gestellte Fragen

Gilt der CRA für mein reines Bluetooth-Gerät?

Ja. Bluetooth ist eine physische Verbindung über Funkwellen, und ein Gerät, das sich mit einem Telefon, einem Hub oder einem anderen Bluetooth-Host koppeln kann, erfüllt die Anwendungsbereichsprüfung. Selbst wenn das Gerät das Internet nie direkt erreicht, bringt die indirekte Verbindungsklausel es in den Geltungsbereich, sobald der verbundene Host ein Netz erreicht.

Liegt SaaS, PaaS oder IaaS im Geltungsbereich des CRA?

Im Allgemeinen nein. Software as a Service, Platform as a Service und Infrastructure as a Service unterliegen der Richtlinie (EU) 2022/2555 (NIS2), nicht dem CRA. Ein Cloud-Dienst fällt unter den CRA nur dann, wenn er vom Hersteller eines Produkts mit digitalen Elementen entwickelt und bereitgestellt wird und das Fehlen des Dienstes das Produkt daran hindern würde, eine seiner Funktionen zu erfüllen. Das Standardbeispiel ist die Cloud eines Smart-Home-Herstellers, über die Nutzer das Gerät fernsteuern.

Liegt das Backend-API unserer mobilen App im Geltungsbereich des CRA?

Ja, wenn der Hersteller der App das Backend entwickelt und betreibt und die App es benötigt, um zu funktionieren. Eine mobile Anwendung, die auf eine API oder Datenbank des Herstellerdienstes zugreifen muss, bringt diesen Dienst als Datenfernverarbeitungslösung in den CRA-Geltungsbereich.

Gilt die Firmware, die in unserer eigenen Hardware steckt, als separate Komponente?

Nein, es sei denn, Sie bringen die Firmware auch separat in Verkehr. Firmware, die in einer von Ihnen verkauften Hardware gebündelt ist, ist Teil dieses Produkts und keine eigenständige Komponente. Wenn Sie die Firmware auch eigenständig vertreiben (etwa als Update-Paket, OEM-SDK oder separaten Download), ist die separat vertriebene Firmware-Version eine Komponente und liegt unabhängig im Geltungsbereich.

Ist eine herunterladbare mobile App ein Produkt mit digitalen Elementen?

Ja, wenn sie im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Eine mobile App, die über einen App-Store oder als Download vertrieben wird, ist ein Softwareprodukt, das auf dem Markt bereitgestellt wird. Entgeltliche und kostenlose gewerbliche Apps liegen beide im Geltungsbereich. Dass ein App-Store die App vertreibt, verlagert keine CRA-Verantwortung auf den Store; Hersteller ist die Einrichtung, die die App unter eigenem Namen oder eigener Marke vermarktet. Das Produkt muss außerdem die Verbindungsprüfung bestehen, die die meisten Apps durch ihre bestimmungsgemäße Netz- oder Geräte-API-Nutzung erfüllen.

Wo Sie ansetzen

  1. Führen Sie den kostenlosen CRA-Anwendbarkeits-Check durch oder bestätigen Sie den Verbindungstest manuell: jeder logische, physische oder indirekte Pfad zu einem Gerät oder Netz zählt.
  2. Prüfen Sie, ob keine Sektorausnahme gilt. Die vollständige Anwendungsbereichsprüfung ist Schritt für Schritt in Wer muss den CRA einhalten dargestellt.
  3. Bestimmen Sie Ihre Rolle: Hersteller, Einführer, Händler oder Bevollmächtigter.
  4. Klassifizieren Sie das Produkt als Standard, Wichtig oder Kritisch mit Hilfe der Produktklassifizierung.
  5. Wählen Sie den Konformitätsbewertungsweg, sobald die Stufe feststeht.
  6. Kehren Sie zum CRA-Konformitäts-Hub zurück und erstellen Sie die vier CRA-Artefakte: SBOM, technische Dokumentation, Schwachstellenbehandlungsprozess und EU-Konformitätserklärung.