Der CRA gilt für jedes Produkt mit digitalen Elementen, das direkt oder indirekt eine Verbindung zu einem Gerät oder Netz herstellt und auf den EU-Markt gelangt. Ist diese Prüfung bestanden und werden Sie nicht durch Artikel 2 ausgenommen, lautet die nächste Frage, welche Rolle Sie nach Artikel 3 einnehmen: Hersteller, Einführer, Händler, Bevollmächtigter oder Verwalter quelloffener Software. Diese Seite ist die Sortiermaschine, bevor Sie sich auf einen vertieften Artikel festlegen.
Zusammenfassung
- Die Prüfung des Anwendungsbereichs ist ein einziger Satz (Artikel 2 Absatz 1). Sie hängt an einer "direkten oder indirekten logischen oder physischen Datenverbindung zu einem Gerät oder Netz" und ist breiter, als die meisten Teams annehmen.
- Artikel 2 schneidet fünf Produktfamilien heraus. Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt, Schiffsausrüstung sowie ausschließlich für Zwecke der nationalen Sicherheit, der Verteidigung oder der Verarbeitung von Verschlusssachen entwickelte oder geänderte Produkte.
- Drei Rollen der Wirtschaftsakteure tragen die Hauptlast. Hersteller (Artikel 13 und 14), Einführer (Artikel 19), Händler (Artikel 20).
- Achten Sie auf die Falle des fiktiven Herstellers (Artikel 22). Wer ein Produkt nach Inverkehrbringen wesentlich verändert, wird für den betroffenen Teil oder für das gesamte Produkt zum Hersteller.
- Verwalter quelloffener Software unterliegen einem leichteren Regime (Artikel 24). Eine dokumentierte Cybersicherheitsrichtlinie und eine Kooperationspflicht, nicht das volle Pflichtenpaket des Herstellers.
- Mehrere Rollen kumulieren zur strengsten. Erfüllen Sie mehr als eine Definition, gilt das schwerste Pflichtenpaket.
Vier Anker, die darüber entscheiden, ob und wie schwer der CRA Sie trifft: die Anwendungsbereich-Prüfung, die Ausnahmen, die Rollenachse und die Falle des Modifizierenden.
Anwendungsbereich-Prüfung: ist Ihr Produkt erfasst?
Artikel 2 Absatz 1 definiert den Anwendungsbereich des CRA in einem einzigen Satz:
"Diese Verordnung gilt für Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden und deren bestimmungsgemäße Verwendung oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt."
Die folgenreichste Wendung lautet "direkte oder indirekte logische oder physische Datenverbindung". Artikel 3 definiert die einzelnen Bestandteile. Die Übersetzung in einfache Sprache:
| Verbindungstyp | Bedeutung in einfachen Worten | Praxisbeispiel |
|---|---|---|
| Logisch (Artikel 3(8)) | Ein virtueller Datenpfad, umgesetzt über eine Software-Schnittstelle. | Ein REST-API-Aufruf zwischen einem Microservice und einem Backend; ein MQTT-Topic zwischen einem IoT-Gerät und einem Broker. |
| Physisch (Artikel 3(9)) | Eine Verbindung über elektrische, optische oder mechanische Schnittstellen, Drähte oder Funkwellen. | Ein Ethernet-Kabel; eine Bluetooth-Kopplung; ein RS-485-Industriebus. |
| Indirekt (Artikel 3(10)) | Eine Verbindung, die über ein größeres System läuft, das selbst direkt verbindbar ist. | Ein Sensor, der nur mit einem lokalen Hub spricht, wobei der Hub selbst das Internet erreicht. Der Sensor ist über den Hub im Anwendungsbereich. |
In der Praxis ist die Klausel der indirekten Verbindung der breiteste Auffangtatbestand. Ein Sensor, der nur mit einem lokalen Hub spricht, ist erfasst, sofern der Hub selbst verbindbar ist. Ein medizinisches Zubehör, das per Bluetooth mit einem Telefon koppelt, ist über das Telefon erfasst. Eine Fabrik-PLC, die das Internet nur über ein Industrie-Gateway erreicht, ist über das Gateway erfasst. Industrie- und IoT-Hersteller, die annehmen "kein Wi-Fi heißt kein CRA", übersehen diese Klausel und damit die Verordnung insgesamt.
Ein "Produkt mit digitalen Elementen" wird sodann in Artikel 3 Absatz 1 als Software- oder Hardware-Produkt sowie dessen Lösungen zur Datenfernverarbeitung definiert, einschließlich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden. Auch eigenständig in Verkehr gebrachte Komponenten fallen in den Anwendungsbereich.
Ausnahmen nach Artikel 2
Artikel 2 Absätze 2 bis 8 zählen auf, was vom CRA ausgenommen ist:
| Was ausgenommen ist | Quelle |
|---|---|
| Medizinprodukte und In-vitro-Diagnostika | Verordnung (EU) 2017/745 (MDR), Verordnung (EU) 2017/746 (IVDR) |
| Kraftfahrzeuge | Verordnung (EU) 2019/2144 |
| Erzeugnisse der zivilen Luftfahrt | Verordnung (EU) 2018/1139 |
| Schiffsausrüstung | Richtlinie 2014/90/EU |
| Ersatzteile, die identische Komponenten nach denselben Spezifikationen ersetzen | Artikel 2(6) |
| Ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelte oder geänderte Produkte | Artikel 2(7) |
| Informationen, deren Offenlegung den wesentlichen Sicherheitsinteressen eines Mitgliedstaats zuwiderliefe | Artikel 2(8) |
Artikel 2 Absatz 5 erlaubt der Kommission ferner, die Anwendung des CRA zu beschränken oder auszuschließen, wenn ein anderer Unionsrechtsakt dieselben Risiken bereits auf gleichwertigem oder höherem Schutzniveau abdeckt.
Zur Cybersicherheitsstufe Ihres Produkts (Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch) siehe CRA-Produktklassifizierung und CRA-Konformitätsbewertung.
Die Rollenachse: welcher Wirtschaftsakteur sind Sie?
Artikel 3 definiert vier Rollen, die für Akteure relevant sind, die Produkte auf dem EU-Markt in Verkehr bringen.
Sie sind Hersteller (Artikel 3 Nummer 13), wenn Sie ein Produkt mit digitalen Elementen entwickeln oder entwerfen und herstellen lassen und es unter Ihrem eigenen Namen oder Ihrer Marke vermarkten, sei es entgeltlich oder unentgeltlich. Hersteller tragen das volle Pflichtenpaket nach Artikel 13: risikobasierte Konzeption, Schwachstellenbehandlung nach Anhang I Teil II, technische Dokumentation nach Anhang VII, EU-Konformitätserklärung, CE-Kennzeichnung und Meldung schwerwiegender Sicherheitsvorfälle und aktiv ausgenutzter Schwachstellen nach Artikel 14. Wer ein von einem OEM entworfenes und gebautes Produkt unter eigener Marke verkauft, ist gleichwohl Hersteller. Siehe CRA-Herstellerpflichten.
Sie sind Einführer (Artikel 3 Nummer 16), wenn Sie in der Union niedergelassen sind und ein Produkt mit digitalen Elementen, das den Namen oder die Marke einer außerhalb der Union niedergelassenen Person trägt, auf dem EU-Markt in Verkehr bringen. Artikel 19 verpflichtet Einführer, vor Inverkehrbringen zu überprüfen, dass der Hersteller die Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, die CE-Kennzeichnung angebracht und die EU-Konformitätserklärung sowie die erforderlichen Nutzerinformationen bereitgestellt hat. Einführer haben die Unterlagen zehn Jahre aufzubewahren und mit den Marktüberwachungsbehörden zusammenzuarbeiten. Siehe CRA-Einführerpflichten.
Sie sind Händler (Artikel 3 Nummer 17), wenn Sie in der Lieferkette stehen, nicht der Hersteller oder der Einführer sind und ein Produkt auf dem Unionsmarkt bereitstellen, ohne dessen Eigenschaften zu beeinträchtigen. Artikel 20 verpflichtet Händler, vor der Bereitstellung zu überprüfen, dass die CE-Kennzeichnung angebracht ist, die EU-Konformitätserklärung verfügbar ist und der Hersteller die erforderlichen Informationen und Anleitungen bereitgestellt hat. Siehe CRA-Händlerpflichten.
Sie sind Bevollmächtigter (Artikel 3 Nummer 15), wenn Sie in der Union niedergelassen sind und ein schriftliches Mandat eines Nicht-EU-Herstellers haben, in dessen Auftrag zu handeln. Ein Nicht-EU-Hersteller, der Produkte auf dem EU-Markt in Verkehr bringt, muss nach Artikel 18 einen Bevollmächtigten benennen; der Bevollmächtigte ist die in der EU ansässige Anlaufstelle für die Marktüberwachungsbehörden. Siehe CRA-Bevollmächtigter.
Die Falle des fiktiven Herstellers: Artikel 22
Artikel 22 Absatz 1 schafft die Rolle des "fiktiven Herstellers": jede andere Person als der Hersteller, der Einführer oder der Händler, die eine wesentliche Änderung eines Produkts vornimmt und das geänderte Produkt anschließend auf dem Markt bereitstellt, gilt für dieses Produkt als Hersteller, mit den vollen Pflichten nach Artikel 13 und 14.
Artikel 22 Absatz 2 legt den Umfang dieser Pflichten fest. Betrifft die Änderung nur einen Teil des Produkts, erstrecken sich die Pflichten des fiktiven Herstellers auf diesen Teil. Wirkt sich die Änderung auf die Cybersicherheit des gesamten Produkts aus, erstrecken sie sich auf das gesamte Produkt.
Eine "wesentliche Änderung" ist in Artikel 3 Nummer 30 als Änderung nach Inverkehrbringen des Produkts definiert, die entweder die Konformität des Produkts mit den wesentlichen Cybersicherheitsanforderungen aus Anhang I Teil I beeinflusst oder den Verwendungszweck verändert, für den das Produkt ursprünglich bewertet wurde. Zwei Muster lösen dies in der Praxis aus: das Neu-Aufspielen oder Neu-Verpacken eines Drittgeräts mit eigener Firmware sowie das Einbinden eines Drittprodukts in ein System auf eine Weise, die seinen Verwendungszweck verändert. In beiden Fällen erbt der Modifizierende die Pflichten nach Artikel 13 und 14 für den betroffenen Teil oder, soweit die Cybersicherheit insgesamt betroffen ist, für das gesamte Produkt.
Markenanbringung unter eigenem Namen ist nicht Artikel 22; sie ist die Definition des Herstellers nach Artikel 3 Nummer 13. Wer ein Drittprodukt unter eigener Marke verkauft, ist von Anfang an Hersteller, kein fiktiver Hersteller.
Verwalter quelloffener Software: Artikel 24
Ein Verwalter quelloffener Software (Artikel 3 Nummer 14) ist eine juristische Person, die nicht Hersteller ist und deren Zweck darin besteht, die Entwicklung bestimmter, für gewerbliche Tätigkeiten bestimmter Open-Source-Produkte systematisch zu unterstützen und ihre Tragfähigkeit sicherzustellen. In der Praxis sind Verwalter typischerweise Stiftungen oder gemeinnützige juristische Personen, die ein Upstream-Projekt selbst tragen, und nicht Unternehmen, die quelloffene Software in ihren eigenen Produkten ausliefern.
Die Pflichten sind enger gefasst als das Hersteller-Regime, aber dennoch konkret:
- Eine Cybersicherheitsrichtlinie dokumentieren (Artikel 24 Absatz 1), die die sichere Entwicklung des Projekts und die wirksame Schwachstellenbehandlung durch seine Entwickler fördert, die freiwillige Schwachstellenmeldung nach Artikel 15 begünstigt und den Informationsaustausch in der Open-Source-Gemeinschaft unterstützt.
- Mit den Marktüberwachungsbehörden zusammenarbeiten (Artikel 24 Absatz 2) auf begründetes Verlangen, einschließlich der Vorlage der Dokumentation der Cybersicherheitsrichtlinie.
Dieses Regime gilt nicht für die meisten Unternehmen, die quelloffene Software in einem kommerziellen Produkt ausliefern. Wer eine Open-Source-Bibliothek übernimmt, in ein vermarktetes Produkt einbindet und dieses Produkt unter eigenem Namen auf dem EU-Markt in Verkehr bringt, ist Hersteller, kein Verwalter.
Entscheidungsbaum: Bestimmen Sie Ihren Konformitätspfad
| Wenn Sie ... | sind Sie ... | gehen Sie zu ... |
|---|---|---|
| ein Produkt mit digitalen Elementen entwerfen oder herstellen lassen und es unter Ihrem Namen oder Ihrer Marke auf dem EU-Markt in Verkehr bringen | Hersteller (Artikel 13 und 14) | Herstellerpflichten |
| in der EU niedergelassen sind und ein Produkt mit Namen oder Marke einer Nicht-EU-Person auf dem EU-Markt in Verkehr bringen | Einführer (Artikel 19) | Einführerpflichten |
| in der Lieferkette stehen (nicht Hersteller oder Einführer) und ein Produkt auf dem EU-Markt bereitstellen, ohne dessen Eigenschaften zu beeinträchtigen | Händler (Artikel 20) | Händlerpflichten |
| eine wesentliche Änderung eines Produkts vornehmen, bevor Sie es auf dem Markt bereitstellen | Fiktiver Hersteller (Artikel 22) | Volle Pflichten nach Artikel 13 und 14 für den betroffenen Teil oder das gesamte Produkt |
| ein Nicht-EU-Hersteller sind, der Produkte auf dem EU-Markt in Verkehr bringt | Hersteller (Artikel 13 und 14) und Sie müssen einen Bevollmächtigten nach Artikel 18 benennen | Bevollmächtigter |
| eine juristische Person sind, die als Kernzweck systematisch ein Open-Source-Projekt unterstützt, ohne kommerziellen Vertrieb | Verwalter quelloffener Software (Artikel 3 Nummer 14 und 24) | Regime für Verwalter quelloffener Software |
Fallen Sie unter mehr als eine Rolle, gilt das strengste Pflichtenpaket. Ein Unternehmen, das ein Produkt entwickelt, mit eigener Marke versieht und auf dem EU-Markt in Verkehr bringt, ist Hersteller, unabhängig davon, welche Subunternehmer Konzeption oder Bau übernommen haben; ein Unternehmen, das ein Nicht-EU-Produkt einführt und vor Bereitstellung wesentlich verändert, erbt zusätzlich zu seinem Einführerstatus die Herstellerpflichten nach Artikel 22.
Häufig gestellte Fragen
Mein Produkt befindet sich nur in einem lokalen Netz. Gilt der CRA dennoch?
Wahrscheinlich ja. Die Anwendungsbereichsprüfung des CRA erfasst auch indirekte Verbindungen: Ein Produkt ist im Anwendungsbereich, wenn es über ein größeres System verbunden ist, das selbst verbindbar ist. Ein Sensor an einem lokalen Hub, ein Bluetooth-Peripheriegerät, das mit einem Telefon koppelt, oder eine PLC hinter einem Industrie-Gateway sind alle über das Gerät, mit dem sie verbunden sind, im Anwendungsbereich. Das einzige Produkt, das herausfällt, ist eines ohne Software, ohne Firmware und ohne jeden Pfad zu einem anderen Gerät oder Netz (Artikel 2(1) und 3(10)).
Ich betreibe einen SaaS-Dienst. Gilt der CRA für mich?
Im Allgemeinen nein. SaaS fällt unter NIS2, nicht unter den CRA. Der CRA gilt für ein Software- oder Hardware-Produkt, das in Verkehr gebracht wird. Ein reiner Cloud-Dienst erfüllt diese Definition nicht. Die Ausnahme ist eine Lösung zur Datenfernverarbeitung, die ein Hersteller liefert: eine Cloud-Komponente, die für die Funktionen des Produkts erforderlich ist, fällt als Teil dieses Produkts in den Anwendungsbereich. SaaS, das zugleich einen installierbaren Client (eine Desktop- oder mobile App, ein SDK, einen On-Prem-Agenten) ausliefert, bringt den installierbaren Teil in den Anwendungsbereich (Artikel 3(1) und (2)).
Wir verkaufen unveränderte Hardware unter eigener Marke weiter. Hersteller oder Händler?
Hersteller. Wer ein Produkt unter eigenem Namen oder eigener Marke in Verkehr bringt, ist Hersteller, unabhängig davon, wer es entworfen oder gebaut hat. Die Markenanbringung auf einem OEM-Produkt ist der Lehrbuchfall, und Sie erben das volle Pflichtenpaket nach Artikel 13 und 14. Das ist nicht der Weg über den fiktiven Hersteller; Sie sind von Anfang an Hersteller (Artikel 3(13); nicht Artikel 22).
Wir nutzen Open-Source-Bibliotheken in unserem Produkt. Sind wir Verwalter nach Artikel 24?
Nein. Verwalter sind typischerweise Stiftungen oder gemeinnützige juristische Personen, die als Kernzweck systematisch ein Open-Source-Projekt unterstützen. Ein Unternehmen, das eine Open-Source-Bibliothek übernimmt, in ein kommerzielles Produkt einbindet und dieses Produkt auf dem EU-Markt in Verkehr bringt, ist Hersteller dieses Produkts. Das leichtere Regime gilt für die Einrichtung, die das Upstream-Projekt trägt, nicht für nachgelagerte Konsumenten (Artikel 3(14) und 24; Herstellerpflichten nach Artikel 13 und 14).
Ein Nicht-EU-Unternehmen verkauft über unseren Marktplatz direkt an EU-Verbraucher. Wer ist verantwortlich?
Es kommt auf die Kette an. Der Nicht-EU-Hersteller muss einen Bevollmächtigten benennen; tut er es nicht, erbt ein in der EU niedergelassener Einführer (der das Produkt auf dem EU-Markt in Verkehr bringende Akteur) einen Teil der Pflichten. Ein Marktplatz, der nur vermittelt und das Produkt nicht selbst in Verkehr bringt, ist im Allgemeinen nicht Einführer; gehört dem Marktplatz das Listing oder erfüllt er die Bestellung aus EU-Beständen, tritt er in das Einführer-Territorium über. Prüfen Sie den tatsächlichen Transaktionsablauf, bevor Sie eine Einordnung vornehmen (Artikel 18 und 19).