Der Cyber Resilience Act gilt für jedes Produkt mit digitalen Elementen, das direkt oder indirekt mit einem Gerät oder Netz verbunden ist und auf dem EU-Markt bereitgestellt wird. Ist diese Prüfung bestanden und greift keine Ausnahme, lautet die nächste Frage, welche Rolle Sie in der EU-Lieferkette einnehmen: Hersteller, Einführer, Händler, Bevollmächtigter oder Open-Source-Verwalter. Diese Seite ist die Sortiermaschine, bevor Sie sich auf einen vertieften Artikel festlegen.
Zusammenfassung
- Der Anwendungsbereichstest passt in einen Satz. Er hängt an einer direkten oder indirekten logischen oder physischen Datenverbindung mit einem Gerät oder Netz und ist breiter, als die meisten Teams annehmen.
- Zentrale Ausnahmen umfassen Sektorregime, Ersatzteile und Verteidigungsfälle. Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt, Schiffsausrüstung, identische Ersatzteile sowie ausschließlich für nationale Sicherheit, Verteidigung oder die Verarbeitung von Verschlusssachen entwickelte oder geänderte Produkte.
- Drei Wirtschaftsakteur-Rollen tragen die Hauptlast. Hersteller, Einführer, Händler.
- Beachten Sie den Wechsel zu den Herstellerpflichten. Einführer und Händler, die unter eigener Marke verkaufen oder ein Produkt wesentlich verändern, werden wie Hersteller behandelt; sonstige dritte Modifizierende sind separat erfasst.
- Open-Source-Verwalter unterliegen einem leichteren Regime. Eine dokumentierte Cybersicherheitsrichtlinie und eine Kooperationspflicht, nicht das volle Hersteller-Pflichtenpaket.
- Mehrere Rollen kumulieren zur strengsten. Erfüllen Sie mehr als eine Definition, gilt das schwerste Pflichtenpaket.
Vier Anker, die darüber entscheiden, ob und wie schwer der CRA Sie trifft: der Anwendungsbereichstest, die Ausnahmen, die Rollenachse und der Wechsel zu den Herstellerpflichten.
Gilt der CRA für Ihr Produkt?
Beginnen Sie mit dem Produkt, nicht mit der Rechtsfundstelle. Der erste CRA-Anwendungsbereichstest lautet, ob Sie Software, Hardware oder eine digitale Komponente auf dem EU-Markt bereitstellen und ob die bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.
Die folgenreichste Wendung lautet „direkte oder indirekte logische oder physische Datenverbindung". In einfacher Sprache:
| Verbindungstyp | Bedeutung in einfachen Worten | Praxisbeispiel |
|---|---|---|
| Logisch | Ein virtueller Datenpfad, umgesetzt über eine Software-Schnittstelle. | Ein REST-API-Aufruf zwischen einem Microservice und einem Backend; ein MQTT-Topic zwischen einem IoT-Gerät und einem Broker. |
| Physisch | Eine Verbindung über elektrische, optische oder mechanische Schnittstellen, Drähte oder Funkwellen. | Ein Ethernet-Kabel; eine Bluetooth-Kopplung; ein RS-485-Industriebus. |
| Indirekt | Eine Verbindung, die über ein größeres System läuft, das selbst direkt verbindbar ist. | Ein Sensor, der nur mit einem lokalen Hub spricht, wobei der Hub selbst das Internet erreicht. Der Sensor ist über den Hub im Anwendungsbereich. |
Die Klausel der indirekten Verbindung ist der breiteste Auffangtatbestand. Ein Sensor, der nur mit einem lokalen Hub spricht, ist erfasst, sofern der Hub selbst verbindbar ist. Ein Sensorzubehör, das sich per Bluetooth mit einem Telefon koppelt, ist über das Telefon erfasst. Eine Fabrik-PLC, die das Internet nur über ein Industrie-Gateway erreicht, ist über das Gateway erfasst. Industrie- und IoT-Hersteller, die annehmen „kein WLAN heißt kein CRA", übersehen diese Klausel und damit die gesamte Verordnung.
Ein „Produkt mit digitalen Elementen" umfasst sodann Software- oder Hardware-Produkte und deren Lösungen zur Datenfernverarbeitung, einschließlich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden. Auch eigenständig in Verkehr gebrachte Komponenten fallen in den Anwendungsbereich.
Bereits anderweitig regulierte Sektoren
Manche Sektoren fallen unabhängig von den obigen Schwellenprüfungen außerhalb des CRA, weil sie bereits durch eigene Cybersicherheitsregime gedeckt sind.
| Sektor | Stattdessen geregelt durch | Ausgenommen durch |
|---|---|---|
| Medizinprodukte | Verordnung (EU) 2017/745 (MDR) | Artikel 2(2), Buchstabe a |
| In-vitro-Diagnostika | Verordnung (EU) 2017/746 (IVDR) | Artikel 2(2), Buchstabe b |
| Kraftfahrzeuge | Verordnung (EU) 2019/2144 | Artikel 2(2), Buchstabe c |
| Zertifizierte Erzeugnisse der zivilen Luftfahrt | Verordnung (EU) 2018/1139 | Artikel 2(3) |
| Schiffsausrüstung | Richtlinie 2014/90/EU | Artikel 2(4) |
| Ersatzteile (identische Komponenten ersetzend) | Nicht anwendbar; per Definition außerhalb des Geltungsbereichs | Artikel 2(6) |
| Produkte für nationale Sicherheit, Verteidigung und Verschlusssachen | Zuständigkeit der Mitgliedstaaten | Artikel 2(7) |
Die Kommission kann die Anwendung des CRA außerdem beschränken oder ausschließen, wenn ein anderer Unionsrechtsakt dieselben Risiken bereits auf gleichwertigem oder höherem Schutzniveau abdeckt.
Zur Cybersicherheitsstufe Ihres Produkts (Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch) siehe CRA-Produktklassifizierung und CRA-Konformitätsbewertung.
CRA-Rollen: Hersteller, Einführer, Händler oder Bevollmächtigter?
Sobald ein Produkt in den Anwendungsbereich fällt, hängen Ihre CRA-Pflichten davon ab, was Sie in der EU-Lieferkette tun: wessen Marke auf dem Produkt steht, wer es in die Union bringt, wer es bereitstellt und ob jemand es vor dem Weiterverkauf verändert.
Hersteller
Sie vertreiben das Produkt unter Ihrem eigenen Namen oder Ihrer eigenen Marke. Sie entwickeln oder lassen ein Produkt mit digitalen Elementen entwerfen und herstellen und vermarkten es unter Ihrer eigenen Marke, entgeltlich oder unentgeltlich. Hersteller tragen das volle Pflichtenpaket: risikobasierte Konzeption, Schwachstellenbehandlung, technische Dokumentation, EU-Konformitätserklärung, CE-Kennzeichnung sowie Meldung schwerwiegender Sicherheitsvorfälle und aktiv ausgenutzter Schwachstellen. Wer ein von einem OEM entworfenes und gebautes Produkt unter eigener Marke verkauft, bleibt damit Hersteller. Siehe CRA-Herstellerpflichten.
Einführer
Sie sind in der EU niedergelassen und bringen ein nicht-EU-markiertes Produkt auf dem EU-Markt in Verkehr. Vor Inverkehrbringen müssen Sie prüfen, dass der Hersteller die Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, die CE-Kennzeichnung angebracht sowie die EU-Konformitätserklärung und die erforderlichen Nutzerinformationen bereitgestellt hat. Einführer müssen die Unterlagen zehn Jahre lang aufbewahren und mit den Marktüberwachungsbehörden zusammenarbeiten. Siehe CRA-Einführerpflichten.
Händler
Sie stellen ein Produkt auf dem Unionsmarkt bereit, ohne dessen Eigenschaften zu beeinträchtigen. Sie sind Teil der Lieferkette, ohne Hersteller oder Einführer zu sein. Vor der Bereitstellung müssen Sie prüfen, dass die CE-Kennzeichnung angebracht ist, die EU-Konformitätserklärung verfügbar ist und der Hersteller die erforderlichen Informationen und Anleitungen bereitgestellt hat. Siehe CRA-Händlerpflichten.
Bevollmächtigter
Sie sind in der EU niedergelassen und handeln auf Grundlage eines schriftlichen Mandats eines Herstellers. Der CRA erlaubt einem Hersteller, durch schriftliches Mandat einen Bevollmächtigten zu benennen, aber die Benennung ist nicht automatisch oder verpflichtend, nur weil der Hersteller außerhalb der EU sitzt. Der Bevollmächtigte handelt innerhalb der mandatierten Aufgaben. Siehe CRA-Bevollmächtigter.
Produktänderungen: wann Sie zum Hersteller werden
Sie sitzen in der Lieferkette nach einem dritten Hersteller. Durchlaufen Sie die nächsten beiden Prüfungen, bevor Sie davon ausgehen, Einführer oder Händler zu bleiben.
Wer das Produkt eines anderen mit eigener Marke versieht, ist von Anfang an Hersteller und kein fiktiver Hersteller.
Eine wesentliche Änderung beeinträchtigt die Konformität mit den grundlegenden Cybersicherheitsanforderungen oder verändert den Verwendungszweck, für den das Produkt ursprünglich bewertet wurde.
Wenn Sie das Produkt eines anderen verändern, können Sie als Hersteller verantwortlich werden. Ein Einführer oder Händler wird wie ein Hersteller behandelt, wenn er das Produkt unter eigenem Namen oder eigener Marke verkauft oder ein bereits auf dem Markt befindliches Produkt wesentlich verändert. Dieselbe Hersteller-Behandlung gilt für jede andere natürliche oder juristische Person, die ein Produkt wesentlich verändert und das geänderte Produkt anschließend auf dem Markt bereitstellt.
Für sonstige dritte Modifizierende folgt die Verantwortung der Cybersicherheitsauswirkung: die Herstellerpflichten gelten für den Teil des Produkts, der von der Änderung betroffen ist, es sei denn, die Änderung wirkt sich auf die Cybersicherheit des gesamten Produkts aus; in diesem Fall erfassen die Pflichten das gesamte Produkt.
Eine „wesentliche Änderung" ist eine Änderung nach Inverkehrbringen des Produkts, die entweder die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen beeinträchtigt oder den Verwendungszweck verändert, für den das Produkt ursprünglich bewertet wurde. Zwei Muster lösen das am häufigsten aus: das Neu-Aufspielen oder Neu-Verpacken eines Drittgeräts mit eigener Firmware sowie das Einbinden eines Drittprodukts in ein System auf eine Weise, die seinen Verwendungszweck verändert.
Markenanbringung unter eigenem Namen ist kein Auslöser einer wesentlichen Änderung; sie ist bereits die Definition des Herstellers und gilt von Anfang an.
Open-Source-Verwalter
Ein Open-Source-Verwalter ist eine juristische Person, die nicht Hersteller ist und deren Zweck darin besteht, die Entwicklung bestimmter, für gewerbliche Tätigkeiten bestimmter Open-Source-Produkte systematisch zu unterstützen und ihre Tragfähigkeit sicherzustellen. In der Praxis sind Verwalter typischerweise Stiftungen oder gemeinnützige juristische Personen, die ein Upstream-Projekt selbst tragen, und keine Unternehmen, die quelloffene Software in ihren eigenen Produkten ausliefern.
Die Pflichten sind enger gefasst als das Hersteller-Regime, aber dennoch konkret:
- Eine Cybersicherheitsrichtlinie dokumentieren, die die sichere Entwicklung des Projekts und die wirksame Schwachstellenbehandlung durch seine Entwickler fördert, die freiwillige Schwachstellenmeldung begünstigt und den Informationsaustausch in der Open-Source-Gemeinschaft unterstützt.
- Mit den Marktüberwachungsbehörden zusammenarbeiten auf begründetes Verlangen, einschließlich der Vorlage der Dokumentation der Cybersicherheitsrichtlinie.
Dieses Regime gilt nicht für die meisten Unternehmen, die quelloffene Software in einem kommerziellen Produkt ausliefern. Wer eine Open-Source-Bibliothek übernimmt, in ein vermarktetes Produkt einbindet und dieses Produkt unter eigenem Namen auf dem EU-Markt in Verkehr bringt, ist Hersteller, kein Verwalter.
Entscheidungsbaum: Bestimmen Sie Ihren Konformitätspfad
| Wenn Sie ... | sind Sie ... | gehen Sie zu ... |
|---|---|---|
| ein Produkt mit digitalen Elementen entwerfen oder herstellen lassen und es unter Ihrem Namen oder Ihrer Marke auf dem EU-Markt in Verkehr bringen | Hersteller | Herstellerpflichten |
| in der EU niedergelassen sind und ein Produkt mit Namen oder Marke einer Nicht-EU-Person auf dem EU-Markt in Verkehr bringen | Einführer | Einführerpflichten |
| in der Lieferkette stehen (nicht Hersteller oder Einführer) und ein Produkt auf dem EU-Markt bereitstellen, ohne dessen Eigenschaften zu beeinträchtigen | Händler | Händlerpflichten |
| als Einführer oder Händler unter eigenem Namen oder eigener Marke verkaufen oder ein bereits auf dem Markt befindliches Produkt wesentlich verändern | Herstellerpflichten gelten | Volle Herstellerpflichten gelten |
| als sonstiger Dritter ein Produkt wesentlich verändern und es auf dem Markt bereitstellen | Herstellerpflichten gelten | Volle Herstellerpflichten für den betroffenen Teil oder das gesamte Produkt |
| ein Nicht-EU-Hersteller sind, der Produkte auf dem EU-Markt in Verkehr bringt und einen EU-Mandatsträger benennt | Hersteller, mit einem Bevollmächtigten, der nur im Rahmen des schriftlichen Mandats handelt | Bevollmächtigter |
| eine juristische Person sind, die als Kernzweck systematisch ein Open-Source-Projekt unterstützt, ohne kommerziellen Vertrieb | Open-Source-Verwalter | Regime für Open-Source-Verwalter |
Fallen Sie unter mehr als eine Rolle, gilt das strengste Pflichtenpaket. Ein Unternehmen, das ein Produkt entwickelt, mit eigener Marke versieht und auf dem EU-Markt in Verkehr bringt, ist Hersteller, unabhängig davon, welche Subunternehmer Konzeption oder Bau übernommen haben; ein Einführer oder Händler, der ein bereits auf dem Markt befindliches Produkt wesentlich verändert, wird wie ein Hersteller behandelt.
Typische Stolperfallen
| Stolperfalle | Warum sie versagt |
|---|---|
| „Wir sind nur in einem lokalen Netz, also gilt der CRA nicht." | Die Klausel der indirekten Verbindung erfasst alles, was über einen Hub, ein Telefon oder ein Gateway ein verbindbares System erreicht. |
| „Wir kennzeichnen das OEM-Produkt um, also sind wir Händler." | Wer unter eigenem Namen oder eigener Marke verkauft, ist von Anfang an Hersteller und kein fiktiver Hersteller. |
| „Wir nutzen Open-Source-Bibliotheken in unserem Produkt, also gelten wir als Verwalter." | Verwalter tragen Upstream-Projekte als Kernzweck; nachgelagerte Konsumenten quelloffener Software sind Hersteller des Produkts, das sie ausliefern. |
| „Unser Marktplatz vermittelt nur Nicht-EU-Verkäufer, also haben wir keine Pflichten." | Ein Marktplatz, der EU-Bestände hält oder Inhaber des Listings ist, tritt in das Einführer-Territorium über und erbt die Prüf- und Aufbewahrungspflichten. |
Häufig gestellte Fragen
Mein Produkt befindet sich nur in einem lokalen Netz. Greift der CRA dennoch?
Wahrscheinlich ja. Der Anwendungsbereichstest erfasst auch jede indirekte Verbindung: ein Produkt ist im Anwendungsbereich, wenn es über ein größeres System verbunden ist, das selbst verbindbar ist. Ein Sensor an einem lokalen Hub, ein Bluetooth-Peripheriegerät, das sich mit einem Telefon koppelt, oder eine PLC hinter einem Industrie-Gateway sind alle über das Gerät, mit dem sie verbunden sind, im Anwendungsbereich. Der enge Fall, in dem der CRA nicht gilt, ist ein Produkt ohne Software, ohne Firmware und ohne jeden Pfad zu einem anderen Gerät oder Netz.
Ich betreibe einen SaaS-Dienst. Gilt der CRA für mich?
Im Allgemeinen nein. SaaS fällt unter NIS2, nicht unter den CRA, der für ein in Verkehr gebrachtes Software- oder Hardware-Produkt gilt. Ein reiner Cloud-Dienst erfüllt diese Definition nicht. Die Ausnahme ist eine vom Hersteller bereitgestellte Lösung zur Datenfernverarbeitung: eine Cloud-Komponente, die für die Funktionen des Produkts erforderlich ist, fällt als Teil dieses Produkts in den Anwendungsbereich. SaaS, das zugleich einen installierbaren Client (eine Desktop- oder Mobil-App, ein SDK, einen On-Prem-Agenten) ausliefert, bringt den installierbaren Teil in den Anwendungsbereich.
Wir verkaufen unveränderte Hardware unter eigener Marke weiter. Hersteller oder Händler?
Hersteller. Wer ein Produkt unter eigenem Namen oder eigener Marke vermarktet, ist Hersteller, unabhängig davon, wer es entworfen oder gebaut hat. Die Markenanbringung auf einem OEM-Produkt ist der Lehrbuchfall, und Sie erben das volle Hersteller-Pflichtenpaket. Das ist nicht der Weg über den fiktiven Hersteller; Sie sind von Anfang an Hersteller.
Wir nutzen Open-Source-Bibliotheken in unserem Produkt. Sind wir Verwalter?
Nein. Verwalter sind typischerweise Stiftungen oder gemeinnützige juristische Personen, die als Kernzweck systematisch ein Open-Source-Projekt unterstützen. Ein Unternehmen, das eine Open-Source-Bibliothek übernimmt, in ein kommerzielles Produkt einbindet und dieses Produkt auf dem EU-Markt in Verkehr bringt, ist Hersteller dieses Produkts. Das leichtere Regime gilt für die Einrichtung, die das Upstream-Projekt trägt, nicht für nachgelagerte Konsumenten.
Ein Nicht-EU-Unternehmen verkauft über unseren Marktplatz direkt an EU-Verbraucher. Wer ist verantwortlich?
Es kommt auf die Kette an. Der CRA erlaubt dem Nicht-EU-Hersteller, durch schriftliches Mandat einen Bevollmächtigten zu benennen; die Einführerfrage hängt aber davon ab, wer das Produkt auf dem EU-Markt in Verkehr bringt und welcher Akteur in der EU niedergelassen ist. Ein Marktplatz, der nur vermittelt und Produkte nicht selbst in Verkehr bringt, ist in der Regel nicht Einführer; gehört dem Marktplatz das Listing oder erfüllt er die Bestellung aus EU-Beständen, tritt er in das Einführer-Territorium über. Prüfen Sie den tatsächlichen Transaktionsablauf, bevor Sie eine Einordnung vornehmen.