Der Cyber Resilience Act (CRA) reguliert EU-weit die Cybersicherheit für nahezu alle „Produkte mit digitalen Elementen“. Maßgeblich für die Einordnung ist nicht die Art des Produkts allein, sondern die Fähigkeit zur direkten oder indirekten logischen oder physischen Datenverbindung mit anderen Geräten oder Netzwerken.
Was unter den Begriff fällt?
Der Anwendungsbereich ist sehr breit gefasst und umfasst sowohl materielle als auch immaterielle Produkte, die zur Datenverarbeitung oder zum Datenaustausch fähig sind.
Komponenten: Auch Einzelkomponenten, die separat auf den Markt gebracht werden (z. B. Chips, Software-Module), fallen unter die Verordnung, sofern sie für die Funktionalität eines Endprodukts bestimmt sind.
Hardware: Alle physischen Produkte, die digitale Komponenten enthalten und vernetzungsfähig sind (z. B. Smart-Home-Geräte, Router, industrielle IoT-Komponenten).
Software: Unabhängig davon, ob sie als eigenständiges Produkt oder als Teil einer Hardware vertrieben wird (z. B. Betriebssysteme, Anwendungen, Apps, eingebettete Firmware).
Was ist kritisch?
Der CRA stuft Produkte je nach ihrem Cybersicherheitsrisiko ein, um den Grad der geforderten Konformitätsbewertungen festzulegen:
Für Unternehmen, aber auch Hersteller, Importeure und Händler ist wichtig: Ab dem 11. Dezember 2027 dürfen nur noch Produkte in Verkehr gebracht werden, die die Anforderungen des CRA vollständig erfüllen. Dabei gelten auch wesentliche Änderungen an bestehenden Produkten als „Inverkehrbringen“, womit diese ebenfalls konform werden müssen.
