Cyber Resilience Act: Leitfaden für Hersteller von Produkten mit digitalen Elementen

Hier bezieht sich der Leitfaden auf den Blue Guide und stellt auch klar, dass die Begriffe „Inverkehrbringen“ und „Bereitstellen“ so zu verstehen sind, dass sie sich „auf jedes einzelne Produkt“ beziehen, nicht auf einen Produkttyp, und unabhängig davon, ob es als Einzelstück oder in Serie hergestellt wurde“. 

Für eigenständige Software, die digital bereitgestellt wird, gelten die Begriffe im Sinne der Verordnung (EU) 2024/2847 als in Verkehr gebracht, sobald ihre Entwicklung abgeschlossen ist und sie erstmals im Rahmen einer gewerblichen Tätigkeit zum Vertrieb oder zur Nutzung auf dem EU-Markt angeboten wird.

Da digitale Software ohne physische Produktions- oder Lagergrenzen vervielfältigt werden kann, gilt bereits mit diesem ersten Angebot eine praktisch unbegrenzte Anzahl identischer Kopien als gleichzeitig in Verkehr gebracht. Spätere Downloads oder Zugriffe gelten lediglich als Bereitstellung desselben bereits in Verkehr gebrachten Produkts, auch wenn sie zu unterschiedlichen Zeitpunkten erfolgen.

Neue Versionen der Software gelten nur dann als erneut in Verkehr gebracht, wenn sie eine wesentliche Änderung („substantial modification“) darstellen. Kleinere Updates oder Iterationen ohne wesentliche Änderung erfordern keine neue Konformitätsbewertung und ändern das ursprüngliche Datum des Inverkehrbringens nicht.
Diese Auslegung gilt nur für eigenständige Software mit digitaler Bereitstellung. Sie gilt nicht, wenn:

• Software auf physischen Datenträgern (z. B. USB-Stick) geliefert wird oder
• Software zusammen mit Hardware als Produkt vertrieben wird.
   

Die Verordnung (EU) 2024/2847 gilt für Produkte mit digitalen Elementen, also für Hardware- oder Softwareprodukte sowie deren Fernverarbeitungslösungen, sofern sie eine direkte oder indirekte Datenverbindung zu Geräten oder Netzwerken haben.

Der Anwendungsbereich umfasst unter anderem:

• Eigenständige Software (z. B. Apps oder Computerprogramme)
• Hardware mit eingebetteter Software (z. B. IoT-Geräte)
• Eigenständige Hardware (z. B. Chips oder Motherboards)
• Kombinationen aus Hardware und Software, auch wenn diese getrennt bereitgestellt werden

Entscheidend ist nicht, wie oder wann Software bereitgestellt wird, sondern ob sie für die vorgesehenen Funktionen des Produkts erforderlich ist. Wenn ein Hardwaregerät nur zusammen mit einer bestimmten Software seine Funktionen erfüllen kann, gelten Hardware und Software gemeinsam als ein einziges Produkt mit digitalen Elementen.

Das gilt auch dann, wenn die Software erst nach dem Verkauf der Hardware über andere Kanäle (z. B. Website, App-Store, Download) bereitgestellt wird. Beispiele sind etwa Gerätetreiber für Drucker oder Apps zur Steuerung eines Fitnesstrackers, die für den Betrieb oder die Nutzung des Geräts notwendig sind.
 

Die Verordnung (EU) 2024/2847 gilt für Produkte mit digitalen Elementen, wenn deren vorgesehene oder vorhersehbare Zweckbestimmung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk beinhaltet.

Die Definition des Begriffs „Produkt mit digitalen Elementen“ stützt sich letztlich auf die Definition des Begriffs „elektronisches Informationssystem“, d. h. „ein System, einschließlich elektrischer oder elektronischer Geräte, das digitale Daten verarbeiten, speichern oder übertragen kann“ (Artikel 3 Absatz 7, CRA). Der Anwendungsbereich des CRA ist daher nicht an das bloße Vorhandensein von Elektronik geknüpft, sondern an die Fähigkeit eines Produkts, digitale Informationen auszutauschen.

Eine Datenverbindung im Sinne des CRA liegt nur vor, wenn Informationen bewusst digital codiert (z. B. in Binärform) gesendet und von einem Empfänger als Daten interpretiert werden können. Reine elektrische Signale, die lediglich eine Funktion auslösen (z. B. Ein-/Aus-Signale ohne Informationsübertragung), gelten nicht als Datenverbindung und fallen daher nicht unter diesen Aspekt des CRA-Anwendungsbereichs.
 

Die Verordnung (EU) 2024/2847 gilt auch für „komplexe Systeme“, die aus mehreren Hardware- und Softwarekomponenten bestehen, wenn sie als ein Produkt auf dem Markt bereitgestellt werden.

Solche Systeme können aufgrund langer Entwicklungszyklen, bestehender Architekturen oder notwendiger Interoperabilität schwer an neue Sicherheitsanforderungen anpassbar sein. Trotzdem fallen sie nicht automatisch aus dem Anwendungsbereich des CRA. Stattdessen gilt ein risikobasierter Ansatz.

Hersteller müssen:

• eine Cybersicherheits-Risikobewertung durchführen,
• technische Einschränkungen identifizieren und dokumentieren,
• alternative oder kompensierende Sicherheitsmaßnahmen umsetzen, wenn bestimmte Anforderungen nicht vollständig erfüllbar sind.

Diese Einschränkungen, Risiken und Maßnahmen müssen in der technischen Dokumentation und den Nutzerinformationen transparent beschrieben und während des Supportzeitraums regelmäßig überprüft und ggf. aktualisiert werden.

Produkte, die vor dem Anwendungsbeginn der Verordnung (EU) 2024/2847 entwickelt wurden, können weiterhin auf den Markt gebracht werden, ohne dass eine Neuentwicklung erforderlich ist.

Voraussetzung ist, dass der Hersteller:

• eine Cybersicherheits-Risikobewertung durchführt,
• nachweist, dass das Produkt bereits angemessene und wirksame Sicherheitsmaßnahmen enthält,
• und damit die wesentlichen Cybersicherheitsanforderungen erfüllt.

Auch ohne Designänderungen müssen jedoch alle CRA-Pflichten eingehalten werden, insbesondere:

• Durchführung einer Konformitätsbewertung,
• Erstellung der EU-Konformitätserklärung,
• Anbringung der CE-Kennzeichnung,
• Dokumentation und Risikobewertung sowie technischer Unterlagen.

Falls keine ursprüngliche Sicherheitsbewertung aus der Entwicklungsphase vorliegt, muss der Hersteller eine aktuelle Risikobewertung erstellen und dokumentieren, wie bestehende Maßnahmen die identifizierten Risiken mindern. Zudem müssen Prozesse zum Umgang mit Schwachstellen eingerichtet und die Risikobewertung während des Supportzeitraums regelmäßig aktualisiert werden.

Die Verordnung (EU) 2024/2847 Artikel 3 Absatz 30 definiert eine „wesentliche Änderung“ eine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt hergestellt wurde, führt.

Nach dem CRA gilt jede Person oder jedes Unternehmen als Hersteller, wenn sie eine wesentliche Änderung („substantial modification“) an einem Produkt vornimmt und dieses anschließend auf dem Markt bereitstellt.

Das betrifft insbesondere:

• Importeure oder Händler, die ein Produkt wesentlich verändern,
• jede andere natürliche oder juristische Person, die eine solche Änderung vornimmt,
• Änderungen an Produkten, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, wenn sie danach wesentlich verändert werden.

Im Rahmen der Verordnung (EU) 2024/2847 wird zwischen „Änderungen“ „Reparaturen“, „Ersatzteilen“ und „Software-Updates“ unterschieden, um zu bestimmen, ob eine wesentliche Änderung („substantial modification“) eines Produkts vorliegt.

Physische Änderungen/ Reparaturen
Wartung, Reparatur oder Austausch von Komponenten führen nicht automatisch zu einer wesentlichen Änderung. Entscheidend ist, ob:

• sich der Verwendungszweck des Produkts ändert oder
• sich das Cybersicherheitsrisiko erhöht.

Der Austausch defekter Teile durch gleichwertige oder bessere Komponenten gilt in der Regel nicht als wesentliche Änderung, solange Funktion und Risiko unverändert bleiben.

Ersatzteile

• Identische Ersatzteile, die nach denselben Spezifikationen hergestellt wurden, fallen nicht unter den CRA.
• Nicht identische Ersatzteile gelten als eigenständige Produkte und unterliegen dem CRA.

Trotzdem stellt ihr Einbau normalerweise keine wesentliche Änderung des ursprünglichen Produkts dar, wenn Zweck und Risikoprofil gleichbleiben.

Software-Updates
Ein Software-Update gilt als wesentliche Änderung, wenn es:

• die Einhaltung der Cybersicherheitsanforderungen beeinflusst oder
• den ursprünglichen Verwendungszweck des Produkts verändert oder
• neue bzw. erhöhte Cybersicherheitsrisiken einführt, die in der ursprünglichen Risikobewertung nicht berücksichtigt wurden.

Normale Sicherheitsupdates oder Updates, die bereits in der ursprünglichen Risikobewertung vorgesehen waren, gelten in der Regel nicht als wesentliche Änderung.

Wird eine wesentliche Änderung vorgenommen:

• gilt das Produkt als neu in Verkehr gebracht,
• die natürliche oder juristische Person, die die Änderung vornimmt, gilt als Hersteller,
• es ist eine neue Konformitätsbewertung nach CRA erforderlich

Betreffend der Dokumentation nach einer wesentlichen Veränderung, wird auf den Blue Guide Pkt. 2.1 verwiesen, der hier klarstellt, dass die technische Dokumentation aktualisiert werden muss, soweit die Änderung Auswirkungen auf die Anforderungen der geltenden Rechtsvorschriften hat. Es ist nicht erforderlich, Prüfungen zu wiederholen und neue Unterlagen zu erstellen, die sich auf Aspekte beziehen, die von der Änderung nicht betroffen sind. Es obliegt der natürlichen oder juristischen Person, die Änderungen am Produkt vornimmt oder vornehmen lässt, nachzuweisen, dass nicht alle Elemente der technischen Dokumentation aktualisiert werden müssen. Die natürliche oder juristische Person, die Änderungen am Produkt vornimmt oder vornehmen lässt, ist für die Konformität des geänderten Produkts verantwortlich und muss eine Konformitätserklärung ausstellen, auch wenn sie bestehende Prüfungen und technische Unterlagen verwendet.

Produkte, die vor dem 11. Dezember 2027 dem Markt bereitgestellt wurden, fallen erst dann unter den CRA, wenn sie nach diesem Datum wesentlich verändert werden.