Fachbeitrag teilen
Am 10.12.2024 ist die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act, im Folgenden „CRA“) in Kraft getreten. Rund zwei Jahre vor dem vollständigen Geltungsbeginn am 11.12.2027 hat die Europäische Kommission nun ein erstes FAQ veröffentlicht, das die wichtigsten Auslegungsfragen aus der Anwendungspraxis aufgreift. Das als „living document" konzipierte Papier ist rechtlich zwar unverbindlich, kann jedoch bei der Auslegung des CRA durch Marktüberwachungsbehörden und Gerichte Berücksichtigung finden.
Die FAQ bündeln praxisrelevante Fragen, die seit Inkrafttreten des CRA an die Kommission herangetragen wurden. Sie gliedern sich in sieben thematische Abschnitte (Anwendungsbereich, Zusammenspiel mit anderen Rechtsakten, Klassifizierung wichtiger und kritischer Produkte, Herstellerpflichten, Meldepflichten, Konformitätsbewertung und Übergangsregelungen) und umfassen insgesamt 66 Einzelfragen. Das Dokument soll die Einhaltung der Verordnung erleichtern und ergänzt die derzeit noch in Arbeit befindlichen Leitlinien zum CRA nach Art. 26 Abs. 1 CRA.
II. Präzisierungen zum Anwendungsbereich
1. Sachlicher Anwendungsbereich
Die FAQ konkretisieren die beiden zentralen Voraussetzungen des Art. 2 Abs. 1 CRA. Ein Produkt fällt nur dann in den Anwendungsbereich, wenn es sich um ein „Produkt mit digitalen Elementen" im Sinne des Art. 3 Nr. 1 CRA handelt und seine bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz umfasst. Eine logische Verbindung stellt etwa die Verbindung eines Offline-Texteditors mit dem Betriebssystem dar. Physische Verbindungen lassen sich sowohl kabelgebunden (USB, Ethernet, Glasfaser) wie auch funkbasiert (Wi-Fi, Bluetooth, NFC) abbilden. Produkte ohne Kommunikationsfähigkeit – wie etwa eine eingebettete Spülmaschinen-Firmware ohne Netzanbindung oder eine elektrische Zahnbürste mit kabelloser Ladestation – fallen nicht in den Anwendungsbereich des CRA. Von praktischer Bedeutung ist die Klarstellung, dass Websites, die die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen, sowie eigenständige Software-as-a-Service (SaaS) oder Cloud-Lösungen außerhalb der Herstellerverantwortung nicht dem CRA unterliegen, soweit sie nicht als Datenfernverarbeitung im Sinne des Art. 3 Nr. 2 CRA einzuordnen sind.
2. Zeitlicher Anwendungsbereich
Des Weiteren muss das Produkt die grundlegenden Cybersicherheitsanforderungen nach Art. 6 CRA i.V.m. Anhang I des CRA erfüllen. Dabei wird gemäß Art. 27 CRA vermutet, dass das Produkt die Anforderungen erfüllt, wenn es harmonisierten Normen entspricht (sog. Konformitätsvermutung).
Produkte, die vor dem 11.12.2027 in den Verkehr gebracht wurden, unterfallen dem CRA nur, wenn sie ab diesem Zeitpunkt „wesentlich geändert" werden (Art. 69 Abs. 2 CRA). Eine wesentliche Änderung im Sinne des Art. 3 Nr. 30 CRA liegt dann vor, wenn sich die Änderung auf die Konformität mit den grundlegenden Cybersicherheitsanforderungen auswirkt oder den Verwendungszweck verändert. Die FAQ illustrieren dies am Beispiel eines Smart-TVs: Ein Software-Update zur Fehlerbehebung begründet keine wesentliche Änderung, wohl aber die nachträgliche Einführung einer Smart-Home-Steuerungsfunktion.
Wichtig: Die Meldepflichten nach Art. 14 CRA gelten gemäß Art. 69 Abs. 3, 71 Abs. 2 Uabs. 2 CRA bereits ab dem 11.09.2026 für sämtliche Produkte im Anwendungsbereich des CRA – unabhängig davon, wann sie in Verkehr gebracht wurden.
Die FAQ adressieren das Zusammenspiel des CRA mit einer Vielzahl weiterer Unionsrechtsakte. Im Grundsatz haben produktspezifische cybersicherheitsbezogene Vorschriften nach Art. 2 Abs. 5 S. 1 CRA Vorrang vor dem CRA; im Übrigen gilt eine parallele Anwendung. Besondere Aufmerksamkeit verdient das zeitliche Stufenverhältnis zur EU-Funkanlagenrichtlinie: Funkanlagen, die zwischen dem 1.8.2025 und dem 10.12.2027 bereitgestellt werden, sind den Anforderungen der Verordnung (EU) 2022/30 zur RED unterworfen, während ab dem 11.12.2027 der CRA gilt – die Verordnung (EU) 2022/30 wird mit diesem Datum aufgehoben. Im Verhältnis zur EU-Maschinenverordnung (VO (EU) 2023/1230) bleibt es bei der parallelen Anwendung beider Rechtsakte; die Einhaltung der Cybersicherheitsanforderungen des CRA kann jedoch auch die sicherheitsrelevanten Anforderungen der Nrn. 1.1.9 und 1.2.1 des Anhangs III der EU-Maschinenverordnung abdecken, sofern der Hersteller dies nachweist. Die EU-Produkthaftungsrichtlinie ergänzt den CRA schließlich, ohne sich mit ihm zu überschneiden; Cybersicherheitsanforderungen des CRA fließen allerdings in die Beurteilung der Fehlerhaftigkeit nach Art. 7 Abs. 1 EU-ProdHaftRL ein.
1. Risikobewertung
Zentrales Instrument der Herstellerverantwortung ist die Cybersicherheitsrisikobewertung nach Art. 13 Abs. 2, 3 CRA. Sie bestimmt, welche grundlegenden Anforderungen nach Anhang I Teil I Nr. 2 CRA auf das konkrete Produkt anwendbar sind und wie diese umzusetzen sind. Die FAQ stellen klar, dass Hersteller wahlweise eine einzige, rechtsaktübergreifende Risikobewertung durchführen oder für jede Rechtsvorschrift eine separate Bewertung erstellen können. Die Methodik der Cybersicherheitsrisikobewertung ist nicht vorgegeben, muss sich aber am Verwendungszweck, an der vernünftigerweise vorhersehbaren Verwendung (Art. 3 Nr. 23, 24 CRA) sowie am konkreten Einsatzumfeld orientieren. Produkte für kritische Infrastrukturen erfordern danach regelmäßig ein differenzierteres Bedrohungsmodell als einfache Verbraucherprodukte.
2. Grundlegende Cybersicherheitsanforderungen
Der CRA verfolgt einen risikobasierten Ansatz. Hersteller müssen nicht sämtliche Anforderungen des Anhangs I Teil I CRA umsetzen, sondern nur diejenigen, die aufgrund der spezifischen Risiken ihres Produkts relevant sind. Die Kommission stellt ausdrücklich klar, dass der CRA keine absolute Schwachstellenfreiheit fordert. Vielmehr verlangt er, dass Produkte mit möglichst wenigen Schwachstellen in Verkehr gebracht werden und bekannte ausnutzbare Schwachstellen während des Unterstützungszeitraums angemessen behandelt werden. Die Anwendung harmonisierter, im EU-Amtsblatt gelisteter Normen bleibt freiwillig, löst aber die Konformitätsvermutung nach Art. 27 CRA aus.
Für sogenannte maßgeschneiderte Produkte – individuell für einen gewerblichen Nutzer angepasste Produkte auf vertraglicher Grundlage – können die Anforderungen an sichere Standardkonfiguration und kostenlose Sicherheitsupdates unter engen Voraussetzungen modifiziert werden; gegenüber Verbrauchern sind derartige Abweichungen nicht zulässig.
3. Schwachstellenbehandlung
Nicht jede während des Unterstützungszeitraums entdeckte Schwachstelle muss gepatcht werden. Entscheidend ist vielmehr das von ihr ausgehende Risiko unter Berücksichtigung von Ausnutzbarkeit, potenzieller Auswirkung und verfügbaren Eindämmungsmaßnahmen. So kann eine Remote-Code-Execution-Schwachstelle in einem Smart-Home-Hub eine sofortige Patch-Pflicht begründen, während ein nicht aufrufbarer Buffer-Overflow in einer Router-Firmware lediglich zu dokumentieren ist. Sicherheitsupdates sind nach Anhang I Teil II Abs. 2 CRA grundsätzlich getrennt von Funktionsupdates bereitzustellen, sofern technisch möglich.
4. Unterstützungszeitraum
Der Hersteller legt den Unterstützungszeitraum nach Art. 13 Abs. 8 Uabs. 3 S. 1 CRA eigenverantwortlich fest. Er muss die voraussichtliche Nutzungsdauer des Produkts widerspiegeln und beträgt mindestens fünf Jahre; ist die erwartete Nutzungsdauer kürzer, entspricht der Unterstützungszeitraum dieser Dauer. Für Hardware wie Motherboards oder Netzwerkgeräte, Betriebssysteme sowie Produkte in industriellen Umgebungen gehen die FAQ regelmäßig von einer längeren Bemessung aus. Zu berücksichtigen sind insbesondere die angemessenen Nutzererwartungen, die Art des Produkts und einschlägige unionsrechtliche Vorgaben. Die für die Festlegung maßgeblichen Umstände gilt es, in der technischen Dokumentation festzuhalten.
Konferenzhinweis
Umsetzung des Cyber Resilience Acts (CRA) im Maschinenbau
In dieser 1-tägigen WEB-Konferenz erfahren Sie, welche Aspekte des Cyber Resilience Act (CRA) speziell für Hersteller im Maschinen- und Anlagenbau von Bedeutung sind und welche (Security-) Anforderungen dadurch auf Sie zukommen werden.
zur Fachkonferenz
Hersteller haben aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, nach Art. 14 Abs. 1, 3 CRA zu melden. Die Meldepflicht knüpft allein an die tatsächliche Kenntniserlangung an. Art. 14 CRA selbst begründet keine Pflicht, bestimmte Überwachungskanäle zu betreiben – entsprechende Produktbeobachtungspflichten ergeben sich jedoch aus Anhang I Teil II Nr. 3 CRA. Als Erkenntnisquellen nennen die FAQ insbesondere interne Sicherheitsüberwachung (Telemetrie, Honeypots, Darkweb-Monitoring), Meldungen von Nutzern oder Sicherheitsforschern, öffentliche Threat-Intelligence-Berichte sowie Informationen nationaler CERT-Stellen. Die Meldepflicht erfasst ausdrücklich auch Zero-Day-Schwachstellen, sobald deren aktive Ausnutzung dem Hersteller bekannt wird.
Die FAQ der Europäischen Kommission bieten Wirtschaftsakteuren eine erste praxisorientierte Orientierungshilfe zum CRA. Sie korrigieren verbreitete Fehlvorstellungen – insbesondere die Annahme einer vermeintlich geforderten „absoluten Schwachstellenfreiheit" – und bestätigen den risikobasierten, pragmatischen Ansatz der Verordnung. Gleichwohl bleiben zentrale Auslegungsfragen, etwa zur Abgrenzung der Datenfernverarbeitung, zur „wesentlichen Änderung" und zur Konkretisierung der Risikobewertung, noch offen. Diese sollen in den künftigen Leitlinien nach Art. 26 CRA vertieft werden.
Für Hersteller, Einführer und Händler empfiehlt es sich, die bevorstehenden Konkretisierungen aufmerksam zu verfolgen und die eigene Compliance-Planung flexibel auszugestalten. Angesichts der ab dem 11.09.2026 greifenden Meldepflichten sollten insbesondere Prozesse zur Schwachstellenüberwachung und -meldung zeitnah implementiert werden.
Tipp: Eine detaillierte juristische Analyse des Cyber Resilience Act 2024/2847 finden Sie im Fachbeitrag “Der Cyber Resilience Act aus juristischer Sicht”, ebenfalls von Dr. Gerhard Wiebe.
Verfasst am: 30.04.2026
Dr. Gerhard Wiebe Rechtsanwalt in der Produktkanzlei. Er ist auf die Beratung zu Product-Compliance-Themen spezialisiert und berät internationale sowie nationale Hersteller, Importeure und Händler von Non-Food-Produkten (Konsum- und Investitionsgüter), zum Produktsicherheits- und Produkthaftungsrecht. Neben klassischen produktrechtlichen Aspekten nimmt Dr. Wiebe bei digitalen Produkten insbesondere auch die stetig wachsenden IT-sicherheitsrechtlichen Produktanforderungen in den Blick. E-Mail: wiebe@produktkanzlei.com
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit