EU veröffentlicht Antworten auf häufige Fragen zum CRA

Die Europäische Kommission hat ein umfassendes Dokument mit Antworten auf häufige Fragen zum Cyber Resilience Act veröffentlicht. Auf 66 Seiten werden zentrale Fragen zur Umsetzung der Verordnung beantwortet. Es handelt sich um die erste offizielle Guidance der Kommission zur praktischen Anwendung des CRAs.

Hintergrund und Bedeutung

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Die Verordnung legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, die auf dem EU-Markt bereitgestellt werden. Seit dem Inkrafttreten bestand erheblicher Klärungsbedarf bei Herstellern, Importeuren und anderen Wirtschaftsakteuren zur konkreten Umsetzung.

Das nun veröffentlichte Dokument bietet erste Orientierung. Die Kommission betont dabei ausdrücklich:

• Es handelt sich um ein “lebendes Dokument”, das bei Bedarf aktualisiert wird
• Die Antworten stellen keine verbindliche Rechtsauslegung dar
• Weitere offizielle Leitlinien gemäß Artikel 26 des CRA werden in den kommenden Monaten folgen

Struktur und Umfang

Das Dokument gliedert sich in sieben Hauptkapitel mit insgesamt 75 Einzelfragen:

1. Anwendungsbereich (9 Fragen) – Welche Produkte fallen unter den CRA und welche sind ausgenommen?
2. Zusammenspiel mit anderen Rechtsakten (23 Fragen) – Verhältnis zu Maschinenverordnung, DSGVO, Produktsicherheit, Radio Equipment Directive und weiteren EU-Rechtsakten
3. Wichtige und kritische Produkte (4 Fragen) – Klassifizierung und deren Auswirkungen
4. Herstellerpflichten (29 Fragen) – Risikobewertung, wesentliche Anforderungen, Vulnerability Handling, Due Diligence, Support-Perioden
5. Meldepflichten (4 Fragen) – Anforderungen an die Meldung von Schwachstellen und Vorfällen
6. Konformitätsbewertung (10 Fragen) – Module A, B+C und H, technische Dokumentation, CE-Kennzeichnung
7. Übergangsregelungen (5 Fragen) – Anwendungszeitpunkte und Behandlung von Altprodukten

Ausgewählte Klarstellungen

Das Dokument enthält zahlreiche praxisrelevante Klarstellungen. Einige Beispiele:

• Zum Anwendungsbereich: Die Kommission nennt konkrete Beispiele für Produkte, die nicht unter den CRA fallen, etwa einen Geschirrspüler mit eingebetteter Firmware ohne Verbindungsmöglichkeit zu anderen Geräten oder eine elektronische Zahnbürste mit kabelloser Ladestation, aber ohne Datenkonnektivität.
• Zu Herstellerpflichten: Hersteller müssen nicht zwingend alle entdeckten Schwachstellen patchen, sondern risikobasiert entscheiden. Die Kommission erläutert anhand von Beispielen, wann verschiedene Abhilfemaßnahmen angemessen sein können – von sofortigen Patches über Workarounds bis zu Dokumentationsaktualisierungen.
• Zu Komponenten: Hersteller dürfen auch Komponenten ohne CE-Kennzeichnung integrieren, etwa Open-Source-Komponenten. Entscheidend ist die Ausübung angemessener Sorgfaltspflichten (Due Diligence), deren Umfang vom Risiko der jeweiligen Komponente abhängt.
• Zur Support-Periode: Die Mindestsupport-Periode von fünf Jahren gilt nicht absolut. Bei Produkten mit kürzerer erwarteter Nutzungsdauer kann die Support-Periode entsprechend kürzer sein. Bei längerer erwarteter Nutzung müssen Hersteller hingegen längere Support-Perioden vorsehen.
• Zu Übergangsregelungen: Der CRA gilt für einzelne Produkte, nicht für Produkttypen. Ein vor dem Stichtag entwickelter Produkttyp kann nach dem 11. Dezember 2027 nicht einfach weiter produziert und in Verkehr gebracht werden, wenn er nicht CRA-konform ist.

Bedeutung für die Praxis

Das Dokument beantwortet viele Fragen, die in den vergangenen Monaten aus der Wirtschaft an die Kommission herangetragen wurden. Es bietet Herstellern konkrete Orientierung für die Vorbereitung auf die verpflichtende CRA-Umsetzung ab dem 11. Dezember 2027.

Besonders hilfreich sind die zahlreichen Praxisbeispiele, die die abstrakten Anforderungen der Verordnung konkretisieren. Allerdings ersetzt das Dokument nicht die Notwendigkeit einer individuellen rechtlichen Bewertung, insbesondere bei komplexen Produkten oder Konstellationen.

Fazit

Das veröffentlichte Dokument bietet Herstellern erstmals eine offizielle Orientierungshilfe zur Auslegung der CRA-Anforderungen. Besonders nützlich sind die Behandlung von Grenzfällen, die Klarstellungen zu Überschneidungen mit anderen Rechtsakten sowie die zahlreichen Praxisbeispiele, die einen pragmatischen Ansatz der Kommission erkennen lassen.

Allerdings bleibt das Dokument bewusst allgemein gehalten. Die Kommission verweist wiederholt darauf, dass Hersteller auf Basis ihrer individuellen Risikobewertung entscheiden müssen, und betont den vorläufigen Charakter dieser ersten Guidance. Mit der Ankündigung weiterer Leitlinien in den kommenden Monaten sollten Hersteller das Dokument als ersten wichtigen Baustein für ihre CRA-Compliance betrachten, nicht als abschließende Anleitung.

Weiterführende Links:

• Frequently Asked Questions zum Cyber Resilience Act
• Webseite der EU-Kommission mit Informationen zur Umsetzung des CRAs