Bevor ein Hersteller eine einzige Maßnahme umsetzt, steht eine andere Frage am Anfang: Betrifft mich diese Verordnung überhaupt? Wann gilt der CRA für ein konkretes Gerät, eine Maschine oder eine Software, und wo greifen Ausnahmen? Die saubere Abgrenzung des Geltungsbereichs ist der erste Schritt jeder Compliance-Arbeit, weil sie über Aufwand, Verantwortlichkeiten und Pflichten entscheidet.
Der CRA gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren Verwendung eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netz vorsieht. Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen. Erfasst sind damit vernetzte Produkte, nicht jede Software und jede Hardware.
Der Cyber Resilience Act (CRA) gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Diese Grundregel steht in Artikel 2 Absatz 1 der Verordnung (EU) 2024/2847. Erfasst ist also nicht jede Software und jede Hardware, sondern die vernetzte.
Die Grundregel: vernetzte Produkte mit digitalen Elementen
Der Geltungsbereich knüpft an zwei Bedingungen an:
- Erstens muss ein Produkt mit digitalen Elementen vorliegen.
- Zweitens muss dieses Produkt eine Datenverbindung mit einem Gerät oder Netz vorsehen.
Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen. Dazu zählen auch Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden. Der Begriff ist damit weit: Er reicht vom Embedded Controller über die Maschinensteuerung bis zur eigenständig vertriebenen Software-Bibliothek.
Entscheidend ist die zweite Bedingung, die Datenverbindung. Der CRA unterscheidet sie in mehrere Formen. Eine logische Verbindung ist die virtuelle Darstellung einer Datenverbindung über eine Softwareschnittstelle. Eine physische Verbindung eine Verbindung über physikalische Mittel wie elektrische, optische oder mechanische Schnittstellen, Drähte oder Funkwellen. Eine indirekte Verbindung schließlich ist eine Verbindung zu einem Gerät oder Netz, die nicht direkt erfolgt, sondern als Teil eines größeren Systems, das seinerseits direkt mit diesem Gerät oder Netz verbunden werden kann.
Diese Definitionen sind kein juristischer Selbstzweck. Sie entscheiden über die Anwendbarkeit. Eine vernetzte Maschinensteuerung in der Intralogistik, die Statusdaten an ein Leitsystem überträgt, fällt eindeutig unter den CRA: Sie ist ein Produkt mit digitalen Elementen und sie sieht eine logische und physische Datenverbindung vor. Wie sich diese Geltungsbereichsfrage in das Gesamtbild der Verordnung einfügt, ordnet unser Überblick zum Cyber Resilience Act ein.
Welche Produkte sind vom CRA ausgenommen?
Der CRA nimmt mehrere Produktgruppen aus, weil sie bereits unter sektorspezifischen Unionsvorschriften mit eigenen Cybersicherheitsanforderungen stehen. Artikel 2 Absatz 2 bis 7 listet diese Ausnahmen auf.
| Ausgenommene Produkte | Rechtsakt | CRA-Quelle |
|---|---|---|
| Medizinprodukte | Verordnung (EU) 2017/745 | Artikel 2 Absatz 2 Buchstabe a |
| In-vitro-Diagnostika | Verordnung (EU) 2017/746 | Artikel 2 Absatz 2 Buchstabe b |
| Kraftfahrzeuge | Verordnung (EU) 2019/2144 | Artikel 2 Absatz 2 Buchstabe c |
| Nach Vorgaben der zivillen Luftfahrt zertifizierte Produkte | Verordnung (EU) 2018/1139 | Artikel 2 Absatz 3 |
| Schiffsausrüstung | Richtlinie 2014/90/EU | Artikel 2 Absatz 4 |
| Ersatzteile (identische Komponenten, gleiche Spezifikation) | — | Artikel 2 Absatz 6 |
| Nationale Sicherheit, Verteidigung, Verschlusssachen | — | Artikel 2 Absatz 7 |
Die ersten fünf Ausnahmen verfolgen einen gemeinsamen Grundgedanken: Produkte, die bereits unter eine sektorale Vorschrift fallen, unterliegen nicht zusätzlich dem CRA.
Bei den Ersatzteilen greift die Ausnahme nur, wenn das Teil eine identische Komponente ersetzt und nach denselben Spezifikationen hergestellt wird wie das Bauteil, das es ersetzen soll.
Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder geändert wurden, sind ebenfalls ausgenommen, ebenso Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind.
Eine besondere Stellung hat Artikel 2 Absatz 5. Für Produkte mit digitalen Elementen, die unter andere Unionsvorschriften mit Anforderungen für die in Anhang I abgedeckten Risiken fallen, kann die Anwendung des CRA eingeschränkt oder ausgeschlossen werden. Voraussetzung ist, dass ein solcher Schritt mit dem geltenden Rechtsrahmen vereinbar ist und dass die sektorspezifischen Vorschriften dasselbe Schutzniveau erreichen wie der CRA oder ein höheres. Festgelegt wird das über delegierte Rechtsakte der Kommission. Diese Klausel ist also kein automatischer Freibrief, sondern ein geregelter Mechanismus für zukünftige Anpassungen.
Die sektoralen Ausnahmen schaffen in der Praxis Abgrenzungsfragen. Bei vernetzten Medizingeräten verschiebt sich die Verantwortung in den MDR-Rahmen, und eine Durchführungsverordnung regelt, wie die EU die CRA-Lücke für Medizinprodukte schließt. Für vernetzte Maschinen stellt sich die Frage des Zusammenspiels mit der Maschinenverordnung und dem CRA. Und Funkprodukte berühren die Grenze zur Funkanlagenrichtlinie, die wir in der Einordnung zu CRA und RED behandeln.
Sonderfall Open-Source-Software: wann erfasst, wann nicht
Freie und quelloffene Software fällt nicht pauschal aus dem CRA heraus, aber auch nicht pauschal hinein. Maßgeblich ist die Art der Bereitstellung. Freie und quelloffene Software ist dabei eine Software, deren Quellcode offen geteilt wird und die unter einer kostenlosen Open-Source-Lizenz bereitsteht, die alle Rechte vorsieht, um die Software frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen.
Entscheidend ist die Schwelle der kommerziellen Tätigkeit. Nach den Erwägungsgründen der Verordnung fällt nur solche freie und quelloffene Software in den Anwendungsbereich, die auf dem Markt bereitgestellt und damit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird. Software, die ihre Hersteller nicht zu Geld machen, gilt für die Zwecke der Verordnung nicht als Geschäftstätigkeit.
Eine eigene, abgeschwächte Rolle erhält der Verwalter quelloffener Software. Das ist eine juristische Person, die kein Hersteller ist, die die Entwicklung solcher für kommerzielle Tätigkeiten bestimmter Produkte systematisch und nachhaltig unterstützt und die die Brauchbarkeit dieser Produkte sicherstellt. Für diese Rolle sieht der CRA eine vereinfachte Regelung vor. Die Details, etwa wann genau die Schwelle der kommerziellen Tätigkeit überschritten ist, behandeln wir in der vertieften Einordnung zu Open-Source-Software unter dem CRA.
Sonderfall Cloud und SaaS: der Test für Datenfernverarbeitungslösungen
Auch bei Cloud- und SaaS-Komponenten ist die Frage nicht das Ob der Vernetzung, sondern der Produktbezug. Der CRA erfasst Fernverarbeitungslösungen (Remote Data Processing Solutions) nicht als eigenständige Dienste, sondern nur dann, wenn sie funktional an ein Produkt gebunden sind.
Der Test ergibt sich aus dem Zusammenspiel: Ein Produkt mit digitalen Elementen umfasst ausdrücklich seine Datenfernverarbeitungslösungen. Datenfernverarbeitung ist dabei eine entfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt eine seiner Funktionen nicht erfüllen könnte. Beide Bedingungen müssen zusammenkommen: die Verantwortung des Herstellers für die Software und die funktionale Unverzichtbarkeit für das Produkt.
Daraus folgt die Abgrenzung: Eine vom Hersteller betriebene Cloud-Komponente, ohne die eine vernetzte Maschine eine ihrer Funktionen nicht ausführen könnte, ist Teil des Produkts und damit vom CRA erfasst. Ein eigenständiger SaaS- oder Cloud-Dienst ohne diesen Produktbezug fällt dagegen nicht unter den CRA. Solche Dienste können unter andere Regelwerke fallen, etwa die NIS-2-Richtlinie. Diese Abgrenzung erfordert eine eigene Betrachtung.
Grenzfälle in der Praxis
Drei Konstellationen zeigen, wie die Regeln in der Praxis wirken:
- Gerät ohne Datenverbindung: Ein Geschirrspüler ohne jede Konnektivität verarbeitet zwar digital, sieht aber keine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netz vor. Damit fehlt die zweite Bedingung des Artikels 2 Absatz 1, und das Gerät fällt nicht unter den CRA.
- Wearable ohne jeden Datenanschluss: Auch hier gilt: Ohne vorgesehene Datenverbindung greift der Geltungsbereich nicht. Sobald das Wearable jedoch etwa über Bluetooth mit einem Endgerät koppelt, liegt eine physische Verbindung vor, und die Einordnung ändert sich.
- Getrennt in den Verkehr gebrachte Software-Bibliotheken und Komponenten: Artikel 3 Nummer 1 zieht solche getrennt vertriebenen Software- oder Hardwarekomponenten ausdrücklich in den Produktbegriff ein, und Artikel 3 Nummer 6 definiert die Komponente als Software oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist. Eine separat angebotene Bibliothek kann damit selbst ein Produkt mit digitalen Elementen sein.