Die Europäische Kommission hat am 28. November 2025 die Durchführungsverordnung (EU) 2025/2392 verabschiedet. Sie konkretisiert die technischen Beschreibungen für die in Anhang III und IV des Cyber Resilience Act (CRA) aufgeführten Produktkategorien.
Die Verordnung schließt Interpretationslücken, die der CRA (Verordnung (EU) 2024/2847) offen gelassen hatte. Für Hersteller ist die korrekte Klassifizierung ihrer Produkte entscheidend, da sie das anzuwendende Konformitätsbewertungsverfahren bestimmt.
Wesentliche Regelungen
Kernfunktionalität als Klassifizierungskriterium
Die Kernfunktionalität eines Produkts bestimmt seine Einordnung, nicht die eingebetteten Komponenten. Ein Smartphone mit integriertem Passwort-Manager wird daher nicht zum Passwort-Manager im Sinne des CRA. Ebenso bleibt ein Betriebssystem mit integriertem Browser ein Betriebssystem und wird nicht zum Browser.
Umfassende Sicherheitsbewertung bleibt Pflicht
Unabhängig von der Klassifizierung müssen Hersteller gemäß Artikel 13 des CRA eine umfassende Cybersecurity-Risikoanalyse durchführen. Dabei ist die Sicherheit des gesamten Produkts einschließlich aller integrierten Komponenten zu bewerten.
AVA_VAN-Stufen für Hardware-Komponenten
Für tamper-resistente Mikrocontroller, Mikroprozessoren und Secure Elements verwendet die Verordnung die AVA_VAN-Stufen aus den Common Criteria. Diese dienen als gemeinsame Sprache zur Beschreibung des erforderlichen Robustheitsniveaus (VAN.1 bis VAN.5, wobei höhere Stufen stärkeren Schutz bedeuten).
Hersteller müssen keine Common Criteria-Zertifizierung durchführen, sondern können die Konformität auch durch andere Evaluierungen oder interne Nachweise belegen.
Anwendungsbereich
Die Durchführungsverordnung konkretisiert die technischen Beschreibungen für alle in Anhang III (wichtige Produkte, Klasse I und II) und Anhang IV (kritische Produkte) des CRA aufgeführten Kategorien. Dazu gehören unter anderem Netzwerkkomponenten, Sicherheitssoftware, Betriebssysteme, Smart-Home-Produkte, Wearables sowie Hardware-Sicherheitskomponenten.
Die vollständige Liste der Produktkategorien mit ihren technischen Beschreibungen ist in den Anhängen I und II der Verordnung zu finden.
Relevanz für Hersteller
Hersteller sollten auf Basis der technischen Beschreibungen prüfen, ob ihre Produkte als wichtig oder kritisch einzustufen sind. Daraus ergibt sich das anzuwendende Konformitätsbewertungsverfahren gemäß Artikel 32 des CRA.
Unabhängig von der Klassifizierung besteht die Pflicht zur Durchführung einer risikobasierten Cybersecurity-Bewertung gemäß Artikel 13 des CRA. Die Dokumentation sollte rechtzeitig vor dem Anwendungsbeginn am 11. Dezember 2027 vorbereitet werden.
Fazit
Die Durchführungsverordnung (EU) 2025/2392 konkretisiert die Produktkategorien des CRA und reduziert Interpretationsspielräume. Die Klarstellung, dass die Kernfunktionalität eines Produkts für die Klassifizierung maßgeblich ist, sowie die Einführung der AVA_VAN-Stufen für Hardware-Komponenten sind die wesentlichen Regelungen.
Weiterführende Links:
Kommentar hinzufügen