Cyber Resilience Act Requirements Annex

CRA kompakt: Produkte mit digitalen Elementen – Wichtig, kritisch und der Rest?

3 Minuten zum Lesen
Lars Roith
CRA kompakt: Produkte mit digitalen Elementen – Wichtig, kritisch und der Rest?
Der Artikel erläutert die Einstufung von Produkten mit digitalen Elementen gemäß Cyber Resilience Act und zeigt die Unterschiede zwischen allgemeinen, wichtigen und kritischen Produktkategorien.

Der Cyber Resilience Act (CRA) bringt eine systematische Einordnung von Produkten mit digitalen Elementen mit spürbaren Auswirkungen auf Hersteller, Integratoren und Betreiber. Der aktuelle Entwurf zur Durchführungsverordnung vom März 2025 enthält erstmals eine detaillierte Liste digitaler Produktkategorien, die als wichtig oder kritisch eingestuft werden. Dieser Beitrag gibt einen kompakten Überblick: Welche Produkte fallen darunter? Und was bedeutet das für alle anderen?

Ziel der Kategorisierung

Nicht alle vernetzten Produkte stellen das gleiche Risiko dar. Ziel der Kategorisierung ist es, digitale Produkte mit höherem Schadenspotenzial gezielt strengeren Anforderungen zu unterwerfen. Die Zuordnung erfolgt zu drei Klassen:

  • 🟢 Sonstige Produkte: Allgemeine CRA-Pflichten
  • 🟡 Wichtige Produkte (Annex I, Class I & II): Verschärfte Anforderungen, z. B. Benachrichtigung der Behörden
  • 🔴 Kritische Produkte (Annex II): Höchste Anforderungen, inklusive externer Konformitätsbewertung

Annex I: Wichtige Produkte

Die Durchführungsverordnung unterscheidet zwei Klassen wichtiger Produkte:

Class I – Alltäglich, aber sicherheitsrelevant

Diese Klasse umfasst verbreitete Software- und Hardwarekomponenten mit Sicherheitsfunktion oder direktem Zugang zu sensiblen Systembereichen:

  • Identity- und Access-Management-Systeme
  • Browser (auch eingebettete Varianten)
  • Passwortmanager (lokal, cloudbasiert, hardwaregestützt)
  • Antiviren- und Anti-Malware-Software
  • VPN-Software und -Hardware
  • Netzwerkmanagement-Systeme
  • SIEM-Systeme
  • Boot-Manager
  • Software zur Verwaltung von Zertifikaten und PKI
  • Netzwerk-Interfaces und Gerätetreiber
  • Betriebssysteme (inkl. Embedded, Server, Mobile)
  • Router, Modems, Switches
  • Sicherheits-Mikroprozessoren und -controller
  • ASICs und FPGAs mit Sicherheitsfunktionen
  • Smarte Assistenten (z. B. Sprachsteuerung im Smart Home)
  • Smarte Sicherheitsgeräte (Türschlösser, Kameras, Alarmsysteme)
  • Vernetzte Spielzeuge mit Interaktion oder Ortungsfunktionen
  • Wearables mit Gesundheitsmonitoring (z. B. Fitness-Tracker, Kinderschutzgeräte)

Class II – Infrastruktur- und Plattformkomponenten

Diese Kategorie betrifft virtualisierungsnahe und netzwerkseitige Sicherheitskomponenten:

  • Hypervisoren und Container-Runtimes
  • Firewalls sowie Intrusion Detection/Prevention Systeme
  • Mikroprozessoren und -controller mit physischem Manipulationsschutz

Annex II: Kritische Produkte

Produkte in dieser Klasse erfüllen besonders sicherheitskritische Funktionen, häufig im Zusammenhang mit kryptografischem Schutz oder physischer Zugriffssicherheit:

  • Hardware mit integrierter Sicherheitsbox (z. B. HSMs, Tachographen, Zahlungsterminals)
  • Smart-Meter-Gateways für Energieversorgung (inkl. Kryptoverarbeitung)
  • Sichere Elemente (TPMs, SIMs, Zahlungskarten, digitale Zugangssysteme)

Und die übrigen Produkte?

Produkte, die nicht explizit in Annex I oder II genannt sind, gelten als sonstige Produkte mit digitalen Elementen. Für sie gelten die allgemeinen Anforderungen des CRA, z. B.:

  • Sicherheits-by-Design und -by-Default
  • Schwachstellenmanagement
  • Updatefähigkeit und Patch-Prozesse
  • Technische Dokumentation
  • CE-Kennzeichnung und Konformitätserklärung (Selbstbewertung möglich)

Empfehlungen für Hersteller

  1. Produktportfolio prüfen: Gibt es Komponenten oder Varianten, die unter die gelisteten Kategorien fallen?
  2. Zulieferabhängigkeiten beachten: Auch eingebettete Software oder Module von Dritten können zur Einstufung führen.
  3. Klassifizierung dokumentieren: Die eigene Risikoeinordnung sollte nachvollziehbar begründet werden.
  4. Aktuell bleiben: Die Liste ist nicht abschließend – spätere Ergänzungen durch die Kommission sind möglich.

Fazit

Die durch den CRA eingeführte Klassifizierung schafft Klarheit, bringt aber auch neue Anforderungen mit sich. Wer sicherheitsrelevante Produkte entwickelt oder integriert, sollte die neue Einordnung sorgfältig prüfen – und gegebenenfalls die internen Prozesse frühzeitig anpassen. Gleichzeitig bietet die transparente Einstufung eine Chance, die Produktsicherheit systematisch zu dokumentieren und das Vertrauen bei Kunden und Partnern zu stärken.

Wollen Sie mit der Prüfung loslegen, dann starten Sie mit unserem CRA Check.

Autoren

Lars Roith

Lars Roith

Lars berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.