Was ist der Cyber Resilience Act?
Der CRA ist eine wegweisende EU-Verordnung, die europaweit einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Hard- und Software) festlegt. Er verschiebt die Verantwortung für die IT-Sicherheit weg vom Endverbraucher hin zu Herstellern, Importeuren und Händlern.
Kernziel: Jedes Produkt, das direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden ist, muss über seinen gesamten Lebenszyklus hinweg sicher sein ("Secure by Design" & "Secure by Default").
Betroffene Produkte
Nahezu alle digitalen Produkte fallen unter den CRA, werden jedoch nach Risiko klassifiziert:
- ✓ Standardprodukte (ca. 90%)
Smart Home Geräte, Spiele, Textverarbeitung. Selbsteinschätzung (CE-Kennzeichnung) durch Hersteller meist ausreichend. - ! Wichtige Produkte (Klasse I & II)
Klasse I (z.B. Passwort-Manager, Router, Antivirus) und Klasse II (z.B. Firewalls, Industrie-IoT). Erfordern oft externe Konformitätsbewertungen.
Ausnahmen
Folgende Bereiche sind vom CRA ausgenommen, da sie durch eigene, strengere Richtlinien reguliert werden:
- Medizinprodukte & In-vitro-Diagnostika
- Luftfahrt & Kraftfahrzeuge
- Produkte für nationale Sicherheit / Militär
- Reine Cloud-/SaaS-Dienste (diese fallen z.B. unter NIS-2)
CRA Schnell-Check
Prüfen Sie direkt hier interaktiv, ob Ihr Produkt betroffen ist.