Worauf bezieht sich der CRA (Cyber Resilience Act)? Ist mein Gerät oder meine Softwarelösung betroffen?

Der CRA (Cyber Resilience Act), der am 11.^th vom Dezember 2027, hat einen sehr weitreichenden Anwendungsbereich. In diesem Artikel werden wir einige der wichtigsten Definitionen der CRA untersuchen, um zu verstehen, für welche Produkte sie gilt.

Hintergrund: Was will die CRA erreichen?

Bevor wir uns damit befassen, sollten wir die Voraussetzungen schaffen und untersuchen, was die CRA erreichen will. Dieses direkte Zitat aus dem vollständigen Gesetzestext des CRA ist hilfreich:

"Unter bestimmten Bedingungen, alle Produkte mit digitalen Elementen, die in ein größeres elektronisches Informationssystem integriert oder mit diesem verbunden sind kann als Angriffsvektor für böswillige Akteure dienen.

Das hat zur Folge, dass selbst Hardware und Software, die als weniger kritisch angesehen werden können die anfängliche Kompromittierung eines Geräts oder Netzwerks erleichtern und es böswilligen Akteuren ermöglichen, sich privilegierten Zugang zu einem System zu verschaffen oder sich seitlich über Systeme hinweg zu bewegen. Die Hersteller sollten daher sicherstellen dass alle Produkte mit digitalen Elementen im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden.

Diese Verpflichtung bezieht sich sowohl auf Produkte, die angeschlossen werden können physisch über Hardware-Schnittstellen und Produkte, die verbunden sind logischerweise, wie z.B. über Netzwerk-Sockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen oder jede andere Art von Software-Schnittstelle."

Mit anderen Worten: Produkte, die sich mit anderen Produkten verbinden können, können erhebliche Auswirkungen auf deren Sicherheit haben. Bei den Produkten mit direkten Auswirkungen auf die Sicherheit kann es sich auch um Softwareprodukte handeln!

Betrachten Sie als aktuelles Beispiel OpenCLAW. OpenCLAW ist ein agentenbasiertes KI-System, das vollen Zugriff auf den Computer hat, auf dem es läuft. Die Daten- und Kontrollebenen in OpenCLAW sind miteinander vermischt, was OpenCLAW anfällig für die bekannten Prompt-Injection-Angriffe macht.

Selbst wenn der Computer und sein Betriebssystem sicher gestaltet sind - einschließlich Firewalls, Virenscannern usw. - könnte OpenCLAW daher wichtige Zugangsdaten, die auf Ihrem Computer gespeichert sind, an einen böswilligen Angreifer weitergeben. Diese Zugangsdaten könnten wiederum als Einfallstor für Angriffe auf andere, mit demselben Netzwerk verbundene Systeme verwendet werden.

Das gesamte System kann also an einem einzigen schwachen Glied in der Kette scheitern. Die CRA ist daher sehr weit gefasst und versucht, jedes dieser Glieder in der Kette abzudecken. Die Bedrohungen für die Benutzer, ihre Netzwerke und Geheimnisse werden durch Produkte, die der CRA entsprechen, verringert.

Der Anwendungsbereich der CRA

Artikel 2(1) der Verordnung (EU) 2024/2847 (bekannt als “Cyber Resilience Act” oder “CRA”) ist die zentrale Bestimmung für den Anwendungsbereich der CRA:

 „Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet.”

Hier gibt es drei Dinge zu beachten:

• Produkte mit digitalen Elementen
• Auf dem Markt verfügbar gemacht
• Beabsichtigter Zweck oder vernünftigerweise vorhersehbare Nutzung, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet.

Alle drei müssen zutreffen, damit das Produkt unter die CRA fällt.

Am Ende des Artikels werden wir auch auf einige Ausnahmen eingehen. Für diese Ausnahmen gelten jedoch in der Regel andere restriktive Bestimmungen.

Was sind Produkte mit digitalen Elementen?

In Artikel 3(1) des CRA heißt es: “Produkt mit digitalen Elementen‘ bezeichnet ein Software- oder Hardware-Produkt und seine Lösungen für die Datenfernverarbeitung, einschließlich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden;’

Hardware-Produkte werden von der CRA definiert als “physische elektronische Informationssysteme oder Teile davon, die in der Lage sind, digitale Daten zu verarbeiten, zu speichern oder zu übertragen”. Dies gilt natürlich für alles, was eine CPU hat, wie z.B. Einplatinencomputer, aber auch z.B. für Speichergeräte wie microSD-Karten und Geräte wie Netzwerk-Switches.

Ein Gegenbeispiel könnte hilfreich sein: Ein analoger Thermostat verwendet analoge Mechanismen zur Temperaturregelung. Er verarbeitet, speichert oder überträgt keine Daten und erfüllt daher nicht die Definition eines Hardwareprodukts mit digitalen Elementen. Betrachten wir jedoch den Fall eines digitalen Temperatursensors, der die Daten über I2C überträgt. Da er die Daten überträgt und auch verarbeitet, um sie aufzubereiten, fällt er unter diese Definition von Hardware-Produkten, für die die CRA gelten könnte, wenn die anderen Bedingungen erfüllt sind.

Bitte beachten Sie, dass Softwareprodukte auch direkt in der Definition von Produkten mit digitalen Elementen enthalten sind. Entwickeln Sie Software und sind sich nicht sicher, ob sie unter das CRA fällt? Sie können sich bei uns erkundigen, um sich Klarheit zu verschaffen und zu verstehen, ob die CRA auf Ihren speziellen Fall zutrifft.

Die “Ferndatenverarbeitungslösungen” beziehen sich auf die Cloud-Verarbeitung. Es gibt einige Einschränkungen dafür, was unter die CRA fällt. Es wird immer ein lokales Produkt - Hardware oder Software - benötigt, das mit der Cloud interagiert. Die Cloud-Verarbeitungslösungen müssen vom Hersteller dieses lokalen Produkts entwickelt werden oder unter der Verantwortung dieses Herstellers stehen. Wenn Sie Ihre eigenen APIs erstellen und nutzen oder wenn Sie ein anderes Unternehmen beauftragen, Cloud-APIs nach Ihren Vorgaben zu entwickeln, fallen diese sehr wahrscheinlich unter die CRA.

Wenn Sie jedoch öffentliche oder private Cloud-APIs eines Anbieters nutzen, der seine Dienste der breiten Öffentlichkeit zur Verfügung stellt, wie z.B. AWS, fallen deren Cloud-Teile nicht unter Ihre CRA-Zertifizierung.

Es ist natürlich immer noch eine gute Praxis, eine Risikobewertung dieser APIs vorzunehmen und Ihre Software so zu gestalten, dass sie problemlos ausfallen kann, einschließlich der Entkopplung von Schlüsselfunktionen von diesen Cloud-Anbietern.

Schließlich muss die Cloud-API ein integraler Bestandteil der Produktfunktionalität sein. Dies ist definiert als “deren Fehlen das Produkt mit digitalen Elementen daran hindern würde, eine seiner Funktionen zu erfüllen “.

Wenn Sie beispielsweise Cloud-APIs verwenden, um einfach nur die Nutzungsmuster auf Ihren Geräten zu verfolgen, wird der Cloud-Teil Ihrer Software nicht Teil der CRA-Anforderungen, einschließlich detaillierter technischer Dokumentation usw. Sie müssen jedoch weiterhin eine Risikobewertung für den Geräteteil durchführen, der die Cloud-API aufruft, einschließlich einer Dokumentation darüber, wie Angriffsvektoren minimiert werden.

Ein weiterer interessanter Aspekt der Definition von Produkten mit digitalen Elementen ist die ausdrückliche Nennung der Komponenten.

Falls Sie Komponenten anbieten - zum Beispiel Softwareanwendungen, die in andere Systeme integriert werden können (z.B. Bootloader, BIOS, Virenscanner, kommerzielle Textverarbeitungsprogramme), oder Hardwarekomponenten wie Speicher, SoCs, Einplatinencomputer usw., fallen diese unter die CRA. Sie müssen die technische Dokumentation und alles andere vorbereiten, was im Rahmen der CRA-Zertifizierung erforderlich ist. Wenn Sie sich immer noch nicht sicher sind, ob Ihr Produkt unter diese Definition von “Produkt mit digitalen Elementen” fällt, können Sie sich an uns wenden, wir helfen Ihnen bei der Einstufung unter der CRA.

Was bedeutet “auf dem Markt verfügbar gemacht”?

Die CRA Artikel 3 (Definitionen) stellt in (22) klar, was dies bedeutet:

“Bereitstellung auf dem Markt‘: die entgeltliche oder unentgeltliche Bereitstellung eines Produkts mit digitalen Elementen zum Vertrieb oder zur Nutzung auf dem Unionsmarkt im Rahmen einer gewerblichen Tätigkeit;’

Unabhängig davon, ob Sie Produkte mit digitalen Elementen (einschließlich Software) herstellen, importieren oder weiterverkaufen, sind Sie verantwortlich. Sie müssen sicherstellen, dass die Produkte, mit denen Sie handeln, der CE entsprechen, und als Teil der CE auch der CRA.

Dies wird allerlei interessante Entwicklungen mit sich bringen. Wenn Sie beispielsweise Ihre App in einen App-Store hochladen, werden internationale Anbieter nach dem neuen CRA-Gesetz haftbar gemacht. App-Marktplätze könnten daher anbieten, die Länder zu beschränken, in denen Sie Ihre App verfügbar machen.

Ein weiterer interessanter Aspekt ist die Formulierung - “im Rahmen einer kommerziellen Tätigkeit, unabhängig davon, ob sie entgeltlich oder unentgeltlich erfolgt."

Hier geht es um alternative Geschäftsmodelle, wie z.B. Hardware, die nur vermietet und nicht verkauft wird. Ein berühmtes Beispiel hierfür ist Xerox, das seine Kopierer an Unternehmen vermietet und pro Seite abrechnet, anstatt die Kopierer direkt zu verkaufen. Eine neue Entwicklung in dieser Richtung ist Robotics-as-a-Service (RaaS) für Geräte wie Lagerroboter, autonome Gabelstapler und Inspektionsroboter.

Weitere Modelle sind Abonnementzahlungen für Software, die lokal installiert wird, aber auch - für viele überraschend - völlig kostenlose Software, die als Kanal für Beratungsdienste dient.

Red Hat bietet beispielsweise Open-Source-Software für Unternehmen an, die auf Linux basiert. Sie haben sogar mehrere proprietäre Softwareprodukte erworben und diese Software unter Open-Source-Lizenzen veröffentlicht. Sie tun dies jedoch in kommerzieller Absicht - zum Beispiel bieten sie einen abonnementbasierten Kundensupport an, und sie bieten auch Integrations- und Schulungsdienste an. Da die Software eine Voraussetzung für diese kommerziellen Aktivitäten ist, fällt sie unter die CRA-Verordnung.

Was ist mit der Bereitstellung von kostenloser Hardware auf dem Markt als Teil einer kommerziellen Aktivität? Natürlich: ja. Beispielsweise stellen Internetanbieter kostenlose Router zur Verfügung, um ihre Breitbanddienste verkaufen zu können. Die Router fallen unter die CRA, da der ISP eine kommerzielle Tätigkeit ausübt, von der er profitiert und die durch die Bereitstellung dieser Router für die Kunden ermöglicht wird.

Kurz gesagt: Jedes gewinnorientierte Unternehmen, das kommerziell davon profitiert, seine Produkte auf den europäischen Markt zu bringen, muss sicherstellen, dass diese Produkte mit der CRA übereinstimmen.

Open-Source-Software hat einen besonderen Status, wenn sie nicht in kommerzieller Absicht erstellt wird. Zum Beispiel, die Document Foundation unterstützt die Libre Office Suite. Sie tun dies jedoch nicht in kommerzieller (gewinnorientierter) Absicht. Es ist eine gemeinnützige Organisation. Sie sammeln Spenden, um ihre Betriebskosten zu decken.

Wir konzentrieren uns auf den CRA-Support für den Embedded- und Linux-Markt, der sich traditionell stark auf Open-Source-Lösungen stützt. Daher können wir Sie beraten, worauf Sie bei Open-Source-Software achten müssen, und Konzepte wie “Open-Source Software Steward” erläutern.”. Sprechen Sie uns an.

CC-BY 3.0 Josh Hunter / 500px - Raleigh Hauptsitz von Red Hat - Red Hat Tower

 “Inverkehrbringen” bezieht sich auf die erste die Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt. Dies ist sehr wichtig für die Anwendbarkeit der CRA auf bereits produzierte Produkte.

Kurz gesagt: Wenn ein europäischer Hersteller eine nicht-CRA-konforme Charge von Produkten an einen europäischen Händler vor Ablauf der Frist (11^th Dezember 2027), kann der Händler diese Charge von Produkten weiter verkaufen, bis sie alle abverkauft sind. Weitere Produkte, die der Hersteller nach Ablauf der Frist produziert, müssen der CRA entsprechen.

Was bedeutet “beabsichtigter Zweck oder vernünftigerweise vorhersehbare Nutzung, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet”?

Dies ist der Hauptgrund, warum Ihr Produkt möglicherweise nicht unter die CRA fällt, und muss sorgfältig geprüft werden.

Ein Geschirrspüler, zum Beispiel, ist ein Produkt mit digitalen Elementen (ein Mikrocontroller, der den Geschirrspüler steuert, und seine Firmware). Es ist auch zur Verfügung gestellt auf dem Unionsmarkt (in europäischen Ländern) - zum Beispiel über Amazon, Media Markt oder auf anderen Wegen.

Normalerweise hat es jedoch keine Datenverbindungen zu anderen Geräten oder Netzwerken. Es handelt sich um ein eigenständiges Gerät, das lediglich Strom- und Wasseranschlüsse für den Betrieb benötigt. Es muss keine CRA-Anforderungen erfüllen, auch wenn einige seiner Komponenten, wie z.B. der Mikrocontroller selbst, dies vielleicht tun müssen.

Ein teurerer Geschirrspüler, der über Bluetooth gesteuert werden kann oder der über eine Internetverbindung automatisch Geschirrspültabs für Sie nachbestellt, fällt unter die CRA.

Es gibt einige wichtige Aspekte in der Formulierung, die ich gerne näher erläutern möchte:

• Beabsichtigter Zweck oder vernünftigerweise vorhersehbare Verwendung

Konkret definiert die CRA die vernünftigerweise vorhersehbare Nutzung als Nutzung, “die sich aus vernünftigerweise vorhersehbaren menschlichen Verhaltensweisen oder technischen Abläufen oder Interaktionen ergeben können “.

Das bedeutet - selbst wenn Sie als Hersteller nicht direkt beabsichtigen, das Gerät mit anderen Geräten zu verbinden, aber Ihre Kunden die Geräte anschließen könnten (“es gibt einen funktionalen LAN-Anschluss daran”), fällt Ihr Gerät dennoch unter CRA.

Das gilt natürlich auch, wenn Sie sich diese Option für später, für die Wartung des Geräts oder für eine andere seltene Nutzung offen halten.

Ein Beispiel dafür ist das Unternehmen Cabolo entwickelt ein Gerät zur Transkription von Audiodaten, das speziell für die Offline-Nutzung konzipiert ist. Klingt wie der Geschirrspüler, den wir besprochen haben, oder? Ihr Gerät bietet jedoch auch die Möglichkeit, es an Netzwerke anzuschließen. Schließlich basiert es auf dem beliebten NUC-Compute-Formfaktor. Die Benutzer könnten es möglicherweise anschließen, um über das Netzwerk auf Dateien zuzugreifen, Software-Updates aufzuspielen oder aus der Ferne auf Website-Schnittstellen zuzugreifen, die die Cabolo-Lösung hosten könnte. Die Benutzer könnten auch versuchen, Bluetooth-Mikrofone an die Cabolo-Box anzuschließen.

Nebenbei bemerkt ist das AV-System von Cabolo so konzipiert, dass es mit dem Protokoll DANTE interoperabel ist. DANTE ist ein digitales Protokoll mit niedriger Latenz, das über Ethernet-Verbindungen läuft. Damit fällt es eindeutig unter CRA, ohne dass eine Interpretation der möglichen Nutzungsszenarien erforderlich ist.

Vernünftigerweise vorhersehbares menschliches Verhalten schließt jedoch Hardware-Enthusiasten (“Hacker”) aus, die versuchen könnten, eine Verbindung zu einem eigenständigen Gerät herzustellen, wie zum Beispiel im berühmten Fall des ersten IoT-Geräts der Welt - einem mit dem Internet verbundenen Toaster.

Internet Toaster, John Romkey, Simon Hackett

• direkte oder indirekte logische oder physische Datenverbindung

Dies ist ein wichtiger Kernaspekt der CRA und lässt sich am besten anhand einiger Beispiele erklären:

A physikalische Datenverbindung können viele verschiedene Arten sein: eine Ethernet-Verbindung, eine Bluetooth-Verbindung oder eine USB-Verbindung, aber auch viele andere.

Wenn Sie zum Beispiel einen USB-Drucker an Ihren Computer anschließen, fallen sowohl der Drucker als auch der Computer unter die CRA. Nicht jeder Computer wird einen USB-Drucker angeschlossen haben, aber es ist ein erwartetes Verhalten für Allzweckcomputer - einige Benutzer werden es tun. Erinnern Sie sich an das “vernünftigerweise vorhersehbare menschliche Verhalten”?

Die tatsächliche physische Implementierung der Datenverbindung spielt keine Rolle: „Physikalische Verbindung‘ bezeichnet eine Verbindung zwischen elektronischen Informationssystemen oder Komponenten, die mit physischen Mitteln hergestellt wird, einschließlich elektrischer, optischer oder mechanischer Schnittstellen, Drähte oder Funkwellen;"

Selbst Produkte ohne Internetanschluss in isolierten Umgebungen, z.B. in der Industrie, werden in der Regel an einen industriellen Feldbus angeschlossen. Ein Beispiel ist ein PROFIBUS-Netzwerk, das Sensoren mit einer SPS verbindet. Dabei handelt es sich um eine physische Datenverbindung, die dann die Anforderung der CRA-Konformität auslöst, damit Sie die CE-Kennzeichnung für Ihr Produkt erhalten können.

Ein weiteres wichtiges Beispiel in diesem Zusammenhang ist das intelligente Türschloss mit einem NFC-Tag zum Entriegeln - beide fallen unter die CRA, da die Daten über die drahtlose NFC-Schnittstelle ausgetauscht werden. In diesem Fall ist die Cybersicherheit direkt relevant für den physischen Zugang, zum Beispiel zu einem Hotelzimmer mit Ihren privaten Gegenständen.

Wenn Sie sich nicht sicher sind, ob die Art der Verbindung, die Ihr Gerät hat, eine Datenverbindung im Sinne der CRA-Verordnung ist, können Sie sich für eine Analyse Ihres Geräts mit uns in Verbindung setzen.

A “’logische Verbindung’ bezeichnet eine virtuelle Darstellung einer Datenverbindung, die über eine Software-Schnittstelle implementiert wird; "

Dies könnte zum Beispiel eine VPN-Software-Schnittstelle sein, über die Sie sich mit einem anderen Netzwerk verbinden. Nicht jedes Bit, das über die Hardwareschnittstelle übertragen wird, kann dieses andere Netzwerk und die darin befindlichen Geräte erreichen, sondern nur die, die über die spezielle VPN-Schnittstelle übertragen werden.

Weitere Beispiele sind MQTT-Verbindungen, REST-API-Endpunkte, OPC UA-Schnittstellen (relevant für die industrielle Automatisierung), WebSocket-Schnittstellen, Bluetooth-GATT-Dienste und mehr.

Man könnte argumentieren, dass jede logische Verbindung grundsätzlich eine physische Verbindung als zugrunde liegenden Transport benötigt.

Die CRA legt Wert auf diese Unterscheidung, da wir an der Identifizierung von Angriffsflächen interessiert sind. Da jede logische Verbindung einen anderen Angriffsvektor bietet, ist es sinnvoll, sie in der Dokumentation und der Sicherheitsbewertung als separate Angriffsflächen zu berücksichtigen.

Wenn Sie ein Gerät betrachten, können Sie als Hersteller dieses Geräts auch die lokale Kommunikation zwischen Prozessen (Unix-Sockets, D-Bus, Named Pipes, Shared Memory APIs) als logische Verbindung betrachten. Sie können für die Sicherheitsbewertung relevant sein, lösen aber nicht automatisch die CRA aus, da es sich nicht um Verbindungen zu einem separaten Netzwerk oder Gerät handelt, sondern um Verbindungen innerhalb des von Ihnen hergestellten Geräts.

Wenn Sie jedoch die einzelnen Softwarekomponenten in dem Gerät betrachten, würden diese logischen Verbindungen die CRA auslösen, falls die Software separat auf den Markt gebracht wird.

Beispiele für direkte Verbindungen:

• Eine Hochgeschwindigkeits-Trader-FPGA-Implementierung, die an einen Ethernet-Port angeschlossen ist (eine direkte physische Verbindung)
• Ein Webbrowser, der das https-Protokoll für den Zugriff auf Websites verwendet (eine direkte logische Verbindung)
• Ein E-Mail-Client, der eine IMAP-Sitzung zum Herunterladen von E-Mails aufbaut (eine direkte logische Verbindung)
• Ein Betriebssystem, das Dienste zur Auflösung von DNS-Hostnamen anbietet und automatisch Updates herunterlädt
• Ein Kopfhörer, der über eine Bluetooth-Verbindung Musik abspielt
• Ein USB-Flash-Laufwerk, das an einen Computer angeschlossen wird, um auf die darauf befindlichen Daten zuzugreifen.

Sie sind das, was wir typischerweise als aktiv kommunizierende Hardware-Geräte und Software-Anwendungen bezeichnen würden, und werden den meisten Lesern wahrscheinlich klar sein. Hier findet ein aktiver Datenaustausch statt.

Was sind “indirekte” Verbindungen?

Dies sind die überraschenderen Verbindungstypen, da sie auf den ersten Blick nicht “verbunden” aussehen.

“‘indirekte Verbindung’: eine Verbindung zu einem Gerät oder Netzwerk, die nicht direkt, sondern als Teil eines größeren Systems erfolgt, das direkt mit einem solchen Gerät oder Netzwerk verbunden werden kann; "

Konkrete Beispiele sind:

• Ein Texteditor, der auf einem Android-Smartphone läuft und keine Netzwerkverbindungen oder Cloud-Funktionen nutzt
• Eine eigenständige Taschenrechneranwendung, die unter Microsoft Windows läuft.

Mit anderen Worten: Kann Ihr Basisbetriebssystem oder Ihr Gerät eine Verbindung zu anderen Geräten oder Netzwerken herstellen? Dann fällt alle Software, die auf einem solchen System läuft oder laufen könnte, unter die CRA. Dies ist eine sehr weit gefasste Definition, die alle Android- und iOS-Anwendungssoftware abdeckt.

Die Hintergründe hierfür werden deutlich, wenn man die Sicherheitsaspekte der CRA in den Vordergrund stellt und sich einige historische Möglichkeiten ansieht, wie Angreifer in der Lage waren, Code aus der Ferne auszuführen und letztendlich Zugang zu höheren Systemprivilegien zu erlangen.  

Ein Beispiel hierfür war die GDI+ JPEG-Schwachstelle in den Jahren 2004 und 2005 (MS04-028). Dabei handelte es sich um einen Heap-Pufferüberlauf in Microsofts Graphics Device Interface (gdiplus.dll).

Wenn Benutzer eine Website mit einer bösartigen JPEG-Datei öffnen, können Angreifer beliebigen Code mit Benutzerrechten ausführen. Zum Beispiel einen Trojaner-Downloader, der dann Adware, Spyware und Backdoor-Zugriffs-Tools installieren würde. Außerdem wurden diese beschädigten JPEGs in Microsoft Word-Dokumente und Excel-Tabellen eingebettet und per E-Mail an Verteidigungsunternehmen, Regierungsbehörden und Führungskräfte von Unternehmen verschickt - eine Technik, die als Spearphishing bezeichnet wird. Natürlich mit böser Absicht.

Ein modernes Äquivalent ist die 2023 aufgetretene WebP Heap-Pufferüberlauf-Schwachstelle, die in großem Umfang ausgenutzt wurde, um Spionageprogramme für hochrangige Ziele, Journalisten und Politiker, einzusetzen.

Diese Softwarekomponenten wurden nicht für die direkte Interaktion mit dem Netzwerk entwickelt. Sie sind keine Webbrowser, E-Mail-Anwendungen oder VPN-Gateways. Da sie jedoch indirekt über das Netzwerk zugänglich sind, haben sie Auswirkungen auf die Sicherheit des gesamten Systems. Daher werden sie von der CRA reguliert.

Zusammenfassend lässt sich sagen, dass die meisten Geräte, die sich mit anderen Geräten verbinden - sei es in Form von Netzwerken oder anderen Verbindungen, Internetverbindungen, lokalen Verbindungen, Bluetooth oder NFC - unter die CRA fallen.

Die Software, die auf solchen Geräten läuft, fällt ebenfalls direkt unter die CRA, wenn sie separat als Komponente verkauft wird. Dies ist zum Beispiel in App-Stores der Fall, und auch auf andere Weise werden Softwareprodukte auf dem Markt der Europäischen Union verfügbar gemacht (“auf dem Markt bereitgestellt”).

Das Gleiche gilt für einzelne Hardwarekomponenten, die digitale Daten verarbeiten, übertragen oder speichern. Zum Beispiel Sensoren, SoCs, Speicherkomponenten. Sie alle müssen gemäß der CRA zertifiziert werden, um CE-zertifizierbar zu sein.

Haben Sie Zweifel, ob die CRA auf Ihr Produkt zutrifft? Wir schauen uns gerne Ihr spezielles Produkt / Ihre Situation an und geben Ihnen eine erste vorläufige Einschätzung. Nehmen Sie hier Kontakt mit uns auf.

Ausnahmen

Lassen Sie uns zum Abschluss dieses Artikels noch einige Situationen untersuchen, in denen der CRA nicht gilt. Betrachten wir zunächst die Fälle und Situationen, die nicht in den Anwendungsbereich des CRA fallen, und erörtern dann die Ausnahmen, die der Gesetzestext des CRA separat definiert.

Die CRA findet in den folgenden Fällen keine Anwendung:

• Wenn es keine digitalen Elemente gibt - keine digitalen Daten, die verarbeitet, gespeichert oder übertragen werden.
  • Das wäre zum Beispiel bei analogen Armbanduhren der Fall.
• Für den Fall, dass das Gerät / die Lösung (noch) nicht auf dem EU-Markt erhältlich ist.
  • Wenn die Hardware in der EU für den ausschließlichen Verkauf außerhalb der EU hergestellt wird, ist keine CRA-Zertifizierung erforderlich.
  • Wenn es sich bei der Hardware um einen Prototyp handelt, der auf Ausstellungen gezeigt wird und deutlich als nicht CRA / CE zertifiziert gekennzeichnet ist
  • Wenn es sich bei der Software um eine zeitlich begrenzte Alphaversion handelt, die ausschließlich dazu dient, Feedback von Benutzern zu erhalten. Außerdem muss ein sichtbares Zeichen darauf hinweisen, dass die Software nicht der CRA entspricht.
  • Wenn das Produkt für den Eigengebrauch hergestellt wird
  • (Open-Source-Software ist eine gemischte Sache - kontaktieren Sie uns für weitere Details)
• Falls es sich bei der Lösung um eine rein Cloud-basierte Software / SaaS-Software handelt (könnte jedoch unter NIS2 fallen), es sei denn, die Software wird vom selben Hersteller wie ein eigenständiges Gerät oder eine Software entwickelt und ihre Funktionalität ist für eine Funktion dieses Geräts unerlässlich. (Denken Sie an eine Remote-API)
• Wenn es sich bei dem Gerät um eine eigenständige Hardware-Lösung handelt (die natürlich auch Firmware enthalten kann) und keine Verbindungen zu anderen Geräten oder Netzwerken hat.

Einige Beispiele für Letzteres:

1. Der oben erwähnte Geschirrspüler, ohne die Möglichkeit, eine Verbindung zu anderen Geräten oder Netzwerken herzustellen
2. Ein einfacher Taschenrechner mit integrierter Firmware, der keine Verbindung zu anderen Geräten oder Netzwerken herstellen kann
3. Ein elektronisches Spielzeug mit integrierter Firmware, das voraufgezeichnete Licht- und Soundeffekte abspielt, aber keine Möglichkeit bietet, eine Verbindung zu anderen Geräten oder Netzwerken herzustellen.
4. Eine Kaffeemaschine mit integrierter Firmware, die über ein Bedienfeld verfügt, aber keine Möglichkeit bietet, sich mit anderen Geräten oder Netzwerken zu verbinden
5. Eine elektrische Zahnbürste mit einer kabellosen Ladestation, aber ohne die Möglichkeit, sich mit anderen Geräten oder Netzwerken zu verbinden.

Wenn die Firmware für diese Geräte separat auf den Markt gebracht wird, gilt die CRA wahrscheinlich auch für die Firmware. Die Firmware könnte auf einem Gerät verwendet werden, das mit Netzwerken oder anderen Geräten verbunden ist.

Keine Besitzstandswahrung von Produkten

Die CRA kennt kein Konzept des Grandfathering. Einzelne Einheiten von Produkten, die auf dem EU-Markt in Verkehr gebracht werden, müssen alle Vorschriften erfüllen, die zum Zeitpunkt des Inverkehrbringens in der EU gelten.

Somit gilt die CRA nicht für einzelne Einheiten von Geräten, die vor dem Stichtag des 11. Januar auf dem Unionsmarkt in Verkehr gebracht werden.^th von Dezember 2027.

Wenn ein Hersteller weiterhin Produkte eines bestimmten Typs am oder nach dem 11^th ab Dezember 2027 müssen sie mit der CRA konform sein.

Sie müssen vorsichtig sein, selbst bei Produkten, die vor dem Stichtag der 11^th allerdings erst ab Dezember 2027! Wenn diese Geräte wesentlich verändert werden, zum Beispiel durch Firmware-Updates des Herstellers, die neue Funktionen freischalten, fallen sie anschließend unter die CRA. Auch wenn sie bereits verkauft worden sind.

Die Hersteller müssen sich dessen bewusst sein und Software-Updates und ihre Produkte entsprechend planen. Deshalb empfehlen wir Ihnen, sich schon heute mit den CRA-Anforderungen vertraut zu machen und Ihre Hardware so vorzubereiten, dass sie die Anforderungen erfüllen kann.

Sprechen Sie mit uns und erfahren Sie mehr, wie Sie sich vorbereiten können. Wir können Sie auch dabei unterstützen, worauf Sie bei Software-Updates achten müssen.

Die einzige Ausnahme hiervon ist: unveränderte Ersatzteile auch nach Ablauf der Frist von 11 Jahren auf dem Markt erhältlich sein können.^th von Dezember 2027. Siehe weiter unten für weitere Details.

Berichtspflichten

Ein weiterer wichtiger Punkt: Es gibt keine Ausnahmen für die Meldepflichten. Die Hersteller müssen sie für alle Produkte erfüllen, die unter die CRA fallen (digitale Elemente, die in der EU bereitgestellt werden, Netzwerk-/Geräteverbindungen).

Selbst wenn diese Produkte vor Ablauf der Frist des 11^th von Dezember 2027. 

Unsere Empfehlung:

Um herauszufinden, ob das CRA auf Ihr Produkt anwendbar ist oder nicht, stellen Sie zunächst fest, ob es eine Möglichkeit der Verbindung mit anderen Netzwerken oder Geräten hat. Wenn dies nicht der Fall ist, fällt Ihr Produkt nicht unter das CRA. Falls doch, sollten Sie die anderen Punkte sorgfältig prüfen. Bringen Sie oder Ihre Partner das Produkt gemäß der Definition auf den EU-Markt? Enthält es digitale Elemente?

Sie können sich an uns wenden, wenn Sie Hilfe und Unterstützung bei diesem Prozess benötigen.

CRA Ausnahmen

Ausnahmen von der CRA sind im übrigen Artikel 2 (Anwendungsbereich) des CRA-Rechtstextes definiert. Produkte mit digitalen Elementen, die unter die folgenden Rechtsakte fallen, sind von der CRA-Verordnung ausgenommen:

• Verordnung (EU) 2017/745; (MDR - Medizinprodukteverordnung) - Medizinprodukte für den menschlichen Gebrauch, einschließlich medizinischer Software und Zubehör.
• Verordnung (EU) 2017/746; (IVDR - In-vitro-Diagnostika) - In-vitro-Diagnostika diagnostizieren Proben aus dem menschlichen Körper, zum Beispiel Schwangerschaftstests, aber auch Instrumente und Software als zugehörige Komponenten.
• Verordnung (EU) 2019/2144 (Typgenehmigungsanforderungen für Kraftfahrzeuge). - Fahrzeuge und ihre Systeme und Bauteile
• Verordnung (EU) Nr. 168/2013 (Genehmigung und Marktüberwachung von zwei- oder dreirädrigen Kraftfahrzeugen und vierrädrigen Kraftfahrzeugen, mit Ausnahme von Fahrzeugen der Klasse L1e, die für Pedale ausgelegt sind)

Weitere Ausnahmen:

Produkte, die nach den folgenden Kriterien zertifiziert wurden Verordnung (EU) 2018/1139 (gemeinsame Vorschriften für die Zivilluftfahrt) sind ausgenommen. Diese Verordnung bezieht sich auf luftfahrttechnische Erzeugnisse, Teile und Ausrüstungen. Als Hintergrund hierfür: Die Europäische Agentur für Flugsicherheit (EASA) hat ab 2020 Aspekte der Informationssicherheit in ihre Zertifizierungsvorschriften aufgenommen.

Die meisten Drohnen der offenen Kategorie - Freizeitdrohnen, kommerzielle Aktivitäten mit geringem Risiko - fallen zwar in den Anwendungsbereich dieser Verordnung, sind jedoch nicht zertifiziert gemäß dieser Verordnung. Daher können sie immer noch von der CRA erfasst werden.

Das Gleiche gilt für Komponenten, die in Produkte eingebaut werden, die nach dieser Verordnung zertifiziert sind, die aber selbst nicht nach dieser Verordnung zertifiziert sind. Diese Komponenten können von der CRA abgedeckt werden, wenn sie separat auf dem Markt angeboten werden. Kontaktieren Sie uns für Details.

Ebenfalls ausgenommen sind Geräte, die in den Anwendungsbereich von Richtlinie 2014/90/EU (MED, Richtlinie über Schiffsausrüstung für sicherere und weniger umweltschädliche Ausrüstung auf EU-Schiffen).

Ein wichtiger Unterschied: Diese Ausnahme gilt nicht automatisch, wenn der Zielmarkt “Boote” ist. Nur wenn die betreffende Ausrüstung das MED-Konformitätszeichen für Schiffsräder trägt, ist sie von der CRA ausgenommen. Dies ist in der Regel der Fall, wenn sie nach internationalen Seeverkehrsabkommen (SOLAS, MARPOL, COLREG usw.) vorgeschrieben und auf Schiffen installiert sind, die in den Anwendungsbereich der Richtlinie fallen. Andernfalls, zum Beispiel bei einem GPS-Tracker für eine Hobbyjacht, würde die CRA gelten. Ebenso wie in der Luftfahrt können auch Komponenten, die nicht direkt in den Anwendungsbereich der Richtlinie fallen, unter die CRA fallen.

Produkte mit digitalen Elementen, die ausschließlich entwickelt oder modifiziert wurden für nationale Sicherheit oder Verteidigungszwecke, oder Produkte, die speziell für Verschlusssachen verarbeiten sind ausgenommen. Diese Ausnahme gilt nicht für Güter mit “doppeltem Verwendungszweck”, die auch zivile Zwecke haben, es sei denn, sie wurden ausschließlich für Zwecke der nationalen Sicherheit/Verteidigung verändert.

Wie bereits erwähnt, sind Ersatzteile ausgenommen, wenn sie auf dem Markt zur Verfügung gestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und wenn sie nach denselben Spezifikationen hergestellt werden wie die Komponenten, die sie ersetzen sollen.

Diese Bestimmung über die Ersatzteile soll es den Nutzern ermöglichen, die bereits auf dem Markt befindlichen Geräte weiter zu verwenden, auch wenn sie nicht mehr CRA-konform wären, wenn sie später auf den Markt gebracht worden wären. Sie ermöglicht es, die Lebensdauer dieser alten Produkte zu verlängern.

Anmerkungen zu einigen besonderen regulatorischen Situationen und zusätzlichen Gesetzen:

Maschinenverordnung (MR, Verordnung (EU) 2023/1230)

Die Maschinenverordnung gilt ab dem 20.^th vom Januar 2027. Es handelt sich um eine Baugruppe aus miteinander verbundenen Teilen mit mindestens einem beweglichen Teil, die durch eine andere Quelle als den Menschen angetrieben wird und eine bestimmte Anwendung ausführt.

Diese Verordnung, die stark von KI, Robotik und Cybersicherheitsbedenken beeinflusst ist, deckt bereits einige Aspekte der Cybersicherheit ab. Maschinen, die unter diese Verordnung fallen, müssen zusätzlich die Anforderungen der CRA vollständig erfüllen.

Die Einhaltung der Cybersicherheitsanforderungen nur einer der Verordnungen kann nicht automatisch als vollständige Erfüllung der Anforderungen der anderen Verordnung angesehen werden. Wenn außerdem KI-Sicherheitsfunktionen betroffen sind, können die Maschinen auch unter das KI-Gesetz fallen.

RED - Funkanlagenrichtlinie 2014/53/EU, Delegierte Verordnung (EU) 2022/30 der Kommission

Ausgehend von der 1^st vom August 2025, die Delegierte Verordnung RED, für bestimmte Funkanlagen, die am oder nach dem 1.^st vom August 2025, enthält mehrere wesentliche Anforderungen zur Cybersicherheit.

Um Überschneidungen mit der CRA zu vermeiden und Rechtssicherheit zu gewährleisten, ist geplant, diese Delegierte Verordnung (EU) 2022/30 zur Cybersicherheit am 11. Juni aufzuheben.^th Dezember 2027, sobald der Cyber Resilience Act vollständig in Kraft tritt.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14766-Cybersecurity-repeal-of-Delegated-Regulation-supplementing-the-Radio-Equipment-Directive_en

Unsere Dienstleistungen

Wir bieten Unterstützung bei der Einhaltung der CRA-Richtlinien. Wir helfen Ihnen bei der Auswahl der Komponenten, bei der Bewertung des Risikos und entwickeln Lösungen für kritische Sicherheitsfragen.

Unsere Ingenieure können auch mit Ihnen zusammenarbeiten, um prompte Injektionsangriffe auf Ihre KI-Systeme zu verhindern, um die CRA zu erfüllen.

Sprechen Sie uns an um mehr über das CRA zu erfahren und darüber, wie Sie Produkte so gestalten können, dass sie mit dem CRA konform sind.

Referenzen:

• Europäische Kommission, Zusammenfassung des Cyber Resilience Act
• Vollständiger Gesetzestext des CRA (PDF, Englisch)
• FAQs zur Umsetzung der CRA