{"id":31739,"date":"2026-06-06T21:55:16","date_gmt":"2026-06-06T19:55:16","guid":{"rendered":"https:\/\/pi3g.com\/?p=31739"},"modified":"2026-06-06T21:55:19","modified_gmt":"2026-06-06T19:55:19","slug":"what-does-the-cra-cyber-resilience-act-apply-to-is-my-device-or-software-solution-affected","status":"publish","type":"post","link":"https:\/\/pi3g.com\/de\/what-does-the-cra-cyber-resilience-act-apply-to-is-my-device-or-software-solution-affected\/","title":{"rendered":"Worauf bezieht sich der CRA (Cyber Resilience Act)? Ist mein Ger\u00e4t oder meine Softwarel\u00f6sung betroffen?"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Der CRA (Cyber Resilience Act), der am 11.<sup>th<\/sup> vom Dezember 2027, hat einen sehr weitreichenden Anwendungsbereich. In diesem Artikel werden wir einige der wichtigsten Definitionen der CRA untersuchen, um zu verstehen, f\u00fcr welche Produkte sie gilt.<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-fe48e5de wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Entdecken Sie unsere Dienstleistungen zur Einhaltung der CRA<\/a><\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Hintergrund: Was will die CRA erreichen?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bevor wir uns damit befassen, sollten wir die Voraussetzungen schaffen und untersuchen, was die CRA erreichen will. Dieses direkte Zitat aus dem vollst\u00e4ndigen Gesetzestext des CRA ist hilfreich:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">\"<em>Unter bestimmten Bedingungen, <strong>alle Produkte<\/strong> mit digitalen Elementen, die in ein gr\u00f6\u00dferes elektronisches Informationssystem integriert oder mit diesem verbunden sind <strong>kann als Angriffsvektor f\u00fcr b\u00f6swillige Akteure dienen.<\/strong><\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Das hat zur Folge, dass selbst Hardware und Software, die als weniger kritisch angesehen werden <strong>k\u00f6nnen die anf\u00e4ngliche Kompromittierung eines Ger\u00e4ts oder Netzwerks erleichtern und es b\u00f6swilligen Akteuren erm\u00f6glichen, sich privilegierten Zugang zu einem System zu verschaffen oder sich seitlich \u00fcber Systeme hinweg zu bewegen<\/strong>. Die Hersteller sollten daher sicherstellen <strong>dass alle Produkte mit digitalen Elementen<\/strong> im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden.<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Diese Verpflichtung bezieht sich sowohl auf Produkte, die angeschlossen werden k\u00f6nnen <strong>physisch<\/strong> \u00fcber Hardware-Schnittstellen und Produkte, die verbunden sind <strong>logischerweise<\/strong>, wie z.B. \u00fcber Netzwerk-Sockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen oder jede andere Art von Software-Schnittstelle.<\/em>\"<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Mit anderen Worten: Produkte, die sich mit anderen Produkten verbinden k\u00f6nnen, k\u00f6nnen erhebliche Auswirkungen auf deren Sicherheit haben. Bei den Produkten mit direkten Auswirkungen auf die Sicherheit kann es sich auch um Softwareprodukte handeln!<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Betrachten Sie als aktuelles Beispiel <strong>OpenCLAW<\/strong>. OpenCLAW ist ein agentenbasiertes KI-System, das vollen Zugriff auf den Computer hat, auf dem es l\u00e4uft. Die Daten- und Kontrollebenen in OpenCLAW sind miteinander vermischt, was OpenCLAW anf\u00e4llig f\u00fcr die bekannten Prompt-Injection-Angriffe macht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Selbst wenn der Computer und sein Betriebssystem sicher gestaltet sind - einschlie\u00dflich Firewalls, Virenscannern usw. - k\u00f6nnte OpenCLAW daher wichtige Zugangsdaten, die auf Ihrem Computer gespeichert sind, an einen b\u00f6swilligen Angreifer weitergeben. Diese Zugangsdaten k\u00f6nnten wiederum als Einfallstor f\u00fcr Angriffe auf andere, mit demselben Netzwerk verbundene Systeme verwendet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das gesamte System kann also an einem einzigen schwachen Glied in der Kette scheitern. Die CRA ist daher sehr weit gefasst und versucht, jedes dieser Glieder in der Kette abzudecken. Die Bedrohungen f\u00fcr die Benutzer, ihre Netzwerke und Geheimnisse werden durch Produkte, die der CRA entsprechen, verringert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Der Anwendungsbereich der CRA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Artikel 2(1) der Verordnung (EU) 2024\/2847 (bekannt als \u201cCyber Resilience Act\u201d oder \u201cCRA\u201d) ist die zentrale Bestimmung f\u00fcr den Anwendungsbereich der CRA:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">&nbsp;<em>\u201eDiese Verordnung gilt f\u00fcr auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgem\u00e4\u00dfe oder vern\u00fcnftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Ger\u00e4t oder Netzwerk beinhaltet.\u201d<\/em><\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Hier gibt es drei Dinge zu beachten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Produkte mit digitalen Elementen<\/li>\n\n\n\n<li>Auf dem Markt verf\u00fcgbar gemacht<\/li>\n\n\n\n<li>Beabsichtigter Zweck oder vern\u00fcnftigerweise vorhersehbare Nutzung, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Ger\u00e4t oder Netzwerk beinhaltet.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Alle drei m\u00fcssen zutreffen, damit das Produkt unter die CRA f\u00e4llt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Am Ende des Artikels werden wir auch auf einige Ausnahmen eingehen. F\u00fcr diese Ausnahmen gelten jedoch in der Regel andere restriktive Bestimmungen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Was sind Produkte mit digitalen Elementen?<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">In Artikel 3(1) des CRA hei\u00dft es: <em>\u201cProdukt mit digitalen Elementen\u2018 bezeichnet ein Software- oder Hardware-Produkt und seine L\u00f6sungen f\u00fcr die Datenfernverarbeitung, einschlie\u00dflich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden;\u2019<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hardware-Produkte werden von der CRA definiert als \u201c<em>physische elektronische Informationssysteme oder Teile davon, die in der Lage sind, digitale Daten zu verarbeiten, zu speichern oder zu \u00fcbertragen<\/em>\u201d. Dies gilt nat\u00fcrlich f\u00fcr alles, was eine CPU hat, wie z.B. Einplatinencomputer, aber auch z.B. f\u00fcr Speicherger\u00e4te wie microSD-Karten und Ger\u00e4te wie Netzwerk-Switches.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Gegenbeispiel k\u00f6nnte hilfreich sein: Ein analoger Thermostat verwendet analoge Mechanismen zur Temperaturregelung. Er verarbeitet, speichert oder \u00fcbertr\u00e4gt keine Daten und erf\u00fcllt daher nicht die Definition eines Hardwareprodukts mit digitalen Elementen. Betrachten wir jedoch den Fall eines digitalen Temperatursensors, der die Daten \u00fcber I2C \u00fcbertr\u00e4gt. Da er die Daten \u00fcbertr\u00e4gt und auch verarbeitet, um sie aufzubereiten, f\u00e4llt er unter diese Definition von Hardware-Produkten, f\u00fcr die die CRA gelten k\u00f6nnte, wenn die anderen Bedingungen erf\u00fcllt sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bitte beachten Sie, dass Softwareprodukte auch direkt in der Definition von Produkten mit digitalen Elementen enthalten sind. Entwickeln Sie Software und sind sich nicht sicher, ob sie unter das CRA f\u00e4llt? <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Sie k\u00f6nnen sich bei uns erkundigen<\/a>, um sich Klarheit zu verschaffen und zu verstehen, ob die CRA auf Ihren speziellen Fall zutrifft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die \u201cFerndatenverarbeitungsl\u00f6sungen\u201d beziehen sich auf die Cloud-Verarbeitung. Es gibt einige Einschr\u00e4nkungen daf\u00fcr, was unter die CRA f\u00e4llt. Es wird immer ein lokales Produkt - Hardware oder Software - ben\u00f6tigt, das mit der Cloud interagiert. Die Cloud-Verarbeitungsl\u00f6sungen m\u00fcssen vom Hersteller dieses lokalen Produkts entwickelt werden oder unter der Verantwortung dieses Herstellers stehen. Wenn Sie Ihre eigenen APIs erstellen und nutzen oder wenn Sie ein anderes Unternehmen beauftragen, Cloud-APIs nach Ihren Vorgaben zu entwickeln, fallen diese sehr wahrscheinlich unter die CRA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie jedoch \u00f6ffentliche oder private Cloud-APIs eines Anbieters nutzen, der seine Dienste der breiten \u00d6ffentlichkeit zur Verf\u00fcgung stellt, wie z.B. AWS, fallen deren Cloud-Teile nicht unter Ihre CRA-Zertifizierung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es ist nat\u00fcrlich immer noch eine gute Praxis, eine Risikobewertung dieser APIs vorzunehmen und Ihre Software so zu gestalten, dass sie problemlos ausfallen kann, einschlie\u00dflich der Entkopplung von Schl\u00fcsselfunktionen von diesen Cloud-Anbietern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Schlie\u00dflich muss die Cloud-API ein integraler Bestandteil der Produktfunktionalit\u00e4t sein. Dies ist definiert als \u201c<em>deren Fehlen das Produkt mit digitalen Elementen daran hindern w\u00fcrde, eine seiner Funktionen zu erf\u00fcllen<\/em> \u201c.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie beispielsweise Cloud-APIs verwenden, um einfach nur die Nutzungsmuster auf Ihren Ger\u00e4ten zu verfolgen, wird der Cloud-Teil Ihrer Software nicht Teil der CRA-Anforderungen, einschlie\u00dflich detaillierter technischer Dokumentation usw. Sie m\u00fcssen jedoch weiterhin eine Risikobewertung f\u00fcr den Ger\u00e4teteil durchf\u00fchren, der die Cloud-API aufruft, einschlie\u00dflich einer Dokumentation dar\u00fcber, wie Angriffsvektoren minimiert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer interessanter Aspekt der Definition von Produkten mit digitalen Elementen ist die ausdr\u00fcckliche Nennung der Komponenten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Falls Sie Komponenten anbieten - zum Beispiel Softwareanwendungen, die in andere Systeme integriert werden k\u00f6nnen (z.B. Bootloader, BIOS, Virenscanner, kommerzielle Textverarbeitungsprogramme), oder Hardwarekomponenten wie Speicher, SoCs, Einplatinencomputer usw., fallen diese unter die CRA. Sie m\u00fcssen die technische Dokumentation und alles andere vorbereiten, was im Rahmen der CRA-Zertifizierung erforderlich ist. Wenn Sie sich immer noch nicht sicher sind, ob Ihr Produkt unter diese Definition von \u201cProdukt mit digitalen Elementen\u201d f\u00e4llt, <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">k\u00f6nnen Sie sich an uns wenden, wir helfen Ihnen bei der Einstufung unter der CRA<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Was bedeutet \u201cauf dem Markt verf\u00fcgbar gemacht\u201d?<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die CRA Artikel 3 (Definitionen) stellt in (22) klar, was dies bedeutet:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><em>\u201cBereitstellung auf dem Markt\u2018: die entgeltliche oder unentgeltliche Bereitstellung eines Produkts mit digitalen Elementen zum Vertrieb oder zur Nutzung auf dem Unionsmarkt im Rahmen einer gewerblichen T\u00e4tigkeit;\u2019<\/em><\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Unabh\u00e4ngig davon, ob Sie Produkte mit digitalen Elementen (einschlie\u00dflich Software) herstellen, importieren oder weiterverkaufen, sind Sie verantwortlich. Sie m\u00fcssen sicherstellen, dass die Produkte, mit denen Sie handeln, der CE entsprechen, und als Teil der CE auch der CRA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dies wird allerlei interessante Entwicklungen mit sich bringen. Wenn Sie beispielsweise Ihre App in einen App-Store hochladen, werden internationale Anbieter nach dem neuen CRA-Gesetz haftbar gemacht. App-Marktpl\u00e4tze k\u00f6nnten daher anbieten, die L\u00e4nder zu beschr\u00e4nken, in denen Sie Ihre App verf\u00fcgbar machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer interessanter Aspekt ist die Formulierung - \u201c<em>im Rahmen einer kommerziellen T\u00e4tigkeit, unabh\u00e4ngig davon, ob sie entgeltlich oder unentgeltlich erfolgt<\/em>.\"<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hier geht es um alternative Gesch\u00e4ftsmodelle, wie z.B. Hardware, die nur vermietet und nicht verkauft wird. Ein ber\u00fchmtes Beispiel hierf\u00fcr ist Xerox, das seine Kopierer an Unternehmen vermietet und pro Seite abrechnet, anstatt die Kopierer direkt zu verkaufen. Eine neue Entwicklung in dieser Richtung ist Robotics-as-a-Service (RaaS) f\u00fcr Ger\u00e4te wie Lagerroboter, autonome Gabelstapler und Inspektionsroboter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Weitere Modelle sind Abonnementzahlungen f\u00fcr Software, die lokal installiert wird, aber auch - f\u00fcr viele \u00fcberraschend - v\u00f6llig kostenlose Software, die als Kanal f\u00fcr Beratungsdienste dient.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Red Hat bietet beispielsweise Open-Source-Software f\u00fcr Unternehmen an, die auf Linux basiert. Sie haben sogar mehrere propriet\u00e4re Softwareprodukte erworben und diese Software unter Open-Source-Lizenzen ver\u00f6ffentlicht. Sie tun dies jedoch in kommerzieller Absicht - zum Beispiel bieten sie einen abonnementbasierten Kundensupport an, und sie bieten auch Integrations- und Schulungsdienste an. Da die Software eine Voraussetzung f\u00fcr diese kommerziellen Aktivit\u00e4ten ist, f\u00e4llt sie unter die CRA-Verordnung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was ist mit der Bereitstellung von kostenloser Hardware auf dem Markt als Teil einer kommerziellen Aktivit\u00e4t? Nat\u00fcrlich: ja. Beispielsweise stellen Internetanbieter kostenlose Router zur Verf\u00fcgung, um ihre Breitbanddienste verkaufen zu k\u00f6nnen. Die Router fallen unter die CRA, da der ISP eine kommerzielle T\u00e4tigkeit aus\u00fcbt, von der er profitiert und die durch die Bereitstellung dieser Router f\u00fcr die Kunden erm\u00f6glicht wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kurz gesagt: Jedes gewinnorientierte Unternehmen, das kommerziell davon profitiert, seine Produkte auf den europ\u00e4ischen Markt zu bringen, muss sicherstellen, dass diese Produkte mit der CRA \u00fcbereinstimmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Open-Source-Software hat einen besonderen Status, wenn sie nicht in kommerzieller Absicht erstellt wird. Zum Beispiel, <a href=\"https:\/\/en.wikipedia.org\/wiki\/The_Document_Foundation\">die Document Foundation<\/a> unterst\u00fctzt die Libre Office Suite. Sie tun dies jedoch nicht in kommerzieller (gewinnorientierter) Absicht. Es ist eine gemeinn\u00fctzige Organisation. Sie sammeln Spenden, um ihre Betriebskosten zu decken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir konzentrieren uns auf den CRA-Support f\u00fcr den Embedded- und Linux-Markt, der sich traditionell stark auf Open-Source-L\u00f6sungen st\u00fctzt. Daher k\u00f6nnen wir Sie beraten, worauf Sie bei Open-Source-Software achten m\u00fcssen, und Konzepte wie \u201cOpen-Source Software Steward\u201d erl\u00e4utern.\u201d<a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">. Sprechen Sie uns an.<\/a><\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"500\" height=\"462\" src=\"https:\/\/pi3g.com\/wp-content\/uploads\/2026\/06\/500px-Red_Hat_Tower_-_15_February_2017_cropped.jpeg\" alt=\"\" class=\"wp-image-31743\" srcset=\"https:\/\/pi3g.com\/wp-content\/uploads\/2026\/06\/500px-Red_Hat_Tower_-_15_February_2017_cropped.jpeg 500w, https:\/\/pi3g.com\/wp-content\/uploads\/2026\/06\/500px-Red_Hat_Tower_-_15_February_2017_cropped-300x277.jpeg 300w, https:\/\/pi3g.com\/wp-content\/uploads\/2026\/06\/500px-Red_Hat_Tower_-_15_February_2017_cropped-13x12.jpeg 13w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/figure>\n<\/div>\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><em>CC-BY 3.0 Josh Hunter \/ 500px - Raleigh Hauptsitz von Red Hat - Red Hat Tower<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;\u201cInverkehrbringen\u201d bezieht sich auf die <strong>erste<\/strong> die Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt. Dies ist sehr wichtig f\u00fcr die Anwendbarkeit der CRA auf bereits produzierte Produkte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kurz gesagt: Wenn ein europ\u00e4ischer Hersteller eine nicht-CRA-konforme Charge von Produkten an einen europ\u00e4ischen H\u00e4ndler vor Ablauf der Frist (11<sup>th<\/sup> Dezember 2027), kann der H\u00e4ndler diese Charge von Produkten weiter verkaufen, bis sie alle abverkauft sind. Weitere Produkte, die der Hersteller nach Ablauf der Frist produziert, m\u00fcssen der CRA entsprechen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Was bedeutet \u201cbeabsichtigter Zweck oder vern\u00fcnftigerweise vorhersehbare Nutzung, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Ger\u00e4t oder Netzwerk beinhaltet\u201d?<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Dies ist der Hauptgrund, warum Ihr Produkt m\u00f6glicherweise nicht unter die CRA f\u00e4llt, und muss sorgf\u00e4ltig gepr\u00fcft werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Geschirrsp\u00fcler, zum Beispiel, ist ein <strong>Produkt mit digitalen Elementen<\/strong> (ein Mikrocontroller, der den Geschirrsp\u00fcler steuert, und seine Firmware). Es ist auch <strong>zur Verf\u00fcgung gestellt<\/strong> auf dem Unionsmarkt (in europ\u00e4ischen L\u00e4ndern) - zum Beispiel \u00fcber Amazon, Media Markt oder auf anderen Wegen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Normalerweise hat es jedoch keine Datenverbindungen zu anderen Ger\u00e4ten oder Netzwerken. Es handelt sich um ein eigenst\u00e4ndiges Ger\u00e4t, das lediglich Strom- und Wasseranschl\u00fcsse f\u00fcr den Betrieb ben\u00f6tigt. Es muss keine CRA-Anforderungen erf\u00fcllen, auch wenn einige seiner Komponenten, wie z.B. der Mikrocontroller selbst, dies vielleicht tun m\u00fcssen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein teurerer Geschirrsp\u00fcler, der \u00fcber Bluetooth gesteuert werden kann oder der \u00fcber eine Internetverbindung automatisch Geschirrsp\u00fcltabs f\u00fcr Sie nachbestellt, f\u00e4llt unter die CRA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es gibt einige wichtige Aspekte in der Formulierung, die ich gerne n\u00e4her erl\u00e4utern m\u00f6chte:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Beabsichtigter Zweck oder vern\u00fcnftigerweise vorhersehbare Verwendung<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Konkret definiert die CRA die vern\u00fcnftigerweise vorhersehbare Nutzung als Nutzung, \u201c<em>die sich aus vern\u00fcnftigerweise vorhersehbaren menschlichen Verhaltensweisen oder technischen Abl\u00e4ufen oder Interaktionen ergeben k\u00f6nnen<\/em> \u201c.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das bedeutet - selbst wenn Sie als Hersteller nicht direkt beabsichtigen, das Ger\u00e4t mit anderen Ger\u00e4ten zu verbinden, aber Ihre Kunden die Ger\u00e4te anschlie\u00dfen k\u00f6nnten (\u201ces gibt einen funktionalen LAN-Anschluss daran\u201d), f\u00e4llt Ihr Ger\u00e4t dennoch unter CRA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das gilt nat\u00fcrlich auch, wenn Sie sich diese Option f\u00fcr sp\u00e4ter, f\u00fcr die Wartung des Ger\u00e4ts oder f\u00fcr eine andere seltene Nutzung offen halten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Beispiel daf\u00fcr ist das Unternehmen <a href=\"https:\/\/www.digitalavmagazine.com\/en\/2026\/02\/05\/ise-2026-cabolo-presenta-sistema-av-con-ia-proteger-informacion-critica\">Cabolo <\/a>entwickelt ein Ger\u00e4t zur Transkription von Audiodaten, das speziell f\u00fcr die Offline-Nutzung konzipiert ist. Klingt wie der Geschirrsp\u00fcler, den wir besprochen haben, oder? Ihr Ger\u00e4t bietet jedoch auch die M\u00f6glichkeit, es an Netzwerke anzuschlie\u00dfen. Schlie\u00dflich basiert es auf dem beliebten NUC-Compute-Formfaktor. Die Benutzer k\u00f6nnten es m\u00f6glicherweise anschlie\u00dfen, um \u00fcber das Netzwerk auf Dateien zuzugreifen, Software-Updates aufzuspielen oder aus der Ferne auf Website-Schnittstellen zuzugreifen, die die Cabolo-L\u00f6sung hosten k\u00f6nnte. Die Benutzer k\u00f6nnten auch versuchen, Bluetooth-Mikrofone an die Cabolo-Box anzuschlie\u00dfen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nebenbei bemerkt ist das AV-System von Cabolo so konzipiert, dass es mit dem Protokoll DANTE interoperabel ist. DANTE ist ein digitales Protokoll mit niedriger Latenz, das \u00fcber Ethernet-Verbindungen l\u00e4uft. Damit f\u00e4llt es eindeutig unter CRA, ohne dass eine Interpretation der m\u00f6glichen Nutzungsszenarien erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vern\u00fcnftigerweise vorhersehbares menschliches Verhalten schlie\u00dft jedoch Hardware-Enthusiasten (\u201cHacker\u201d) aus, die versuchen k\u00f6nnten, eine Verbindung zu einem eigenst\u00e4ndigen Ger\u00e4t herzustellen, wie zum Beispiel im ber\u00fchmten Fall des ersten IoT-Ger\u00e4ts der Welt - einem mit dem Internet verbundenen Toaster.<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-wp-embed is-provider-livinginternet wp-block-embed-livinginternet\"><div class=\"wp-block-embed__wrapper\">\n<blockquote hcb-fetch-image-from=\"https:\/\/www.livinginternet.com\/i\/ia_myths_toast.htm\" class=\"wp-embedded-content\" data-secret=\"bUwVzKT3Jo\"><a href=\"https:\/\/www.livinginternet.com\/i\/ia_myths_toast.htm\">Internet Toaster, John Romkey, Simon Hackett<\/a><\/blockquote><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; visibility: hidden;\" title=\"\u201cInternet Toaster, John Romkey, Simon Hackett\u201d - LivingInternet\" src=\"https:\/\/www.livinginternet.com\/i\/ia_myths_toast.htm\/embed\/#?secret=bUwVzKT3Jo\" data-secret=\"bUwVzKT3Jo\" width=\"500\" height=\"282\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe>\n<\/div><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>direkte oder indirekte logische oder physische Datenverbindung<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Dies ist ein wichtiger Kernaspekt der CRA und l\u00e4sst sich am besten anhand einiger Beispiele erkl\u00e4ren:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A <strong>physikalische Datenverbindung<\/strong> k\u00f6nnen viele verschiedene Arten sein: eine Ethernet-Verbindung, eine Bluetooth-Verbindung oder eine USB-Verbindung, aber auch viele andere.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie zum Beispiel einen USB-Drucker an Ihren Computer anschlie\u00dfen, fallen sowohl der Drucker als auch der Computer unter die CRA. Nicht jeder Computer wird einen USB-Drucker angeschlossen haben, aber es ist ein erwartetes Verhalten f\u00fcr Allzweckcomputer - einige Benutzer werden es tun. Erinnern Sie sich an das \u201cvern\u00fcnftigerweise vorhersehbare menschliche Verhalten\u201d?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die tats\u00e4chliche physische Implementierung der Datenverbindung spielt keine Rolle: <em>\u201ePhysikalische Verbindung\u2018 bezeichnet eine Verbindung zwischen elektronischen Informationssystemen oder Komponenten, die mit physischen Mitteln hergestellt wird, einschlie\u00dflich elektrischer, optischer oder mechanischer Schnittstellen, Dr\u00e4hte oder Funkwellen;<\/em>\"<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Selbst Produkte ohne Internetanschluss in isolierten Umgebungen, z.B. in der Industrie, werden in der Regel an einen industriellen Feldbus angeschlossen. Ein Beispiel ist ein PROFIBUS-Netzwerk, das Sensoren mit einer SPS verbindet. Dabei handelt es sich um eine physische Datenverbindung, die dann die Anforderung der CRA-Konformit\u00e4t ausl\u00f6st, damit Sie die CE-Kennzeichnung f\u00fcr Ihr Produkt erhalten k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiteres wichtiges Beispiel in diesem Zusammenhang ist das intelligente T\u00fcrschloss mit einem NFC-Tag zum Entriegeln - beide fallen unter die CRA, da die Daten \u00fcber die drahtlose NFC-Schnittstelle ausgetauscht werden. In diesem Fall ist die Cybersicherheit direkt relevant f\u00fcr den physischen Zugang, zum Beispiel zu einem Hotelzimmer mit Ihren privaten Gegenst\u00e4nden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie sich nicht sicher sind, ob die Art der Verbindung, die Ihr Ger\u00e4t hat, eine Datenverbindung im Sinne der CRA-Verordnung ist, <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">k\u00f6nnen Sie sich f\u00fcr eine Analyse Ihres Ger\u00e4ts mit uns in Verbindung setzen.<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A \u201c<em>\u2019<strong>logische Verbindung<\/strong>\u2019 bezeichnet eine virtuelle Darstellung einer Datenverbindung, die \u00fcber eine Software-Schnittstelle implementiert wird;<\/em> \"<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dies k\u00f6nnte zum Beispiel eine VPN-Software-Schnittstelle sein, \u00fcber die Sie sich mit einem anderen Netzwerk verbinden. Nicht jedes Bit, das \u00fcber die Hardwareschnittstelle \u00fcbertragen wird, kann dieses andere Netzwerk und die darin befindlichen Ger\u00e4te erreichen, sondern nur die, die \u00fcber die spezielle VPN-Schnittstelle \u00fcbertragen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Weitere Beispiele sind MQTT-Verbindungen, REST-API-Endpunkte, OPC UA-Schnittstellen (relevant f\u00fcr die industrielle Automatisierung), WebSocket-Schnittstellen, Bluetooth-GATT-Dienste und mehr.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Man k\u00f6nnte argumentieren, dass jede logische Verbindung grunds\u00e4tzlich eine physische Verbindung als zugrunde liegenden Transport ben\u00f6tigt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die CRA legt Wert auf diese Unterscheidung, da wir an der Identifizierung von Angriffsfl\u00e4chen interessiert sind. Da jede logische Verbindung einen anderen Angriffsvektor bietet, ist es sinnvoll, sie in der Dokumentation und der Sicherheitsbewertung als separate Angriffsfl\u00e4chen zu ber\u00fccksichtigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie ein Ger\u00e4t betrachten, k\u00f6nnen Sie als Hersteller dieses Ger\u00e4ts auch die lokale Kommunikation zwischen Prozessen (Unix-Sockets, D-Bus, Named Pipes, Shared Memory APIs) als logische Verbindung betrachten. Sie k\u00f6nnen f\u00fcr die Sicherheitsbewertung relevant sein, l\u00f6sen aber nicht automatisch die CRA aus, da es sich nicht um Verbindungen zu einem separaten Netzwerk oder Ger\u00e4t handelt, sondern um Verbindungen innerhalb des von Ihnen hergestellten Ger\u00e4ts.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie jedoch die einzelnen Softwarekomponenten in dem Ger\u00e4t betrachten, w\u00fcrden diese logischen Verbindungen die CRA ausl\u00f6sen, falls die Software separat auf den Markt gebracht wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Beispiele f\u00fcr direkte Verbindungen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eine Hochgeschwindigkeits-Trader-FPGA-Implementierung, die an einen Ethernet-Port angeschlossen ist (eine direkte physische Verbindung)<\/li>\n\n\n\n<li>Ein Webbrowser, der das https-Protokoll f\u00fcr den Zugriff auf Websites verwendet (eine direkte logische Verbindung)<\/li>\n\n\n\n<li>Ein E-Mail-Client, der eine IMAP-Sitzung zum Herunterladen von E-Mails aufbaut (eine direkte logische Verbindung)<\/li>\n\n\n\n<li>Ein Betriebssystem, das Dienste zur Aufl\u00f6sung von DNS-Hostnamen anbietet und automatisch Updates herunterl\u00e4dt<\/li>\n\n\n\n<li>Ein Kopfh\u00f6rer, der \u00fcber eine Bluetooth-Verbindung Musik abspielt<\/li>\n\n\n\n<li>Ein USB-Flash-Laufwerk, das an einen Computer angeschlossen wird, um auf die darauf befindlichen Daten zuzugreifen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Sie sind das, was wir typischerweise als aktiv kommunizierende Hardware-Ger\u00e4te und Software-Anwendungen bezeichnen w\u00fcrden, und werden den meisten Lesern wahrscheinlich klar sein. Hier findet ein aktiver Datenaustausch statt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was sind \u201cindirekte\u201d Verbindungen?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dies sind die \u00fcberraschenderen Verbindungstypen, da sie auf den ersten Blick nicht \u201cverbunden\u201d aussehen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">\u201c\u2018<em>indirekte Verbindung\u2019: eine Verbindung zu einem Ger\u00e4t oder Netzwerk, die nicht direkt, sondern als Teil eines gr\u00f6\u00dferen Systems erfolgt, das direkt mit einem solchen Ger\u00e4t oder Netzwerk verbunden werden kann;<\/em> \"<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Konkrete Beispiele sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ein Texteditor, der auf einem Android-Smartphone l\u00e4uft und keine Netzwerkverbindungen oder Cloud-Funktionen nutzt<\/li>\n\n\n\n<li>Eine eigenst\u00e4ndige Taschenrechneranwendung, die unter Microsoft Windows l\u00e4uft.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Mit anderen Worten: Kann Ihr Basisbetriebssystem oder Ihr Ger\u00e4t eine Verbindung zu anderen Ger\u00e4ten oder Netzwerken herstellen? Dann f\u00e4llt alle Software, die auf einem solchen System l\u00e4uft oder laufen k\u00f6nnte, unter die CRA. Dies ist eine sehr weit gefasste Definition, die alle Android- und iOS-Anwendungssoftware abdeckt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Hintergr\u00fcnde hierf\u00fcr werden deutlich, wenn man die Sicherheitsaspekte der CRA in den Vordergrund stellt und sich einige historische M\u00f6glichkeiten ansieht, wie Angreifer in der Lage waren, Code aus der Ferne auszuf\u00fchren und letztendlich Zugang zu h\u00f6heren Systemprivilegien zu erlangen. &nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Beispiel hierf\u00fcr war die GDI+ JPEG-Schwachstelle in den Jahren 2004 und 2005 (MS04-028). Dabei handelte es sich um einen Heap-Puffer\u00fcberlauf in Microsofts Graphics Device Interface (gdiplus.dll).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Benutzer eine Website mit einer b\u00f6sartigen JPEG-Datei \u00f6ffnen, k\u00f6nnen Angreifer beliebigen Code mit Benutzerrechten ausf\u00fchren. Zum Beispiel einen Trojaner-Downloader, der dann Adware, Spyware und Backdoor-Zugriffs-Tools installieren w\u00fcrde. Au\u00dferdem wurden diese besch\u00e4digten JPEGs in Microsoft Word-Dokumente und Excel-Tabellen eingebettet und per E-Mail an Verteidigungsunternehmen, Regierungsbeh\u00f6rden und F\u00fchrungskr\u00e4fte von Unternehmen verschickt - eine Technik, die als Spearphishing bezeichnet wird. Nat\u00fcrlich mit b\u00f6ser Absicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein modernes \u00c4quivalent ist die 2023 aufgetretene WebP Heap-Puffer\u00fcberlauf-Schwachstelle, die in gro\u00dfem Umfang ausgenutzt wurde, um Spionageprogramme f\u00fcr hochrangige Ziele, Journalisten und Politiker, einzusetzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Softwarekomponenten wurden nicht f\u00fcr die direkte Interaktion mit dem Netzwerk entwickelt. Sie sind keine Webbrowser, E-Mail-Anwendungen oder VPN-Gateways. Da sie jedoch indirekt \u00fcber das Netzwerk zug\u00e4nglich sind, haben sie Auswirkungen auf die Sicherheit des gesamten Systems. Daher werden sie von der CRA reguliert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zusammenfassend l\u00e4sst sich sagen, dass die meisten Ger\u00e4te, die sich mit anderen Ger\u00e4ten verbinden - sei es in Form von Netzwerken oder anderen Verbindungen, Internetverbindungen, lokalen Verbindungen, Bluetooth oder NFC - unter die CRA fallen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Software, die auf solchen Ger\u00e4ten l\u00e4uft, f\u00e4llt ebenfalls direkt unter die CRA, wenn sie separat als Komponente verkauft wird. Dies ist zum Beispiel in App-Stores der Fall, und auch auf andere Weise werden Softwareprodukte auf dem Markt der Europ\u00e4ischen Union verf\u00fcgbar gemacht (\u201cauf dem Markt bereitgestellt\u201d).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Gleiche gilt f\u00fcr einzelne Hardwarekomponenten, die digitale Daten verarbeiten, \u00fcbertragen oder speichern. Zum Beispiel Sensoren, SoCs, Speicherkomponenten. Sie alle m\u00fcssen gem\u00e4\u00df der CRA zertifiziert werden, um CE-zertifizierbar zu sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Haben Sie Zweifel, ob die CRA auf Ihr Produkt zutrifft? Wir schauen uns gerne Ihr spezielles Produkt \/ Ihre Situation an und geben Ihnen eine erste vorl\u00e4ufige Einsch\u00e4tzung. <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Nehmen Sie hier Kontakt mit uns auf.<\/a><\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-fe48e5de wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Entdecken Sie unsere Dienstleistungen zur Einhaltung der CRA<\/a><\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Ausnahmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Lassen Sie uns zum Abschluss dieses Artikels noch einige Situationen untersuchen, in denen der CRA nicht gilt. Betrachten wir zun\u00e4chst die F\u00e4lle und Situationen, die nicht in den Anwendungsbereich des CRA fallen, und er\u00f6rtern dann die Ausnahmen, die der Gesetzestext des CRA separat definiert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Die CRA findet in den folgenden F\u00e4llen keine Anwendung:<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn es keine digitalen Elemente gibt - keine digitalen Daten, die verarbeitet, gespeichert oder \u00fcbertragen werden.\n<ul class=\"wp-block-list\">\n<li>Das w\u00e4re zum Beispiel bei analogen Armbanduhren der Fall.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>F\u00fcr den Fall, dass das Ger\u00e4t \/ die L\u00f6sung (noch) nicht auf dem EU-Markt erh\u00e4ltlich ist.<ul><li>Wenn die Hardware in der EU f\u00fcr den ausschlie\u00dflichen Verkauf au\u00dferhalb der EU hergestellt wird, ist keine CRA-Zertifizierung erforderlich.<\/li><\/ul><ul><li>Wenn es sich bei der Hardware um einen Prototyp handelt, der auf Ausstellungen gezeigt wird und deutlich als nicht CRA \/ CE zertifiziert gekennzeichnet ist<\/li><\/ul><ul><li>Wenn es sich bei der Software um eine zeitlich begrenzte Alphaversion handelt, die ausschlie\u00dflich dazu dient, Feedback von Benutzern zu erhalten. Au\u00dferdem muss ein sichtbares Zeichen darauf hinweisen, dass die Software nicht der CRA entspricht.<\/li><\/ul><ul><li>Wenn das Produkt f\u00fcr den Eigengebrauch hergestellt wird<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>(Open-Source-Software ist eine gemischte Sache - kontaktieren Sie uns f\u00fcr weitere Details)<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Falls es sich bei der L\u00f6sung um eine rein Cloud-basierte Software \/ SaaS-Software handelt (k\u00f6nnte jedoch unter NIS2 fallen), es sei denn, die Software wird vom selben Hersteller wie ein eigenst\u00e4ndiges Ger\u00e4t oder eine Software entwickelt und ihre Funktionalit\u00e4t ist f\u00fcr eine Funktion dieses Ger\u00e4ts unerl\u00e4sslich. (Denken Sie an eine Remote-API)<\/li>\n\n\n\n<li>Wenn es sich bei dem Ger\u00e4t um eine eigenst\u00e4ndige Hardware-L\u00f6sung handelt (die nat\u00fcrlich auch Firmware enthalten kann) und keine Verbindungen zu anderen Ger\u00e4ten oder Netzwerken hat.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Einige Beispiele f\u00fcr Letzteres:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Der oben erw\u00e4hnte Geschirrsp\u00fcler, ohne die M\u00f6glichkeit, eine Verbindung zu anderen Ger\u00e4ten oder Netzwerken herzustellen<\/li>\n\n\n\n<li>Ein einfacher Taschenrechner mit integrierter Firmware, der keine Verbindung zu anderen Ger\u00e4ten oder Netzwerken herstellen kann<\/li>\n\n\n\n<li>Ein elektronisches Spielzeug mit integrierter Firmware, das voraufgezeichnete Licht- und Soundeffekte abspielt, aber keine M\u00f6glichkeit bietet, eine Verbindung zu anderen Ger\u00e4ten oder Netzwerken herzustellen.<\/li>\n\n\n\n<li>Eine Kaffeemaschine mit integrierter Firmware, die \u00fcber ein Bedienfeld verf\u00fcgt, aber keine M\u00f6glichkeit bietet, sich mit anderen Ger\u00e4ten oder Netzwerken zu verbinden<\/li>\n\n\n\n<li>Eine elektrische Zahnb\u00fcrste mit einer kabellosen Ladestation, aber ohne die M\u00f6glichkeit, sich mit anderen Ger\u00e4ten oder Netzwerken zu verbinden.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn die Firmware f\u00fcr diese Ger\u00e4te separat auf den Markt gebracht wird, gilt die CRA wahrscheinlich auch f\u00fcr die Firmware. Die Firmware k\u00f6nnte auf einem Ger\u00e4t verwendet werden, das mit Netzwerken oder anderen Ger\u00e4ten verbunden ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Keine Besitzstandswahrung von Produkten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die CRA kennt kein Konzept des Grandfathering. Einzelne Einheiten von Produkten, die auf dem EU-Markt in Verkehr gebracht werden, m\u00fcssen alle Vorschriften erf\u00fcllen, die zum Zeitpunkt des Inverkehrbringens in der EU gelten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Somit gilt die CRA nicht f\u00fcr einzelne Einheiten von Ger\u00e4ten, die vor dem Stichtag des 11. Januar auf dem Unionsmarkt in Verkehr gebracht werden.<sup>th<\/sup> von Dezember 2027.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn ein Hersteller weiterhin Produkte eines bestimmten Typs am oder nach dem 11<sup>th<\/sup> ab Dezember 2027 m\u00fcssen sie mit der CRA konform sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sie m\u00fcssen vorsichtig sein, selbst bei Produkten, die vor dem Stichtag der 11<sup>th<\/sup> allerdings erst ab Dezember 2027! Wenn diese Ger\u00e4te wesentlich ver\u00e4ndert werden, zum Beispiel durch Firmware-Updates des Herstellers, die neue Funktionen freischalten, fallen sie anschlie\u00dfend unter die CRA. Auch wenn sie bereits verkauft worden sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Hersteller m\u00fcssen sich dessen bewusst sein und Software-Updates und ihre Produkte entsprechend planen. Deshalb empfehlen wir Ihnen, sich schon heute mit den CRA-Anforderungen vertraut zu machen und Ihre Hardware so vorzubereiten, dass sie die Anforderungen erf\u00fcllen kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Sprechen Sie mit uns und erfahren Sie mehr<\/a>, wie Sie sich vorbereiten k\u00f6nnen. Wir k\u00f6nnen Sie auch dabei unterst\u00fctzen, worauf Sie bei Software-Updates achten m\u00fcssen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die einzige Ausnahme hiervon ist: <strong>unver\u00e4nderte Ersatzteile<\/strong> auch nach Ablauf der Frist von 11 Jahren auf dem Markt erh\u00e4ltlich sein k\u00f6nnen.<sup>th<\/sup> von Dezember 2027. Siehe weiter unten f\u00fcr weitere Details.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Berichtspflichten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer wichtiger Punkt: Es gibt keine Ausnahmen f\u00fcr die Meldepflichten. Die Hersteller m\u00fcssen sie f\u00fcr alle Produkte erf\u00fcllen, die unter die CRA fallen (digitale Elemente, die in der EU bereitgestellt werden, Netzwerk-\/Ger\u00e4teverbindungen).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Selbst wenn diese Produkte vor Ablauf der Frist des 11<sup>th<\/sup> von Dezember 2027.&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Unsere Empfehlung:<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Um herauszufinden, ob das CRA auf Ihr Produkt anwendbar ist oder nicht, stellen Sie zun\u00e4chst fest, ob es eine M\u00f6glichkeit der Verbindung mit anderen Netzwerken oder Ger\u00e4ten hat. Wenn dies nicht der Fall ist, f\u00e4llt Ihr Produkt nicht unter das CRA. Falls doch, sollten Sie die anderen Punkte sorgf\u00e4ltig pr\u00fcfen. Bringen Sie oder Ihre Partner das Produkt gem\u00e4\u00df der Definition auf den EU-Markt? Enth\u00e4lt es digitale Elemente?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Sie k\u00f6nnen sich an uns wenden, wenn Sie Hilfe und Unterst\u00fctzung bei diesem Prozess ben\u00f6tigen.<\/a><\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-fe48e5de wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Entdecken Sie unsere Dienstleistungen zur Einhaltung der CRA<\/a><\/div>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">CRA Ausnahmen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ausnahmen von der CRA sind im \u00fcbrigen Artikel 2 (Anwendungsbereich) des CRA-Rechtstextes definiert. Produkte mit digitalen Elementen, die unter die folgenden Rechtsakte fallen, sind von der CRA-Verordnung ausgenommen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verordnung (EU) 2017\/745; (MDR - Medizinprodukteverordnung) - Medizinprodukte f\u00fcr den menschlichen Gebrauch, einschlie\u00dflich medizinischer Software und Zubeh\u00f6r.<\/li>\n\n\n\n<li>Verordnung (EU) 2017\/746; (IVDR - In-vitro-Diagnostika) - In-vitro-Diagnostika diagnostizieren Proben aus dem menschlichen K\u00f6rper, zum Beispiel Schwangerschaftstests, aber auch Instrumente und Software als zugeh\u00f6rige Komponenten.<\/li>\n\n\n\n<li>Verordnung (EU) 2019\/2144 (Typgenehmigungsanforderungen f\u00fcr Kraftfahrzeuge). - Fahrzeuge und ihre Systeme und Bauteile<\/li>\n\n\n\n<li>Verordnung (EU) Nr. 168\/2013 (Genehmigung und Markt\u00fcberwachung von zwei- oder dreir\u00e4drigen Kraftfahrzeugen und vierr\u00e4drigen Kraftfahrzeugen, mit Ausnahme von Fahrzeugen der Klasse L1e, die f\u00fcr Pedale ausgelegt sind)<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Weitere Ausnahmen:<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Produkte, die nach den folgenden Kriterien zertifiziert wurden <strong>Verordnung (EU) 2018\/1139<\/strong> (gemeinsame Vorschriften f\u00fcr die Zivilluftfahrt) sind ausgenommen. Diese Verordnung bezieht sich auf luftfahrttechnische Erzeugnisse, Teile und Ausr\u00fcstungen. Als Hintergrund hierf\u00fcr: Die Europ\u00e4ische Agentur f\u00fcr Flugsicherheit (EASA) hat ab 2020 Aspekte der Informationssicherheit in ihre Zertifizierungsvorschriften aufgenommen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die meisten Drohnen der offenen Kategorie - Freizeitdrohnen, kommerzielle Aktivit\u00e4ten mit geringem Risiko - fallen zwar in den Anwendungsbereich dieser Verordnung, sind jedoch nicht <strong>zertifiziert<\/strong> gem\u00e4\u00df dieser Verordnung. Daher k\u00f6nnen sie immer noch von der CRA erfasst werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Gleiche gilt f\u00fcr Komponenten, die in Produkte eingebaut werden, die nach dieser Verordnung zertifiziert sind, die aber selbst nicht nach dieser Verordnung zertifiziert sind. Diese Komponenten k\u00f6nnen von der CRA abgedeckt werden, wenn sie separat auf dem Markt angeboten werden. <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Kontaktieren Sie uns f\u00fcr Details.<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ebenfalls ausgenommen sind Ger\u00e4te, die in den Anwendungsbereich von <strong>Richtlinie 2014\/90\/EU<\/strong> (MED, Richtlinie \u00fcber Schiffsausr\u00fcstung f\u00fcr sicherere und weniger umweltsch\u00e4dliche Ausr\u00fcstung auf EU-Schiffen).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein wichtiger Unterschied: Diese Ausnahme gilt nicht automatisch, wenn der Zielmarkt \u201cBoote\u201d ist. Nur wenn die betreffende Ausr\u00fcstung das MED-Konformit\u00e4tszeichen f\u00fcr Schiffsr\u00e4der tr\u00e4gt, ist sie von der CRA ausgenommen. Dies ist in der Regel der Fall, wenn sie nach internationalen Seeverkehrsabkommen (SOLAS, MARPOL, COLREG usw.) vorgeschrieben und auf Schiffen installiert sind, die in den Anwendungsbereich der Richtlinie fallen. Andernfalls, zum Beispiel bei einem GPS-Tracker f\u00fcr eine Hobbyjacht, w\u00fcrde die CRA gelten. Ebenso wie in der Luftfahrt k\u00f6nnen auch Komponenten, die nicht direkt in den Anwendungsbereich der Richtlinie fallen, unter die CRA fallen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Produkte mit digitalen Elementen, die ausschlie\u00dflich entwickelt oder modifiziert wurden f\u00fcr <strong>nationale Sicherheit oder Verteidigungszwecke<\/strong>, oder Produkte, die speziell f\u00fcr <strong>Verschlusssachen verarbeiten<\/strong> sind ausgenommen. Diese Ausnahme gilt nicht f\u00fcr G\u00fcter mit \u201cdoppeltem Verwendungszweck\u201d, die auch zivile Zwecke haben, es sei denn, sie wurden ausschlie\u00dflich f\u00fcr Zwecke der nationalen Sicherheit\/Verteidigung ver\u00e4ndert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wie bereits erw\u00e4hnt, sind Ersatzteile ausgenommen, wenn sie auf dem Markt zur Verf\u00fcgung gestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und wenn sie nach denselben Spezifikationen hergestellt werden wie die Komponenten, die sie ersetzen sollen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Bestimmung \u00fcber die Ersatzteile soll es den Nutzern erm\u00f6glichen, die bereits auf dem Markt befindlichen Ger\u00e4te weiter zu verwenden, auch wenn sie nicht mehr CRA-konform w\u00e4ren, wenn sie sp\u00e4ter auf den Markt gebracht worden w\u00e4ren. Sie erm\u00f6glicht es, die Lebensdauer dieser alten Produkte zu verl\u00e4ngern.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Anmerkungen zu einigen besonderen regulatorischen Situationen und zus\u00e4tzlichen Gesetzen:<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Maschinenverordnung (MR, Verordnung (EU) 2023\/1230)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Maschinenverordnung gilt ab dem 20.<sup>th<\/sup> vom Januar 2027. Es handelt sich um eine Baugruppe aus miteinander verbundenen Teilen mit mindestens einem beweglichen Teil, die durch eine andere Quelle als den Menschen angetrieben wird und eine bestimmte Anwendung ausf\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Verordnung, die stark von KI, Robotik und Cybersicherheitsbedenken beeinflusst ist, deckt bereits einige Aspekte der Cybersicherheit ab. Maschinen, die unter diese Verordnung fallen, m\u00fcssen zus\u00e4tzlich die Anforderungen der CRA vollst\u00e4ndig erf\u00fcllen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Einhaltung der Cybersicherheitsanforderungen nur einer der Verordnungen kann nicht automatisch als vollst\u00e4ndige Erf\u00fcllung der Anforderungen der anderen Verordnung angesehen werden. Wenn au\u00dferdem KI-Sicherheitsfunktionen betroffen sind, k\u00f6nnen die Maschinen auch unter das KI-Gesetz fallen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">RED - Funkanlagenrichtlinie 2014\/53\/EU, Delegierte Verordnung (EU) 2022\/30 der Kommission<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ausgehend von der 1<sup>st<\/sup> vom August 2025, die Delegierte Verordnung RED, f\u00fcr bestimmte Funkanlagen, die am oder nach dem 1.<sup>st<\/sup> vom August 2025, enth\u00e4lt mehrere wesentliche Anforderungen zur Cybersicherheit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Um \u00dcberschneidungen mit der CRA zu vermeiden und Rechtssicherheit zu gew\u00e4hrleisten, ist geplant, diese Delegierte Verordnung (EU) 2022\/30 zur Cybersicherheit am 11. Juni aufzuheben.<sup>th<\/sup> Dezember 2027, sobald der Cyber Resilience Act vollst\u00e4ndig in Kraft tritt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/ec.europa.eu\/info\/law\/better-regulation\/have-your-say\/initiatives\/14766-Cybersecurity-repeal-of-Delegated-Regulation-supplementing-the-Radio-Equipment-Directive_en\">https:\/\/ec.europa.eu\/info\/law\/better-regulation\/have-your-say\/initiatives\/14766-Cybersecurity-repeal-of-Delegated-Regulation-supplementing-the-Radio-Equipment-Directive_en<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Unsere Dienstleistungen<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wir bieten <a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Unterst\u00fctzung bei der Einhaltung der CRA-Richtlinien<\/a>. Wir helfen Ihnen bei der Auswahl der Komponenten, bei der Bewertung des Risikos und entwickeln L\u00f6sungen f\u00fcr kritische Sicherheitsfragen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unsere Ingenieure k\u00f6nnen auch mit Ihnen zusammenarbeiten, um prompte Injektionsangriffe auf Ihre KI-Systeme zu verhindern, um die CRA zu erf\u00fcllen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Sprechen Sie uns an<\/a> um mehr \u00fcber das CRA zu erfahren und dar\u00fcber, wie Sie Produkte so gestalten k\u00f6nnen, dass sie mit dem CRA konform sind.<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-fe48e5de wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/pi3g.com\/de\/cra-contact\/\">Entdecken Sie unsere Dienstleistungen zur Einhaltung der CRA<\/a><\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Referenzen<\/strong>:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Europ\u00e4ische Kommission, <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cra-summary\">Zusammenfassung des Cyber Resilience Act<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=OJ:L_202402847\">Vollst\u00e4ndiger Gesetzestext des CRA (PDF, Englisch)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/library\/cyber-resilience-act-implementation-frequently-asked-questions\">FAQs zur Umsetzung der CRA<\/a><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Das CRA (Cyber Resilience Act), das am 11. Dezember 2027 vollst\u00e4ndig in Kraft tritt, hat einen sehr weitreichenden Anwendungsbereich. In diesem Artikel werden wir einige der wichtigsten Definitionen des CRA untersuchen, um zu verstehen, f\u00fcr welche Produkte es gilt. Hintergrund: Was soll mit der CRA erreicht werden? Bevor wir darauf eingehen, lassen Sie uns...<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[1060,403],"tags":[1065,1066,1061,1062,1063,1064],"class_list":["post-31739","post","type-post","status-publish","format-standard","hentry","category-cra-cyber-resilience-act","category-electronics-legislation","tag-ce","tag-ce-mark","tag-cra","tag-cra-deadline","tag-cra-scope","tag-hardware"],"_links":{"self":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/31739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/comments?post=31739"}],"version-history":[{"count":6,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/31739\/revisions"}],"predecessor-version":[{"id":31747,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/31739\/revisions\/31747"}],"wp:attachment":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/media?parent=31739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/categories?post=31739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/tags?post=31739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}