Brain-Media.de/Compliance-Lexikon/CRA Anwendungsbereich
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · CRA

CRA Anwendungsbereich

auch: Cyber Resilience Act Geltungsbereich

Der CRA-Anwendungsbereich definiert, welche Produkte dem Cyber Resilience Act unterliegen - nahezu alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, von IoT-Geraeten ueber Software bis zu industriellen Steuerungssystemen, mit verschaerften Anforderungen fuer kritische Produktkategorien.

Warum der CRA praktisch jeden Hersteller digitaler Produkte betrifft

Der Cyber Resilience Act erfasst ein extrem breites Spektrum: Smart-Home-Geraete, Industriesteuerungen, Software-as-a-Service, Firmware, Apps und nahezu jedes andere Produkt mit digitalen Elementen, das in der EU vermarktet wird. Die Uebergangsfristen laufen gestaffelt bis Ende 2027 - Hersteller muessen jetzt pruefen, ob und in welcher Risikokategorie ihre Produkte erfasst sind.

Wo der CRA-Anwendungsbereich relevant ist

FrameworkReferenzAnforderung
CRAArt. 2Anwendungsbereich: Produkte mit digitalen Elementen als zentraler Anknuepfungspunkt.
CRAAnhang IIIKritische Produktkategorien mit verschaerften Konformitaetsbewertungsanforderungen.
CRAArt. 3Begriffsbestimmungen: Praezise Definition von Produkten mit digitalen Elementen.
CE-KennzeichnungvollstaendigCRA-Konformitaet als Voraussetzung fuer die CE-Kennzeichnung betroffener Produkte.
Radio Equipment Directive2014/53/EUUeberschneidende Anforderungen fuer Funkausruestung als verwandtes EU-Regelwerk.

BAM-Objektreferenz

BAM-Objekt CRA-AS-01
BeschreibungCRA-Anwendungsbereichspruefung mit Einstufung als Hersteller eines Produkts mit digitalen Elementen
GitHubBAM Core →

Haeufige Fehler

  • Eigene Produkte nicht systematisch auf CRA-Erfassung geprueft
  • Kritische Produktkategorien (Anhang III) mit verschaerften Anforderungen uebersehen
  • Open-Source-Software faelschlich als generell ausgenommen betrachtet
  • Uebergangsfristen nicht in die Produktentwicklungsplanung integriert

Risikokategorien im CRA

Der CRA unterscheidet Standardprodukte (Selbstbewertung der Konformitaet), wichtige Produkte der Klasse I und II (z.B. Passwortmanager, Firewalls, VPN-Software mit erhoehten Anforderungen) und kritische Produkte (z.B. Smartcards, Hardware-Sicherheitsmodule mit verpflichtender Zertifizierung durch benannte Stellen). Die Einstufung bestimmt den Umfang der Konformitaetsbewertung und Dokumentationspflichten.

Naechster Schritt

Compliance-Stresstest starten

Kostenloser Stresstest zur CRA-Bereitschaft.

Verwandte Begriffe

Secure by DesignSBOMVulnerability Disclosure

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper