Welche Produkte und Unternehmen fallen in den Anwendungsbereich des CRA?

Hersteller benötigen Klarheit darüber, ob ihre Produkte als „Produkte mit digitalen Elementen“ (Hardware oder Software) eingestuft werden und somit den Verpflichtungen des CRA unterliegen. Dabei stellen sich insbesondere Fragen zu eingebetteter Software, Firmware, einzelnen Komponenten oder späteren Updates.

Was gilt genau als Produkt mit digitalen Elementen?

• Ein Produkt mit digitalen Elementen (PDE) ist jedes Hardware- oder Softwareprodukt, das Software enthält und dafür vorgesehen ist, direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden zu werden. Dazu zählen unter anderem Industriemaschinen, eingebettete Systeme, Steuerungen, Gateways sowie zugehörige Software, die auf dem EU-Markt bereitgestellt wird.

Löst Firmware oder ein reines Softwareprodukt eine CRA-Compliance-Pflicht aus?

• Firmware gilt ausdrücklich als Software und fällt vollständig in den Anwendungsbereich des CRA. Auch reine Softwareprodukte (z. B. kommerzielle Software, eingebettete Software, Management- oder Steuerungssoftware) unterliegen den Anforderungen, sofern sie auf dem EU-Markt in Verkehr gebracht werden. Nicht-kommerzielle Open-Source-Software ist teilweise ausgenommen.

Unterliegen Produkte, die vor der Frist 2027 verkauft wurden, der vollständigen Compliance-Pflicht?

• Produkte, die vor dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht wurden, müssen nicht vollständig den CRA-Vorgaben entsprechen. Wesentliche Software- oder Firmware-Updates nach diesem Datum können jedoch neue CRA-Verpflichtungen auslösen, da das Produkt rechtlich als erneut in Verkehr gebracht gelten kann. Verpflichtungen zur Meldung von Schwachstellen und Sicherheitsvorfällen greifen bereits früher (ab 2026).