Für wen ist der CRA relevant und was sind Produkte mit digitalen Elementen?

Der CRA gilt für alle Produkte mit digitalen Elementen. Doch was sind solche Produkte mit digitalen Elementen und was zeichnet sie aus? Produkte mit digitalen Elementen sind Hard- oder Softwareprodukte mit Datenfernverarbeitungslösungen. Ob die Hard- und Softwarekomponenten dabei getrennt in den Verkehr gebracht werden ist dabei unerheblich. Auch reicht das vorhanden sein eines Hard- oder Softwareproduktes aus. Der Schwerpunkt der Verordnung liegt auf dem Erhöhen der Cybersicherheit, sodass Dritte entsprechende Schwachstellen nicht ausnutzen können. Das Vorherrschen einer Datenfernverarbeitungslösung ist daher eine notwendige Voraussetzung, damit das Produkt unter den CRA fällt. Die Datenfernverarbeitung muss für, von oder unter Verantwortung des Herstellers konzipiert worden sein. Ergänzend lässt sich festhalten: Der CRA betrifft ein Hard- oder Softwareprodukt, welches ohne diese Datenfernverarbeitung seine Funktion nicht erfüllen könnte.

Was sind Datenfernverarbeitungen?

Datenfernverarbeitung betreffen physische (kabelgebunden) Schnittstellen, als auch logische (wireless) Schnittstellen. Der CRA selbst nennt dabei verschiedene Beispiele, wie Netzwerksockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen oder andere Arten von Software-Schnittstellen. Insbesondere das Beispiel „Dateien“, weist darauf hin, dass auch simple Uploads vom CRA erfasst werden. Sollte das Produkt nicht in der zuvor genannten „kommunizieren“, ist es nicht vom CRA erfasst. Dabei ist jedoch unwichtig, ob der Nutzer es tatsächlich verwendet. Da die Verordnung auf den Schutz von Schwachstellen abzielt, reicht alleine das vorhanden sein einer solchen Datenfernverarbeitung aus.

Uneinig scheinen Experten vor allem in Bezug auf Einwegschnittstellen und bei Produkten zu sein, welche zwar über eine Datenfernverarbeitungslösung verfügen, diese jedoch nicht zur Erfüllung der Funktion benötigen. Ersteres ist vor allem der Fall, wenn Produkte Daten liefern, jedoch keine (Befehle) empfangen können. Zweiteres kann eintreten, Hersteller aufgrund von Kostengründen in Serienproduktionen entsprechende Lösungen verbauen, das Produkt aber nicht darauf angewiesen ist. Bei beidem gilt: Vorsicht ist besser als Nachsicht. Konsultieren Sie einen entsprechenden Experten. Klicken Sie hier, um Experten im Bereich der IT-Sicherheit in Ihrer Nähe zu finden.

Besonderheiten: Drittkomponenten und SaaS

Modulare Komponenten der Hard- und Software von Dritten, welche in das Produkt eingebaut wurden, sind ebenfalls regulär von der Verordnung erfasst.           
Für SaaS stellt sich die Verordnung ein wenig komplizierter dar. Cloud-Lösungen betitelt die Verordnung als betroffen, wenn bspw. dem Nutzer ermöglichen das Produkt aus der Ferne zu steuern. Bei Websites, welche nicht die Funktionalität des Produktes unterstützen und außerhalb der Verantwortung des Herstellers entworfen und entwickelt wurden gilt die Verordnung nicht. Hier ist jedoch weitere Vorsicht geboten, da diese unter NIS 2 fallen könnten. Erfahren Sie dazu mehr und klicken Sie hier.

Wen treffen die Pflichten?

Die damit verbundenen Pflichten treffen alle Wirtschaftsakteure. Explizit zu nennen sind Hersteller, Händler, Bevollmächtigte und Einführer/Importeure. Auch auf Verwalter von quelloffener Software und Verbraucher wirkt sich die Verordnung aus.  Eine Begrenzung nach Unternehmensgröße oder Umsatz gibt es dabei nicht, auch wenn Hilfen und Leitlinien für Kleinstunternehmen, KMU und Start-Ups angeboten werden sollen.             
Festzuhalten ist an dieser Stelle, dass sich die Pflichten nach dem Produkt, sowie die Wirtschaftsakteur richten. Bestimmte Ausnahmen, für Produkte können Akteure jedoch von diesen Pflichten entbinden. Klicken Sie dazu hier, um mehr zu erfahren.