CRA-Glossar – die zentralen Begriffe des Cyber Resilience Act
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) bringt eine eigene Fachsprache mit – von „Produkt mit digitalen Elementen" über „Modul H" bis „Single Reporting Platform". Dieses Glossar erklärt die rund zwei Dutzend wichtigsten Begriffe kompakt und in alphabetischer Reihenfolge, jeweils mit Verweis auf den einschlägigen Artikel oder Anhang. Es handelt sich um allgemeine technisch-organisatorische Erläuterungen, nicht um Rechtsberatung; die Definitionen sind erklärend, nicht verbindlich.
Anhang I (grundlegende Anforderungen)
Anhang I ist das materielle Herzstück des CRA. Teil I listet die grundlegenden Cybersicherheitsanforderungen an das Produkt selbst (u. a. sichere Standardkonfiguration, Angriffsflächen-Minimierung, Schutz von Vertraulichkeit und Integrität). Teil II beschreibt die Anforderungen an die Schwachstellenbehandlung über den gesamten Support-Zeitraum. Verstöße gegen Anhang I liegen im höchsten Bußgeldrahmen (bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes, Art. 64).
Anhang III (wichtige Produkte, Klasse I/II)
Anhang III listet die „wichtigen" Produkte mit erhöhtem Risiko. Klasse I umfasst z. B. Passwortmanager, Browser, VPNs, Antimalware, Netzwerkmanagement, SIEM, Betriebssysteme sowie Router/Modems/Switches. Klasse II ist strenger und umfasst Hypervisoren und Container-Laufzeiten, Firewalls/IDS/IPS sowie manipulationssichere Mikroprozessoren. Details zur Einordnung finden Sie unter CRA-Produktklassen.
Anhang IV (kritische Produkte)
Anhang IV benennt die „kritischen" Produkte mit dem höchsten Risiko, etwa Hardware-Sicherheitsmodule (HSM), Smart-Meter-Gateways mit sicheren Kryptoprozessoren sowie Smartcards / Secure Elements. Für diese Kategorie kann die Kommission ein europäisches Cybersicherheitszertifizierungsschema (mindestens Stufe „substanziell") vorschreiben (Art. 32(4)). Die technischen Kategoriebeschreibungen liefert die Durchführungsverordnung (EU) 2025/2392.
Anhang VII (Technische Dokumentation)
Anhang VII definiert den Inhalt der technischen Dokumentation: Produktbeschreibung, Design-, Entwicklungs- und Produktionsprozesse, Schwachstellenbehandlung inkl. Architektur, SBOM und CVD-Policy, die auf Anhang I abgebildete Risikobewertung, Angaben zum Support-Zeitraum, angewandte Normen sowie eine Kopie der EU-Konformitätserklärung. Sie ist mindestens zehn Jahre bzw. für die Dauer des Support-Zeitraums aufzubewahren.
Benannte Stelle (Notified Body)
Eine benannte Stelle ist eine von einer Behörde notifizierte, unabhängige Konformitätsbewertungsstelle, die Prüfungen nach Modul B (EU-Baumusterprüfung) oder Modul H vornimmt. Sie ist nur für Produkte der Klasse II (Anhang III) und kritische Produkte (Anhang IV) zwingend – die überwiegende Mehrheit der Produkte bewertet sich selbst. Die Vorschriften zu benannten Stellen (Art. 35–51) gelten bereits ab dem 11. Juni 2026.
Bevollmächtigter (Authorised Representative)
Ein Bevollmächtigter (Art. 18) ist eine in der EU niedergelassene Person, die ein Hersteller per schriftlichem Mandat benennt. Er hält die EU-Konformitätserklärung und die technische Dokumentation für Behörden bereit und wirkt bei bestimmten Pflichten mit. Er kann jedoch die Kernpflichten des Herstellers nach Art. 13 (z. B. Konformitätsbewertung, Schwachstellenbehandlung) nicht übernehmen.
CE-Kennzeichnung
Die CE-Kennzeichnung (Art. 30) bringt der Hersteller an, um zu erklären, dass das Produkt die grundlegenden Anforderungen des CRA erfüllt. Sie darf erst nach erfolgreicher Konformitätsbewertung, Erstellung der technischen Dokumentation und Ausstellung der EU-Konformitätserklärung angebracht werden. Die CE-Pflicht wird mit der allgemeinen Anwendung des CRA am 11. Dezember 2027 wirksam.
Coordinated Vulnerability Disclosure (CVD)
Coordinated Vulnerability Disclosure ist ein geordneter Prozess, über den Sicherheitsforscher und Dritte Schwachstellen an den Hersteller melden können, bevor diese öffentlich werden. Der CRA macht eine CVD-Policy für Hersteller verbindlich (Anhang I Teil II); dazu gehört eine Kontaktadresse für Meldungen. Bereits behobene Schwachstellen werden öffentlich offengelegt, sobald ein Update verfügbar ist.
CSIRT
Ein CSIRT (Computer Security Incident Response Team) ist die von jedem Mitgliedstaat nach NIS2 benannte behördliche Reaktionsstelle. Im CRA fungiert das koordinierende CSIRT als Empfänger der Herstellermeldungen nach Art. 14 – gemeinsam mit der ENISA über die Single Reporting Platform. Der jeweils koordinierende CSIRT wird nach Art. 15 bestimmt.
Datenfernverarbeitung (remote data processing)
Datenfernverarbeitung (Art. 3(2)) meint Cloud- oder Backend-Lösungen, deren Fehlen eine Produktfunktion ausfallen ließe und die vom Hersteller oder unter seiner Verantwortung bereitgestellt werden. Solche integralen Fernverarbeitungslösungen sind als Teil des Produkts mit digitalen Elementen im Anwendungsbereich des CRA. Reine, eigenständige SaaS-Angebote sind dagegen in der Regel nicht erfasst (siehe NIS2).
ENISA Single Reporting Platform
Die Single Reporting Platform (Art. 16) ist die zentrale, von der ENISA betriebene Plattform, über die Hersteller ihre Meldungen nach Art. 14 einreichen. Sie leitet Frühwarnungen, Benachrichtigungen und Abschlussberichte an das koordinierende CSIRT weiter. Die Plattform soll bis zum 11. September 2026 operativ nutzbar sein – zeitgleich mit dem Beginn der Meldepflichten.
EU-Konformitätserklärung
Die EU-Konformitätserklärung (Art. 28, Anhang V) ist das Dokument, in dem der Hersteller in alleiniger Verantwortung erklärt, dass das Produkt die grundlegenden Anforderungen erfüllt. Sie nennt u. a. Produktidentifikation, Hersteller bzw. Bevollmächtigten, angewandte Normen und – soweit einschlägig – die benannte Stelle mit Verfahren und Zertifikat. Sie ist gemeinsam mit der technischen Dokumentation aufzubewahren.
Harmonisierte Normen
Harmonisierte Normen sind auf Mandat der Kommission erstellte europäische Normen, deren vollständige Anwendung eine Konformitätsvermutung für die abgedeckten Anforderungen begründet. Werden sie (oder gemeinsame Spezifikationen bzw. ein Zertifizierungsschema) für ein Klasse-I-Produkt vollständig angewandt, genügt die Selbstbewertung nach Modul A (Art. 32(2)). Fehlen sie, ist bei Klasse I eine Drittprüfung erforderlich.
Händler (Distributor)
Ein Händler (Art. 20) stellt ein Produkt auf dem Markt bereit, ohne Hersteller oder Importeur zu sein. Er handelt mit gebührender Sorgfalt, prüft insbesondere das Vorhandensein der CE-Kennzeichnung und dass Hersteller bzw. Importeur ihre Pflichten erfüllt haben. Er darf nicht-konforme Produkte nicht bereitstellen, leitet Korrekturmaßnahmen ein und informiert die Beteiligten.
Hersteller (Manufacturer)
Der Hersteller (Art. 13) trägt die Hauptlast der CRA-Pflichten: Erfüllung von Anhang I Teil I, Schwachstellenbehandlung nach Teil II, Risikobewertung, technische Dokumentation (Anhang VII), Konformitätsbewertung (Art. 32), EU-Konformitätserklärung (Art. 28), CE-Kennzeichnung (Art. 30) und Meldungen (Art. 14). Der Support-Zeitraum muss mindestens fünf Jahre betragen (oder die kürzere erwartete Nutzungsdauer).
Importeur (Importer)
Ein Importeur (Art. 19) bringt Produkte aus einem Drittland in der EU in Verkehr. Er darf nur konforme Produkte in Verkehr bringen und prüft, dass die Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt und die CE-Kennzeichnung angebracht wurde. Er führt selbst keine Konformitätsbewertung durch, informiert aber Hersteller über Schwachstellen und Behörden über erhebliche Risiken.
Konformitätsbewertung
Die Konformitätsbewertung (Art. 32, Anhang VIII) ist das Verfahren, mit dem nachgewiesen wird, dass ein Produkt die grundlegenden Anforderungen erfüllt. Der zulässige Weg hängt von der Produktklasse ab: Standardprodukte bewerten sich selbst (Modul A), Klasse-II- und kritische Produkte erfordern stets eine Drittprüfung. Ob Ihr Produkt betroffen ist, lässt sich über die Betroffenheitsprüfung einordnen.
Marktüberwachung
Die Marktüberwachung liegt bei den von den Mitgliedstaaten benannten Behörden, die die Einhaltung des CRA prüfen und durchsetzen. Sie können technische Dokumentation und SBOM auf begründetes Ersuchen anfordern, Korrekturmaßnahmen verlangen und nicht-konforme Produkte vom Markt nehmen. Falsche, unvollständige oder irreführende Angaben gegenüber Marktüberwachungsbehörden können mit bis zu 5 Mio. € oder 1 % geahndet werden (Art. 64).
Meldepflicht (Art. 14)
Nach Art. 14 muss der Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an das koordinierende CSIRT und die ENISA melden. Die Fristen sind gestaffelt: Frühwarnung binnen 24 Stunden, Benachrichtigung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Korrektur (Schwachstelle) bzw. binnen eines Monats nach der Benachrichtigung (Vorfall). Die Meldepflichten gelten ab dem 11. September 2026.
Module A / B+C / H
Die Module bezeichnen die verschiedenen Verfahren der Konformitätsbewertung. Modul A ist die interne Selbstbewertung ohne benannte Stelle. Modul B (EU-Baumusterprüfung durch eine benannte Stelle) wird mit Modul C (Konformität mit der Bauart) kombiniert; Modul H bewertet das gesamte Qualitätssicherungssystem. Klasse-II- und kritische Produkte müssen stets B+C oder H (bzw. ein Zertifizierungsschema) durchlaufen.
NIS2 (Abgrenzung)
NIS2 (Richtlinie (EU) 2022/2555) reguliert die Cybersicherheit von Betreibern und Diensten, nicht von Produkten. Der CRA und NIS2 sind komplementär: Eigenständige SaaS- bzw. reine Cloud-Dienste fallen in der Regel nicht unter den CRA, sondern unter NIS2. Eine Fernverarbeitung ist nur dann vom CRA erfasst, wenn sie integraler Bestandteil eines Produkts mit digitalen Elementen ist.
Open-Source-Steward
Ein Open-Source-Steward (Art. 24, Definition Art. 3(14)) ist eine juristische Person, die die Entwicklung freier und quelloffener Produkte mit digitalen Elementen systematisch und mit Blick auf kommerzielle Tätigkeit unterstützt, selbst aber kein Hersteller ist. Es gilt ein Light-Touch-Regime: dokumentierte Cybersicherheitsstrategie, Zusammenarbeit mit Behörden und ein begrenzter Ausschnitt der Meldepflichten. Steward-Pflichten lösen keine CE-Kennzeichnung und keine Bußgelder aus.
Produkt mit digitalen Elementen (PDE)
Ein Produkt mit digitalen Elementen (Art. 3(1)) ist ein Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen sowie separat in Verkehr gebrachter Komponenten. Auslöser für die Anwendung ist eine direkte oder indirekte logische bzw. physische Datenverbindung zu einem Gerät oder Netz (Art. 2(1)). Der PDE ist der zentrale Anknüpfungspunkt des gesamten CRA.
SBOM (Software Bill of Materials)
Eine SBOM ist ein maschinenlesbares Verzeichnis der Softwarebestandteile eines Produkts. Anhang I Teil II verlangt eine SBOM in einem gängigen, maschinenlesbaren Format, das mindestens die Top-Level-Abhängigkeiten abdeckt. Die Verordnung schreibt kein konkretes Format vor; anerkannte Formate wie CycloneDX, SPDX oder SWID erfüllen die Anforderung. Die SBOM ist ein Nachweis für Behörden auf begründetes Ersuchen, keine Pflicht zur öffentlichen Veröffentlichung.
Schwachstellenbehandlung (Anhang I Teil II)
Die Schwachstellenbehandlung umfasst die Pflichten über den gesamten Support-Zeitraum: Schwachstellen und Komponenten identifizieren und dokumentieren (inkl. SBOM), ohne Verzögerung durch Sicherheitsupdates beheben, regelmäßig testen, behobene Schwachstellen offenlegen und eine CVD-Policy durchsetzen. Sicherheitsupdates sind unverzüglich und kostenlos bereitzustellen und – soweit machbar – von Funktionsupdates zu trennen.
Support-Zeitraum
Der Support-Zeitraum ist die Zeitspanne, in der der Hersteller Schwachstellen behandeln und Sicherheitsupdates bereitstellen muss. Er beträgt mindestens fünf Jahre, sofern die erwartete Nutzungsdauer nicht kürzer ist. Technische Dokumentation und EU-Konformitätserklärung sind mindestens zehn Jahre bzw. für die Dauer des Support-Zeitraums aufzubewahren – je nachdem, was länger ist.
Technische Dokumentation
Die technische Dokumentation ist der schriftliche Nachweis der Konformität und folgt inhaltlich Anhang VII (siehe eigener Eintrag oben). Sie bildet die Grundlage für Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung. Marktüberwachungsbehörden können sie auf begründetes Ersuchen anfordern.
Sprechen wir über Ihre CRA-Readiness
Unsicher, welche CRA-Begriffe für Ihr Produkt zählen? Blackfort Technology ordnet Ihre Produkte in die richtige Klasse ein und leitet den passenden Konformitätsweg ab – prüfen Sie Ihre Betroffenheit oder sprechen Sie uns an.
Erstgespräch anfragen Betroffenheit prüfen