
Stand: 2026-07-18
Für Hersteller im Gesundheitsumfeld ist eine der ersten und folgenreichsten Fragen zum Cyber Resilience Act (Verordnung (EU) 2024/2847): Fällt mein Produkt überhaupt darunter? Der CRA nimmt Medizinprodukte ausdrücklich aus – aber die Ausnahme ist enger, als viele annehmen. Diese Seite ordnet die Grenze technisch-organisatorisch ein. Sie ist eine Orientierung, keine rechtsverbindliche Einordnung Ihres konkreten Produkts.
Warum Medizinprodukte ausgenommen sind
Der CRA ist eine horizontale Cybersicherheitsverordnung für „Produkte mit digitalen Elementen" (PDE). Er nimmt Medizinprodukte über Art. 2(2)(a) (MDR) und In-vitro-Diagnostika über Art. 2(2)(b) (IVDR) aus. Der Grund ist Doppelregulierungsvermeidung: MDR und IVDR stellen bereits grundlegende Anforderungen an programmierbare Systeme, einschließlich Cybersicherheit – für die MDR etwa in Anhang I §17. Der EU-Gesetzgeber verlagert diese Produkte also nicht in einen „regelfreien Raum", sondern belässt sie in einem anderen, ebenfalls anspruchsvollen Regime.
Ausgenommen vs. im Anwendungsbereich
Entscheidend ist die Zweckbestimmung des Produkts, nicht das Marktsegment. Die folgende Gegenüberstellung ist illustrativ und ersetzt keine regulatorische Klassifizierung:
| Ausgenommen vom CRA (unter MDR/IVDR) | Im Anwendungsbereich des CRA (kein Medizinprodukt) |
|---|---|
| Software mit medizinischer Zweckbestimmung nach MDR (z. B. Diagnose-, Therapie-, Befund-Software) | Wellness-, Fitness- und Lifestyle-Software ohne medizinische Zweckbestimmung |
| In-vitro-Diagnostika und zugehörige Software nach IVDR | Allgemeine Gesundheits-Apps, die kein Medizinprodukt sind |
| Programmierbare medizinische Geräte als Medizinprodukt in Verkehr gebracht | Krankenhaus- und Praxis-Verwaltungs-IT (Abrechnung, Terminplanung, Ressourcen) |
| Zubehör, das selbst als Medizinprodukt/IVD eingestuft ist | Allgemeine IT-Infrastruktur, Netzkomponenten, Wearables ohne medizinische Zweckbestimmung |
Die rechte Spalte ist der Kern des Missverständnisses: Diese Produkte sind „gesundheitsnah", aber eben keine Medizinprodukte – und damit reguläre PDE unter dem CRA. Ob ein konkretes Produkt links oder rechts steht, ist eine Klassifizierungsfrage, die einzeln zu prüfen ist.
Entscheidungsstruktur für Ihr Produkt
1. Zweckbestimmung prüfen
Erfüllt das Produkt nach seiner Zweckbestimmung die Definition eines Medizinprodukts (MDR) bzw. eines In-vitro-Diagnostikums (IVDR)? Nur wenn ja, greift die Ausnahme nach Art. 2(2)(a)/(b). Diese Einstufung ist der eigentliche Dreh- und Angelpunkt.
2. Komponenten und Zubehör trennen
PDE-Betrachtung erfolgt produktbezogen (Art. 3(1)) und umfasst auch separat in Verkehr gebrachte Komponenten. Ein selbst nicht als Medizinprodukt eingestuftes Zubehör oder eine eigenständige Komponente kann ein eigener PDE im CRA-Anwendungsbereich sein – auch wenn das Hauptprodukt unter MDR fällt.
3. Integrierte Cloud/Backend würdigen
Integrale Datenfernverarbeitung (Art. 3(2)) – ein Backend, ohne das eine Produktfunktion nicht liefe – wird beim CRA als Teil des PDE betrachtet. Bei MDR/IVDR-Produkten ist entsprechend das dortige Regime maßgeblich. Die Zuordnung ist für jede Komponente sauber zu führen.
4. Gemischte Portfolios auflösen
Viele Anbieter haben ein Portfolio aus Medizinprodukten und Nicht-Medizinprodukten. Beides muss getrennt betrachtet werden: Ein Produkt kann unter MDR fallen, das nächste unter den CRA. Eine pauschale „wir sind Medizintechnik, also raus"-Annahme trägt nicht.
Warum die Grenze so leicht falsch gezogen wird
Die Fehleinschätzung entsteht meist aus zwei Verkürzungen. Erstens wird „gesundheitsbezogen" mit „Medizinprodukt" gleichgesetzt – rechtlich sind das getrennte Kategorien. Zweitens wird angenommen, MDR-Nähe befreie das gesamte Unternehmen; tatsächlich wird jedes Produkt für sich klassifiziert. Wer hier falsch abgrenzt, riskiert doppelt: entweder unnötigen CRA-Aufwand für ein echtes Medizinprodukt – oder, gravierender, ein tatsächlich CRA-pflichtiges Produkt ohne CE-Konformitätsbewertung nach dem CRA in Verkehr zu bringen.
Die allgemeine Anwendbarkeit des CRA – Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung – gilt ab dem 11. Dezember 2027. Wer im Grenzbereich Medizintechnik/IT tätig ist, sollte die Zuordnung deutlich früher belastbar klären, weil sich Konformitätspflichten, Dokumentation und Prozesse je nach Regime grundlegend unterscheiden. Ob überhaupt eine Betroffenheit besteht, lässt sich strukturiert über unsere Betroffenheitsprüfung einordnen; für die Einstufung CRA-pflichtiger Produkte helfen die CRA-Produktklassen weiter.
Häufige Fragen
Sind alle Gesundheits-Apps vom Cyber Resilience Act ausgenommen?+
Was entscheidet, ob ein Produkt unter MDR/IVDR oder unter den CRA fällt?+
Bedeutet die CRA-Ausnahme, dass Medizinprodukte keine Cybersicherheitspflichten haben?+
Kann ein Teil meines Portfolios unter den CRA fallen und ein anderer unter die MDR?+
Ab wann muss die Abgrenzung geklärt sein?+
Quellen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
- https://digital-strategy.ec.europa.eu/en/policies/cra-summary
- https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
- https://eur-lex.europa.eu/eli/reg/2017/745/oj
- https://eur-lex.europa.eu/eli/reg/2017/746/oj
- https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).