CRA-Insights

Cyber Resilience Act

Cyber Resilience Act und Medizintechnik: die Grenze der Betroffenheit

Cyber Resilience Act und Medizintechnik: die Grenze der Betroffenheit

Stand: 2026-07-18

Für Hersteller im Gesundheitsumfeld ist eine der ersten und folgenreichsten Fragen zum Cyber Resilience Act (Verordnung (EU) 2024/2847): Fällt mein Produkt überhaupt darunter? Der CRA nimmt Medizinprodukte ausdrücklich aus – aber die Ausnahme ist enger, als viele annehmen. Diese Seite ordnet die Grenze technisch-organisatorisch ein. Sie ist eine Orientierung, keine rechtsverbindliche Einordnung Ihres konkreten Produkts.

Der teuerste Irrtum zuerst: „Mein Produkt hat mit Gesundheit zu tun, also fällt es nicht unter den CRA" ist falsch. Ausgenommen sind ausschließlich Produkte, die als Medizinprodukt nach MDR (Verordnung (EU) 2017/745) oder als In-vitro-Diagnostikum nach IVDR (Verordnung (EU) 2017/746) gelten. Wellness- und Fitness-Software, allgemeine Gesundheits-Apps ohne medizinische Zweckbestimmung sowie Klinik-Verwaltungs- und Krankenhaus-IT sind in der Regel keine Medizinprodukte – und bleiben damit im Anwendungsbereich des CRA. Verlassen Sie sich hier nie auf das Bauchgefühl, sondern auf eine formale Einordnung.

Warum Medizinprodukte ausgenommen sind

Der CRA ist eine horizontale Cybersicherheitsverordnung für „Produkte mit digitalen Elementen" (PDE). Er nimmt Medizinprodukte über Art. 2(2)(a) (MDR) und In-vitro-Diagnostika über Art. 2(2)(b) (IVDR) aus. Der Grund ist Doppelregulierungsvermeidung: MDR und IVDR stellen bereits grundlegende Anforderungen an programmierbare Systeme, einschließlich Cybersicherheit – für die MDR etwa in Anhang I §17. Der EU-Gesetzgeber verlagert diese Produkte also nicht in einen „regelfreien Raum", sondern belässt sie in einem anderen, ebenfalls anspruchsvollen Regime.

Ausgenommen heißt nicht pflichtfrei. Wer unter MDR/IVDR fällt, ist vom CRA befreit – aber unverändert an die Cybersicherheitsanforderungen von MDR/IVDR gebunden. Die Frage lautet nicht „CRA oder nichts", sondern „CRA oder MDR/IVDR".

Ausgenommen vs. im Anwendungsbereich

Entscheidend ist die Zweckbestimmung des Produkts, nicht das Marktsegment. Die folgende Gegenüberstellung ist illustrativ und ersetzt keine regulatorische Klassifizierung:

Ausgenommen vom CRA (unter MDR/IVDR)Im Anwendungsbereich des CRA (kein Medizinprodukt)
Software mit medizinischer Zweckbestimmung nach MDR (z. B. Diagnose-, Therapie-, Befund-Software)Wellness-, Fitness- und Lifestyle-Software ohne medizinische Zweckbestimmung
In-vitro-Diagnostika und zugehörige Software nach IVDRAllgemeine Gesundheits-Apps, die kein Medizinprodukt sind
Programmierbare medizinische Geräte als Medizinprodukt in Verkehr gebrachtKrankenhaus- und Praxis-Verwaltungs-IT (Abrechnung, Terminplanung, Ressourcen)
Zubehör, das selbst als Medizinprodukt/IVD eingestuft istAllgemeine IT-Infrastruktur, Netzkomponenten, Wearables ohne medizinische Zweckbestimmung

Die rechte Spalte ist der Kern des Missverständnisses: Diese Produkte sind „gesundheitsnah", aber eben keine Medizinprodukte – und damit reguläre PDE unter dem CRA. Ob ein konkretes Produkt links oder rechts steht, ist eine Klassifizierungsfrage, die einzeln zu prüfen ist.

Entscheidungsstruktur für Ihr Produkt

1. Zweckbestimmung prüfen

Erfüllt das Produkt nach seiner Zweckbestimmung die Definition eines Medizinprodukts (MDR) bzw. eines In-vitro-Diagnostikums (IVDR)? Nur wenn ja, greift die Ausnahme nach Art. 2(2)(a)/(b). Diese Einstufung ist der eigentliche Dreh- und Angelpunkt.

2. Komponenten und Zubehör trennen

PDE-Betrachtung erfolgt produktbezogen (Art. 3(1)) und umfasst auch separat in Verkehr gebrachte Komponenten. Ein selbst nicht als Medizinprodukt eingestuftes Zubehör oder eine eigenständige Komponente kann ein eigener PDE im CRA-Anwendungsbereich sein – auch wenn das Hauptprodukt unter MDR fällt.

3. Integrierte Cloud/Backend würdigen

Integrale Datenfernverarbeitung (Art. 3(2)) – ein Backend, ohne das eine Produktfunktion nicht liefe – wird beim CRA als Teil des PDE betrachtet. Bei MDR/IVDR-Produkten ist entsprechend das dortige Regime maßgeblich. Die Zuordnung ist für jede Komponente sauber zu führen.

4. Gemischte Portfolios auflösen

Viele Anbieter haben ein Portfolio aus Medizinprodukten und Nicht-Medizinprodukten. Beides muss getrennt betrachtet werden: Ein Produkt kann unter MDR fallen, das nächste unter den CRA. Eine pauschale „wir sind Medizintechnik, also raus"-Annahme trägt nicht.

Warum die Grenze so leicht falsch gezogen wird

Die Fehleinschätzung entsteht meist aus zwei Verkürzungen. Erstens wird „gesundheitsbezogen" mit „Medizinprodukt" gleichgesetzt – rechtlich sind das getrennte Kategorien. Zweitens wird angenommen, MDR-Nähe befreie das gesamte Unternehmen; tatsächlich wird jedes Produkt für sich klassifiziert. Wer hier falsch abgrenzt, riskiert doppelt: entweder unnötigen CRA-Aufwand für ein echtes Medizinprodukt – oder, gravierender, ein tatsächlich CRA-pflichtiges Produkt ohne CE-Konformitätsbewertung nach dem CRA in Verkehr zu bringen.

Die allgemeine Anwendbarkeit des CRA – Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung – gilt ab dem 11. Dezember 2027. Wer im Grenzbereich Medizintechnik/IT tätig ist, sollte die Zuordnung deutlich früher belastbar klären, weil sich Konformitätspflichten, Dokumentation und Prozesse je nach Regime grundlegend unterscheiden. Ob überhaupt eine Betroffenheit besteht, lässt sich strukturiert über unsere Betroffenheitsprüfung einordnen; für die Einstufung CRA-pflichtiger Produkte helfen die CRA-Produktklassen weiter.

Unsere klare Empfehlung: Behandeln Sie die Frage „MDR/IVDR oder CRA?" als formale Klassifizierungsentscheidung, nicht als Bauchgefühl. Lassen Sie die Zweckbestimmung, Komponenten, Zubehör und integrierte Backends je Produkt sauber einordnen und dokumentieren. Die hier gegebene Orientierung ersetzt eine solche Einzelfallbestimmung nicht.

Häufige Fragen

Sind alle Gesundheits-Apps vom Cyber Resilience Act ausgenommen?+
Nein. Ausgenommen sind nur Produkte, die als Medizinprodukt nach MDR (Verordnung (EU) 2017/745) oder als In-vitro-Diagnostikum nach IVDR (Verordnung (EU) 2017/746) gelten – über Art. 2(2)(a) bzw. (b). Wellness-, Fitness- und allgemeine Gesundheits-Apps ohne medizinische Zweckbestimmung sind in der Regel keine Medizinprodukte und bleiben damit im CRA-Anwendungsbereich. Ob Ihr konkretes Produkt darunterfällt, ist eine Einzelfall-Klassifizierung. Dies ist technisch-organisatorische Orientierung, keine Rechtsberatung.
Was entscheidet, ob ein Produkt unter MDR/IVDR oder unter den CRA fällt?+
Maßgeblich ist die Zweckbestimmung, nicht das Marktsegment. Erfüllt das Produkt die Definition eines Medizinprodukts bzw. In-vitro-Diagnostikums, greift die CRA-Ausnahme nach Art. 2(2)(a)/(b). Andernfalls ist es ein regulärer PDE im CRA-Anwendungsbereich. Da die Einstufung folgenreich ist, empfehlen wir ausdrücklich eine formale Klassifizierung je Produkt statt einer Pauschalannahme.
Bedeutet die CRA-Ausnahme, dass Medizinprodukte keine Cybersicherheitspflichten haben?+
Nein. Die Ausnahme befreit vom CRA, nicht von Cybersicherheit. MDR und IVDR stellen bereits Cybersicherheitsanforderungen an programmierbare Systeme – bei der MDR etwa in Anhang I §17. Genau diese bestehende Regulierung ist der Grund für die CRA-Ausnahme (Vermeidung von Doppelregulierung). Es gilt also ein anderes Regime, nicht kein Regime.
Kann ein Teil meines Portfolios unter den CRA fallen und ein anderer unter die MDR?+
Ja, und das ist häufig. Jedes Produkt wird für sich klassifiziert. Ein als Medizinprodukt in Verkehr gebrachtes Produkt kann ausgenommen sein, während ein Zubehör, eine eigenständige Komponente oder ein Nicht-Medizinprodukt-Modul aus demselben Haus ein eigener PDE im CRA-Anwendungsbereich ist. Eine pauschale Portfolio-Annahme trägt nicht; die Zuordnung ist je Produkt und Komponente zu führen.
Ab wann muss die Abgrenzung geklärt sein?+
Die allgemeine Anwendbarkeit des CRA mit Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung gilt ab dem 11. Dezember 2027. Weil sich Konformitätspflichten, Dokumentation und Prozesse je nach Regime grundlegend unterscheiden, sollte die Zuordnung MDR/IVDR vs. CRA deutlich früher belastbar geklärt sein. Wir empfehlen, damit nicht bis kurz vor dem Stichtag zu warten – und die Einordnung formal dokumentieren zu lassen.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).