Gilt der Cyber Resilience Act für mein Produkt?

Der CRA gilt für Produkte mit digitalen Elementen — Hard- oder Software, deren Verwendung eine direkte oder indirekte Datenverbindung umfasst — die im Rahmen einer Geschäftstätigkeit auf dem EU-Markt bereitgestellt werden. Die meisten sind 'Standard'-Produkte mit Selbstbewertung; 'wichtige' (Anhang III Klasse I/II) und 'kritische' (Anhang IV) Produkte unterliegen strengeren Konformitätswegen. Diese Prüfung geht die Logik von Artikel 2 und der Anhänge III/IV durch.

Ist der CRA eine Richtlinie, die mein Land noch umsetzen muss?

Nein. Der CRA ist eine Verordnung und gilt unmittelbar in der gesamten EU ohne nationale Umsetzung. Er trat im Dezember 2024 in Kraft; die Meldepflichten nach Artikel 14 gelten ab 11. September 2026 und die Hauptpflichten ab 11. Dezember 2027.

Wir liefern Open-Source-Software — sind wir ausgenommen?

Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit bereitgestellt wird, wird gesondert behandelt und liegt weitgehend außerhalb der Herstellerpflichten des CRA. Sobald Open-Source-Software monetarisiert oder in ein kommerzielles Produkt integriert wird, greifen CRA-Pflichten. Für bestimmte Akteure gibt es ein leichteres 'Open-Source-Verwalter'-Regime.

Was ist der Unterschied zwischen Standard, wichtig und kritisch?

Standardprodukte mit digitalen Elementen nutzen die Selbstbewertung des Anbieters. Wichtige Produkte (Anhang III) — Klasse I (z. B. Passwortmanager, VPNs) und die risikoreichere Klasse II (z. B. Firewalls, IDS/IPS) — unterliegen strengeren Konformitätswegen. Kritische Produkte (Anhang IV) können zusätzlich ein verpflichtendes europäisches Cybersicherheits-Zertifizierungsschema erfordern.

Speichern Sie meine Antworten?

Nein. Die Einstufung läuft vollständig in Ihrem Browser. Es gibt kein Formular vor dem Tool, und wir erfassen oder speichern Ihre Eingaben nicht.

Kostenloses Tool

Cyber Resilience Act — Betroffenheitsprüfung

Prüfen Sie in rund einer Minute, ob der EU Cyber Resilience Act (CRA) für Ihr Produkt mit digitalen Elementen gilt — und ob es Standard, wichtig (Klasse I/II) oder kritisch ist.

Die Einstufung folgt der Verordnung (EU) 2024/2847 (CRA): Art. 2/3 Anwendungsbereich & Ausnahmen, Anhang III (wichtig, Klasse I/II) und Anhang IV (kritisch). Sie ist eine Verordnung (keine nationale Umsetzung); die Vorschriften zu notifizierten Stellen gelten ab 11. Juni 2026, die Meldepflichten nach Artikel 14 ab 11. September 2026, die Hauptpflichten ab 11. Dezember 2027. Die Kategorien der Anhänge III/IV sind durch den CRA und die technischen Beschreibungen der Kommission festgelegt; andere Unionssektorvorschriften können den CRA per delegiertem Rechtsakt weiter einschränken oder ausschließen (Art. 2 Abs. 5). Dies ist ein strukturierter Ausgangspunkt, keine Rechtsberatung.

Häufige Fragen

Gilt der Cyber Resilience Act für mein Produkt?: Der CRA gilt für Produkte mit digitalen Elementen — Hard- oder Software, deren Verwendung eine direkte oder indirekte Datenverbindung umfasst — die im Rahmen einer Geschäftstätigkeit auf dem EU-Markt bereitgestellt werden. Die meisten sind 'Standard'-Produkte mit Selbstbewertung; 'wichtige' (Anhang III Klasse I/II) und 'kritische' (Anhang IV) Produkte unterliegen strengeren Konformitätswegen. Diese Prüfung geht die Logik von Artikel 2 und der Anhänge III/IV durch.
Ist der CRA eine Richtlinie, die mein Land noch umsetzen muss?: Nein. Der CRA ist eine Verordnung und gilt unmittelbar in der gesamten EU ohne nationale Umsetzung. Er trat im Dezember 2024 in Kraft; die Meldepflichten nach Artikel 14 gelten ab 11. September 2026 und die Hauptpflichten ab 11. Dezember 2027.
Wir liefern Open-Source-Software — sind wir ausgenommen?: Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit bereitgestellt wird, wird gesondert behandelt und liegt weitgehend außerhalb der Herstellerpflichten des CRA. Sobald Open-Source-Software monetarisiert oder in ein kommerzielles Produkt integriert wird, greifen CRA-Pflichten. Für bestimmte Akteure gibt es ein leichteres 'Open-Source-Verwalter'-Regime.
Was ist der Unterschied zwischen Standard, wichtig und kritisch?: Standardprodukte mit digitalen Elementen nutzen die Selbstbewertung des Anbieters. Wichtige Produkte (Anhang III) — Klasse I (z. B. Passwortmanager, VPNs) und die risikoreichere Klasse II (z. B. Firewalls, IDS/IPS) — unterliegen strengeren Konformitätswegen. Kritische Produkte (Anhang IV) können zusätzlich ein verpflichtendes europäisches Cybersicherheits-Zertifizierungsschema erfordern.
Ist dies eine Rechtsberatung?: Nein. Es ist ein kostenloser, strukturierter Ausgangspunkt auf Basis des Verordnungstexts und Ihrer Angaben. Ob ein Produkt in Anhang III oder IV fällt, ist durch den CRA und die technischen Beschreibungen der Kommission festgelegt, und die Pflichten hängen von Ihrer Rolle ab. Bestätigen Sie das Ergebnis mit Ihrer zuständigen Behörde oder Rechtsberatung.
Speichern Sie meine Antworten?: Nein. Die Einstufung läuft vollständig in Ihrem Browser. Es gibt kein Formular vor dem Tool, und wir erfassen oder speichern Ihre Eingaben nicht.

Von ISMS Copilot. Die Einstufung folgt der Verordnung (EU) 2024/2847 (CRA): Art. 2/3 Anwendungsbereich & Ausnahmen, Anhang III (wichtig, Klasse I/II) und Anhang IV (kritisch). Sie ist eine Verordnung (keine nationale Umsetzung); die Vorschriften zu notifizierten Stellen gelten ab 11. Juni 2026, die Meldepflichten nach Artikel 14 ab 11. September 2026, die Hauptpflichten ab 11. Dezember 2027. Die Kategorien der Anhänge III/IV sind durch den CRA und die technischen Beschreibungen der Kommission festgelegt; andere Unionssektorvorschriften können den CRA per delegiertem Rechtsakt weiter einschränken oder ausschließen (Art. 2 Abs. 5). Dies ist ein strukturierter Ausgangspunkt, keine Rechtsberatung.

Bereit, Ihre Compliance-Arbeit zu optimieren?

Entwickelt für Geschwindigkeit, Genauigkeit und prüfungsreife Ergebnisse.

ISMS Copilot 2.0 testen