CRA

CRA und bestehende Produkte

Wann fallen bestehende Produkte unter den CRA? Wir erklären wesentliche Änderungen, Komponentenwechsel, Ersatzteile im CRA.

Anika Görtz
Mai 21, 2026

Wann bestehende Produkte unter den Cyber Resilience Act fallen können

Viele Hersteller beschäftigen sich aktuell mit der Aufgabe, wie neue Produkte unter dem Cyber Resilience Act entwickelt werden müssen. Weniger klar ist dagegen häufig der Umgang mit bestehenden Produkten.

Dabei entstehen genau hier aktuell viele Fragen:

    • Was passiert mit Produkten, die bereits auf dem Markt sind und gelten die Anforderungen des CRA auch für bestehende Systeme?
    • Was passiert bei Änderungen an Produkten?
    • Wann entsteht eine „wesentliche Änderung“?
    • Welche Pflichten gelten bereits vor 2027?

Und genau diese Fragen werden wir im Folgenden beantworten.

Bestehende Produkte sind nicht automatisch betroffen

Der Cyber Resilience Act wird ab dem 11. Dezember 2027 vollständig anwendbar.

Produkte, die bereits vorher auf dem Markt bereitgestellt wurden, fallen zunächst nicht automatisch unter die vollständigen Anforderungen des CRA. Entscheidend ist jedoch, ob später Änderungen am Produkt vorgenommen werden.

Denn genau an dieser Stelle wird das Thema relevant: Der CRA definiert sogenannte „wesentliche Änderungen“. Sobald eine solche Änderung erfolgt, kann ein bestehendes Produkt erneut in den Anwendungsbereich der Verordnung fallen.

Wann Änderungen an bestehenden Produkten relevant werden oder als „wesentlich“ gelten

Der CRA betrachtet nicht nur die ursprüngliche Entwicklung eines Produkts, sondern auch spätere Änderungen nach der Bereitstellung auf dem Markt.

Relevant werden dabei insbesondere Änderungen, die Auswirkungen auf die Cybersicherheit oder auf den bestimmungsgemäßen Zweck eines Produkts haben können.

Dazu gehören beispielsweise:

    • neue Softwarefunktionen
    • zusätzliche Schnittstellen
    • Änderungen an Kommunikationsmöglichkeiten
    • neue Eingabefelder
    • Änderungen an Komponenten
    • Austausch von Komponenten
    • Erweiterungen bestehender Systeme
    • Änderungen an Softwareständen
    • Änderungen der Betriebsumgebung

Gerade Änderungen an Schnittstellen, Kommunikationswegen oder Komponenten können Auswirkungen auf die Security-Risiken eines Produkts haben und eine erneute Bewertung erforderlich machen. Auch hier wird das Thema der CRA-Timeline wieder wichtig, denn auch wenn bestehende Produkte erst einmal nicht betroffen sind, sollten sich Unternehmen frühzeitig mit den Anforderungen des CRAs auseinander setzen, da eine Änderung am Produkt schneller erfolgen kann als gedacht.

Ersatzteile sind nicht automatisch ausgenommen

Wie sieht es mit Ersatzteilen aus? Der CRA enthält zwar Ausnahmen für bestimmte Ersatzteile, jedoch gelten diese nur unter klar definierten Bedingungen. Die Komponenten müssen:

    • identisch sein
    • nach denselben Spezifikationen hergestellt werden
    • ausschließlich als Ersatz bestehender Komponenten dienen

Ändern sich dagegen Spezifikationen oder technische Eigenschaften, kann diese Ausnahme entfallen und dadurch auch Ersatzteile erneut relevant für den CRA werden.

Änderungen können auch die Rolle im CRA verändern

Der Cyber Resilience Act unterscheidet zwischen verschiedenen Rollen innerhalb der Lieferkette.

Dazu gehören insbesondere:

    • Hersteller
    • Importeure
    • Händler

Mit den jeweiligen Rollen sind unterschiedliche Pflichten verbunden.

Besonders umfangreich sind die Anforderungen für Hersteller. Dazu gehören unter anderem:

    • Risikoanalyse
    • Schwachstellenmanagement
    • technische Dokumentation
    • Konformitätsbewertung
    • CE-Kennzeichnung
    • Meldepflichten
Hersteller
Händler
Einführer / Importer

Risikoanalyse

Ganzheitliche Risikoanalyse, Maßnahmenplanung zur Erhöhung der Sicherheit

Prüfpflichten

Hat der Hersteller:Die CE-Kennzeichnung angebracht?Die EU-Konformitätserklärung beigelegt?Die Nutzerinformationen beigelegt?Die Produkt-Identifikation angebracht?Die Herstellerangaben angebracht?Den Unterstützungszeitraum klar kommuniziert?

Kennzeichnungspflichten des Einführers

 

Umsetzung

Security-by-Default, Vulnerability Management-Prozess inkl. SBOM​, Update-Prozess​, Umsetzung der Security-Anforderungen, Integration von Security in den Entwicklungsprozess

Informationspflichten

    • Erhebliches Cybersicherheitsrisiko = Marktüberwachungsbehörden​
    • Betriebseinstellung des Herstellers = Marktüberwachungsbehörden​
    • Schwachstellen = Hersteller

Prüf- und Sicherstellungspflichten

Hat der Hersteller: Erfolgreich ein Konformitätsbewertungsverfahren durchgeführt?​ Die technische Dokumentation erstellt?​ Die CE-Kennzeichnung angebracht?​ Die EU-Konformitätserklärung beigelegt?​ Die Nutzerinformationen beigelegt?​ Die Produkt-Identifikation angebracht?​ Die Herstellerangaben angebracht? Den Unterstützungszeitraum klar kommuniziert?​

CE-Kennzeichnung & Dokumentation

Erstellung der notwendigen Dokumentation, Konformitätsbewertung​, Erstellung der CE-Konformitätserklärung, ggf. Nachweisführung gegenüber Notified Body (NoBo)

 

Informationspflichten

    • Erhebliches Cybersicherheitsrisiko = Marktüberwachungsbehörden​
    • Betriebseinstellung des Herstellers = Marktüberwachungsbehörden​
    • Schwachstellen = Hersteller

After-Market & Betrieb

Vulnerability Management & kontinuierliche Aktualisierung der Risikoanalyse

 

Korrekturmaßnahmen bei Nicht-Konformität

 

 

Aufbewahrungspflichten für Dokumentation

Übrigens wichtig - diese Rollen können sich durch Änderungen am Produkt verändern. Das betrifft beispielsweise Fälle, in denen ein Unternehmen:

    • Produkte technisch verändert
    • neue Funktionen ergänzt
    • Software anpasst
    • Schnittstellen erweitert
    • Komponenten austauscht
    • Produkte unter eigenem Namen vertreibt

Dadurch kann ein Unternehmen, das ursprünglich nur als Händler oder Importeur auftritt, plötzlich selbst Herstellerpflichten übernehmen müssen. Gerade bei bestehenden Produkten und längeren Produktlebenszyklen wird diese Abgrenzung relevant.

Cyber Resilience Act für bestehende Produkte

Meldepflichten gelten bereits vor 2027

Ein wichtiger Punkt wird außerdem ebenfalls häufig unterschätzt: Bereits vor dem vollständigen Inkrafttreten des CRA werden erste Verpflichtungen wirksam.

Ab September 2026 gelten die Meldepflichten für:

    • aktiv ausgenutzte Schwachstellen
    • schwere Sicherheitsvorfälle

Diese müssen über die vorgesehene europäische Meldeplattform gemeldet werden.

Unternehmen müssen deshalb bereits vorher Prozesse schaffen, um:

    • Schwachstellen zu identifizieren
    • Vorfälle zu bewerten
    • Meldungen durchführen zu können
    • Sicherheitsinformationen aktuell zu halten

Fazit

Der Cyber Resilience Act betrifft nicht nur neue Produkte. Auch bestehende Produkte können durch Änderungen erneut relevant werden.

Besonders wichtig sind dabei:

    • Änderungen an Funktionen
    • neue Schnittstellen
    • Änderungen an Kommunikationswegen
    • Komponentenwechsel
    • Änderungen der Betriebsumgebung
    • neue Softwarestände

Unternehmen sollten deshalb frühzeitig prüfen:

    • welche Produkte betroffen sein können
    • welche Änderungen relevant werden
    • welche Prozesse für Risikoanalyse und Schwachstellenmanagement notwendig sind
    • wie Risiken über den gesamten Unterstützungszeitraum bewertet werden können

Gerade bei bestehenden Produkten wird der Umgang mit Änderungen und kontinuierlicher Risikoanalyse zu einem zentralen Bestandteil der CRA-Umsetzung.

Cyber Resilience Act Beratung & Umsetzung

Wir helfen bei der Beratung und Umsetzung zum Cyber Resilience Act mit erster Einordnung, Gap Analyse, Risikoanalyse toolgestutzt mit SECIRA, Umsetzung, CE-Nachweis & Dokumentation, sowie After-Market & Betrieb.

MEHR ERFAHREN
CRA

Ähnliche Beiträge

Informativ & vertrauensvoll

Bleiben Sie auf dem Laufenden. Neue Technologien, Best Practices und exklusive Einblicke. Direkt in Ihr Postfach.

Zum Newsletter anmelden