Artikel 22 Sonstige Fälle, in denen die Pflichten der Hersteller gelten

Summary What does Article 22 of the CRA regulation say?

This article closes a potential loophole by capturing third parties — those who are not already manufacturers, importers, or distributors — who substantially modify a product with digital elements and then place it back on the market.

It does so by reclassifying such a person as a manufacturer for the purposes of this Regulation, thereby triggering the full suite of manufacturer obligations.

It connects directly to Article 21, which applies the same logic to importers and distributors, together forming a coherent framework that ensures no actor can escape manufacturer-level responsibility simply by virtue of their original role in the supply chain.

Important points:

Any third party that substantially modifies a product with digital elements and makes it available on the market is treated as a manufacturer under this Regulation.
Such persons are subject to the obligations in Articles 13 and 14, at minimum for the modified part of the product.
If the substantial modification affects the cybersecurity of the product as a whole, the obligations apply to the entire product, not just the modified portion.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Eine natürliche oder juristische Person, bei der es sich nicht um den Hersteller, Einführer oder Händler handelt und die eine wesentliche Änderung an dem Produkt mit digitalen Elementen vornimmt und dieses Produkt auf dem Markt bereitstellt, gilt für die Zwecke dieser Verordnung als Hersteller.
1. Die in Absatz 1 des vorliegenden Artikels genannte Person unterliegt den in den Artikeln 13 und 14 festgelegten Pflichten für den Teil des Produkts mit digitalen Elementen, der von der wesentlichen Änderung betroffen ist, oder, wenn sich die wesentliche Änderung auf die Cybersicherheit des Produkts mit digitalen Elementen insgesamt auswirkt, für das gesamte Produkt.

Relevant recitals

Erwägungsgrund 38 Serial manufacturing, subsequent modifications and repairs

Damit Produkte mit digitalen Elementen beim Inverkehrbringen keine Cybersicherheitsrisiken für Personen und Organisationen darstellen, sollten für solche Produkte grundlegende Cybersicherheitsanforderungen festgelegt werden. Diese grundlegenden Cybersicherheitsanforderungen, einschließlich der Anforderungen an das Schwachstellenmanagement, gelten für jedes einzelne Produkt mit digitalen Elementen, wenn es in den Verkehr gebracht wird, unabhängig davon, ob das Produkt mit digitalen Elementen als Einzelstück oder in Serie hergestellt wird. So sollte beispielsweise bei einer Produktart jedes einzelne Produkt mit digitalen Elementen alle verfügbaren Sicherheits-Patches oder Aktualisierungen zur Behebung relevanter Sicherheitsprobleme erhalten haben, wenn es in den Verkehr gebracht wird. Werden solche Produkte mit digitalen Elementen nachträglich physisch oder digital in einer Weise verändert, die vom Hersteller in der ursprünglichen Risikobewertung nicht vorgesehen ist und die dazu führen kann, dass sie die einschlägigen grundlegenden Cybersicherheitsanforderungen nicht mehr erfüllen, sollte die Veränderung als wesentlich betrachtet werden. Beispielsweise könnten Reparaturen den Wartungsarbeiten gleichgestellt werden, sofern sie ein bereits in den Verkehr gebrachtes Produkt mit digitalen Elementen nicht so verändern, dass die Konformität mit den geltenden Anforderungen beeinträchtigt oder die Zweckbestimmung, für die das Produkt geprüft wurde, verändert werden kann.

Erwägungsgrund 39 Guidance on substantial modifications

Wie bei physischen Reparaturen oder Änderungen sollte ein Produkt mit digitalen Elementen als durch eine Softwareänderung wesentlich geändert gelten, wenn die Softwareaktualisierung die Zweckbestimmung des Produkts ändert und diese Änderungen vom Hersteller in der ursprünglichen Risikobewertung nicht vorhergesehen wurden, oder wenn sich die Art der Gefahr geändert oder sich das Cybersicherheitsrisiko aufgrund der Softwareaktualisierung erhöht hat und die aktualisierte Version des Produkts auf dem Markt bereitgestellt wird. Wenn eine Sicherheitsaktualisierung, mit der das Cybersicherheitsrisiko eines Produkts mit digitalen Elementen verringert werden soll, die Zweckbestimmung eines Produkts mit digitalen Elementen nicht verändert, gilt sie nicht als wesentliche Änderung. Dies schließt in der Regel Fälle ein, in denen eine Sicherheitsaktualisierung nur geringfügige Anpassungen des Quellcodes nach sich zieht. Dies könnte zum Beispiel der Fall sein, wenn mit einer Sicherheitsaktualisierung eine bekannte Schwachstelle behoben wird, auch durch Änderung der Funktionen oder der Leistung eines Produkts mit digitalen Elementen zu dem alleinigen Zweck, das Cybersicherheitsrisiko zu senken. Ebenso sollte eine geringfügige Aktualisierung der Funktionalitäten, etwa eine visuelle Verbesserung oder die Hinzufügung neuer Sprachen oder neuer Piktogramme zur Benutzeroberfläche, im Allgemeinen nicht als wesentliche Änderungen betrachtet werden. Umgekehrt sollte eine Funktionsaktualisierung die die ursprünglich beabsichtigten Funktionen oder die Art oder Leistung eines Produkts mit digitalen Elementen verändert und die oben genannten Kriterien erfüllt, als wesentliche Änderung betrachtet werden, da das Hinzufügen neuer Funktionen in der Regel zu einer größeren Angriffsfläche führt und damit das Cybersicherheitsrisiko erhöht. Dies könnte zum Beispiel der Fall sein, wenn einer Anwendung ein neues Eingabeelement hinzugefügt wird, sodass der Hersteller für eine adäquate Eingabevalidierung sorgen muss. Bei der Beurteilung, ob eine Funktionsaktualisierung als wesentliche Änderung anzusehen ist, spielt es keine Rolle, ob sie als separate Aktualisierung oder in Kombination mit einer Sicherheitsaktualisierung bereitgestellt wird. Die Kommission sollte Leitlinien zur Bestimmung dessen herausgeben, was eine wesentliche Änderung ist.

Erwägungsgrund 41 Verification of compliance after substantial modification

Im Einklang mit dem allgemein anerkannten Konzept der wesentlichen Änderung von Produkten, für die Harmonisierungsrechtsvorschriften der Union gelten, ist es angebracht, wenn eine wesentliche Änderung eintritt, die sich auf die Konformität eines Produkts mit digitalen Elementen mit dieser Verordnung auswirken könnte, oder wenn sich die Zweckbestimmung dieses Produkts ändert, die Konformität des Produkts mit digitalen Elementen zu überprüfen und es gegebenenfalls einer neuen Konformitätsbewertung zu unterziehen. Wenn der Hersteller eine Konformitätsbewertung unter Beteiligung eines Dritten durchführt, sollte eine Veränderung, die zu einer wesentlichen Änderung führen könnte, dem Dritten mitgeteilt werden.

Erwägungsgrund 42 Substantial modification via refurbishment, maintenance and repair

Wird ein Produkt mit digitalen Elementen einer „Überholung“, „Wartung“ und „Reparatur“ im Sinne des Artikels 2 Nummern 18, 19 und 20 der Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates(¹⁹) unterzogen, führt dies nicht unbedingt zu einer wesentlichen Änderung des Produkts, wenn z. B. die Zweckbestimmung und die Funktionen nicht geändert werden und das Risikoniveau gleich bleibt. Die Aufrüstung eines Produkts mit digitalen Elementen durch den Hersteller könnte jedoch zu Änderungen in der Konzeption und Entwicklung des Produkts führen und sich daher auf seine Zweckbestimmung und die Konformität mit den in dieser Verordnung festgelegten Anforderungen auswirken.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.