Source: OJ L 2024/2847, 20.11.2024Current language: DE
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 7 Wichtige Produkte mit digitalen Elementen
Summary What does Article 7 of the CRA regulation say?
This article establishes the concept of "important products with digital elements" — a distinct, higher-risk classification that triggers stricter conformity assessment obligations under Article 32.
It defines which products fall into this category by reference to Annex III, splits them into two classes based on the nature and severity of their cybersecurity risk, and gives the Commission the power to update that list over time.
A key clarification is also made: embedding an important product into a larger product does not automatically elevate the host product into the same classification.
Important points:
- If your product has the core functionality of a category listed in Annex III, it is classified as an important product and must follow the stricter conformity assessment procedures set out in Article 32(2) and (3).
- The Commission is empowered to amend Annex III — adding, reclassifying, or removing product categories — with a minimum 12-month transitional period before new conformity assessment obligations apply to newly added or reclassified products.
- The Commission is required to adopt an implementing act by 11 December 2025 specifying the technical descriptions of the product categories listed in Annexes III and IV.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Produkte mit digitalen Elementen, die die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweisen, gelten als wichtige Produkte mit digitalen Elementen und unterliegen den in Artikel 32 Absätze 2 und 3 genannten Konformitätsbewertungsverfahren. Die Integration eines Produkts mit digitalen Elementen, das die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweist, führt für sich genommen nicht dazu, dass das Produkt, in das es integriert ist, den Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2 und 3 unterliegt.
Die in Absatz 1 dieses Artikels genannten Kategorien von Produkten mit digitalen Elementen, die gemäß Anhang III in die Klassen I und II unterteilt sind, erfüllen mindestens eines der folgenden Kriterien:
Das Produkt mit digitalen Elementen erfüllt in erster Linie Funktionen, die für die Cybersicherheit anderer Produkte, Netze oder Dienste von entscheidender Bedeutung sind, einschließlich der Sicherung der Authentifizierung und des Zugangs, der Prävention und Erkennung von Eindringen, der Endpunktsicherheit oder des Netzschutzes;
das Produkt mit digitalen Elementen erfüllt eine Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt in Bezug auf deren Intensität und Fähigkeit, eine große Zahl anderer Produkte oder die Gesundheit, Sicherheit oder Sicherheit seiner Nutzer durch direkte Manipulation zu stören, zu steuern oder zu schädigen, wie z. B. eine zentrale Systemfunktion, einschließlich Netzmanagement, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.
Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Änderung des Anhangs III zu erlassen, um innerhalb jeder Klasse der Kategorien von Produkten mit digitalen Elementen eine neue Kategorie in die Liste aufzunehmen und ihre Definition zu präzisieren, eine Produktkategorie von einer Klasse in die andere zu verschieben oder eine bestehende Kategorie von dieser Liste zu streichen. Bei der Bewertung der Notwendigkeit einer Änderung der Liste in Anhang III berücksichtigt die Kommission die cybersicherheitsbezogenen Funktionen oder die Funktion und die Höhe des von Produkten mit digitalen Elementen ausgehenden Cybersicherheitsrisikos gemäß den in Absatz 2 genannten Kriterien des vorliegenden Artikels.
Die in Unterabsatz 1 genannten delegierten Rechtsakte sehen gegebenenfalls einen Übergangszeitraum von mindestens 12 Monaten vor, insbesondere wenn eine neue Kategorie wichtiger Produkte mit digitalen Elementen der Klasse I oder II gemäß Anhang III hinzugefügt oder von der Klasse I in die Klasse II verschoben wird, bevor die einschlägigen Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2 und 3 zur Anwendung kommen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.
Bis zum 11. Dezember 2025 erlässt die Kommission einen Durchführungsrechtsakt, in dem sie die technische Beschreibung der nach Anhang III zu den Klassen I und II gehörigen Kategorien von Produkten mit digitalen Elementen und die technische Beschreibung der Kategorien von Produkten mit digitalen Elementen gemäß Anhang IV festlegt. Dieser Durchführungsrechtsakt wird nach dem Prüfverfahren gemäß Artikel 62 Absatz 2 erlassen.
Relevant recitals
Erwägungsgrund 10 Important and critical products
Mit der Festlegung von Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen soll die Cybersicherheit dieser Produkte sowohl für Verbraucher als auch für Unternehmen verbessert werden. Durch diese Anforderungen wird auch sichergestellt, dass die Cybersicherheit in der gesamten Lieferkette berücksichtigt wird, sodass Endprodukte mit digitalen Elementen und ihre Komponenten sicherer gemacht werden. Dies betrifft auch Anforderungen für das Inverkehrbringen von Verbraucherprodukten mit digitalen Elementen, die für schutzbedürftige Verbraucher bestimmt sind, wie z. B. Spielzeug und Babyphone-Systeme. Die Verbraucherprodukte mit digitalen Elementen, die in dieser Verordnung als wichtige Produkte mit digitalen Elementen eingestuft werden, sind mit einem höheren Cybersicherheitsrisiko behaftet, da ihre Funktionen ein erhebliches Risiko nachteiliger Auswirkungen in Bezug auf ihre Tragweite und ihre mögliche Beeinträchtigung der Gesundheit, Sicherheit oder Unversehrtheit der Nutzer solcher Produkte bergen, und sollten einem strengeren Konformitätsbewertungsverfahren unterzogen werden. Das gilt für Produkte wie intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Darüber hinaus werden die strengeren Konformitätsbewertungsverfahren, denen sonstige Produkte mit digitalen Elementen, die in dieser Verordnung als wichtige oder kritische Produkte mit digitalen Elementen eingestuft werden, unterzogen werden müssen, dazu beitragen, etwaige negative Auswirkungen auf die Verbraucher zu verhindern, die sich aus der Ausnutzung von Schwachstellen ergeben könnten.
Erwägungsgrund 43 Important products
Produkte mit digitalen Elementen sollten als wichtig betrachtet werden, wenn die negativen Auswirkungen der Ausnutzung potenzieller Cybersicherheitslücken in dem Produkt schwerwiegend sein können, unter anderem aufgrund seiner Cybersicherheitsfunktion oder einer Funktion, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen oder die Gesundheit, die Sicherheit oder die Unversehrtheit ihrer Nutzer zu beeinträchtigen, indem sie direkt manipuliert wird, wie etwa eine zentrale Systemfunktion, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten. Insbesondere können Schwachstellen in Produkten mit digitalen Elementen, die eine Cybersicherheitsfunktion haben, wie z. B. Bootmanager, zu einer Ausbreitung von Sicherheitsproblemen in der gesamten Lieferkette führen. Die Schwere der Auswirkungen eines Sicherheitsvorfalls kann auch zunehmen, wenn das Produkt in erster Linie eine zentrale Systemfunktion ausübt, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.
Erwägungsgrund 44 Class I and II of important products
Bestimmte Kategorien von Produkten mit digitalen Elementen sollten strengeren Konformitätsbewertungsverfahren unterliegen, wobei die Verhältnismäßigkeit gewahrt werden sollte. Zu diesem Zweck sollten wichtige Produkte mit digitalen Elementen in zwei Klassen unterteilt werden, die das mit diesen Produktkategorien verbundene Cybersicherheitsrisiko widerspiegeln. Ein Sicherheitsvorfall mit wichtigen Produkten mit digitalen Elementen, die in Klasse II fallen, könnte größere negative Auswirkungen haben als ein Sicherheitsvorfall mit wichtigen Produkten mit digitalen Elementen, die in Klasse I fallen, beispielsweise wegen der Art ihrer Cybersicherheitsfunktion oder der Ausübung einer anderen Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt. Ein Anhaltspunkt für größere negative Auswirkungen könnte es sein, dass Produkte mit digitalen Elementen, die in Klasse II fallen, entweder eine Cybersicherheitsfunktion übernehmen oder eine andere Funktion, die mit einem höheren Risiko schädlicher Auswirkungen als bei Produkten in Klasse I verbunden ist, oder beide genannten Kriterien erfüllen. Wichtige Produkte mit digitalen Elementen, die in Klasse II fallen, sollten daher einem strengeren Konformitätsbewertungsverfahren unterzogen werden.
Erwägungsgrund 45 Core functionality of important products
Wichtige Produkte mit digitalen Elementen, auf die in dieser Verordnung Bezug genommen wird, sollten als Produkte verstanden werden, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie wichtiger Produkte mit digitalen Elementen aufweisen. So werden in dieser Verordnung beispielsweise Kategorien wichtiger Produkte mit digitalen Elementen festgelegt, die durch ihre Kernfunktion als Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme der Klasse II definiert werden. Folglich unterliegen Firewalls und Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme einer obligatorischen Konformitätsbewertung durch Dritte. Dies gilt nicht für andere Produkte mit digitalen Elementen, die nicht als wichtige Produkte mit digitalen Elementen eingestuft sind und die Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme enthalten können. Die Kommission sollte einen Durchführungsrechtsakt erlassen, um die technische Beschreibung der Kategorien wichtiger Produkte mit digitalen Elementen, die unter die Klassen I und II gemäß dieser Verordnung fallen, zu präzisieren.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
Sicherheitsvorfall
(En. incident)
Definition
Inverkehrbringen
(En. placing on the market)
Definition
Verbraucher
(En. consumer)
Definition
elektronisches Informationssystem
(En. electronic information system)
Definition
Cybersicherheitsrisiko
(En. cybersecurity risk)
Definition
Produkt mit digitalen Elementen
(En. product with digital elements)
Definition
Software
(En. software)
Definition
Komponente
(En. component)
Definition
Konformitätsbewertung
(En. conformity assessment)
Definition
Schwachstelle
(En. vulnerability)
Definition
Hardware
(En. hardware)