A
Anhang I (CRA)
Annex I (CRA)Definiert die essenziellen Cybersicherheitsanforderungen an Produkte mit digitalen Elementen. Teil 1 listet die Anforderungen an das Produkt selbst (sichere Standardkonfiguration, Zugriffskontrolle, Datenschutz, minimierte Angriffsfläche). Teil 2 regelt den Umgang mit Schwachstellen (Schwachstellenrichtlinie, Meldung, Updates, SBOM). Referenz: Verordnung (EU) 2024/2847, Anhang I.
Anhang II (CRA)
Annex II (CRA)Legt den Inhalt der technischen Dokumentation fest, die Hersteller vor dem Inverkehrbringen erstellen müssen. Umfasst Produktbeschreibung, Risikobewertung, angewandte harmonisierte Normen, Testberichte, SBOM und Informationen zur Konformitätsbewertung. Die Dokumentation muss 10 Jahre aufbewahrt werden. Referenz: Verordnung (EU) 2024/2847, Anhang II und Artikel 31.
B
BSI
Federal Office for Information SecurityDas Bundesamt für Sicherheit in der Informationstechnik ist in Deutschland die zuständige Marktüberwachungsbehörde für den Cyber Resilience Act (gemeinsam mit der BNetzA). Das BSI fungiert zudem als nationales CSIRT und nimmt Schwachstellen- und Vorfallmeldungen von Herstellern entgegen. Referenz: BSI-Gesetz, CRA Artikel 14.
BNetzA
Federal Network AgencyDie Bundesnetzagentur ist neben dem BSI für die Marktüberwachung nach dem CRA in Deutschland zuständig. Sie überwacht insbesondere die Konformität von Funkanlagen und Telekommunikationsgeräten mit digitalen Elementen. Referenz: Verordnung (EU) 2024/2847, Artikel 45.
C
CE-Konformität (CRA)
CE Conformity (CRA)Die CE-Kennzeichnung bescheinigt, dass ein Produkt mit digitalen Elementen die Anforderungen des CRA erfüllt. Sie darf erst nach erfolgreicher Konformitätsbewertung angebracht werden und muss sichtbar, lesbar und dauerhaft sein. Ab 11. Dezember 2027 dürfen Produkte ohne CE-Kennzeichnung nicht mehr in der EU in Verkehr gebracht werden. Referenz: Verordnung (EU) 2024/2847, Artikel 30.
Cyber-Bedrohung
Cyber ThreatEin potenzieller Umstand, ein Ereignis oder eine Handlung, die die Sicherheit von Netz- und Informationssystemen beeinträchtigen kann. Im CRA-Kontext relevant für die Risikobewertung, die Hersteller für jedes Produkt durchführen müssen. Der CRA verweist auf die Definition der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555). Referenz: CRA Artikel 3, NIS 2 Artikel 6 Nr. 10.
CSIRT
Computer Security Incident Response TeamNationale Stelle, an die Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden müssen. In Deutschland ist das BSI das zuständige CSIRT. Die Meldung erfolgt parallel an CSIRT und ENISA. Fristen: 24 Stunden Frühwarnung, 72 Stunden Detailmeldung, 14 Tage Abschlussbericht. Referenz: CRA Artikel 14.
CVE
Common Vulnerabilities and ExposuresInternationales Nummerierungssystem für öffentlich bekannte Schwachstellen, betrieben von der MITRE Corporation. Im CRA-Kontext relevant für die Schwachstellendokumentation und -meldung. ENISA soll nach dem CRA als europäische CVE Numbering Authority fungieren. Referenz: CRA Erwägungsgrund 65.
D
Digitales Produkt
Product with Digital ElementsKurzform für „Produkt mit digitalen Elementen" — der zentrale Anwendungsbegriff des CRA. Umfasst jede Hardware, deren bestimmungsgemäße Funktion eine Datenverarbeitung beinhaltet, und jede Software, die als eigenständiges Produkt in Verkehr gebracht wird. Firmware und SaaS-Komponenten lokaler Geräte fallen ebenfalls darunter. Referenz: CRA Artikel 3 Nr. 1.
E
ENISA
European Union Agency for CybersecurityDie EU-Agentur für Cybersicherheit erhält nach dem CRA parallel zu den nationalen CSIRTs alle Schwachstellen- und Vorfallmeldungen. ENISA betreibt die Single Reporting Platform, über die Hersteller ihre Meldungen zentral einreichen. Zudem unterstützt ENISA die Erstellung harmonisierter Normen und europäischer Cybersicherheitszertifizierungsschemata. Referenz: CRA Artikel 14, 16.
H
Hersteller (CRA)
Manufacturer (CRA)Jede natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellt und unter eigenem Namen oder eigener Marke in Verkehr bringt. Der Hersteller trägt die Hauptverantwortung für die CRA-Konformität: Anhang-I-Anforderungen, Konformitätsbewertung, CE-Kennzeichnung, Meldepflichten und Updates über den Support-Zeitraum. Referenz: CRA Artikel 3 Nr. 15, Artikel 13.
I
Importeur (CRA)
Importer (CRA)Jede in der EU ansässige Person, die ein Produkt mit digitalen Elementen eines außerhalb der EU ansässigen Herstellers in der EU in Verkehr bringt. Importeure müssen sicherstellen, dass der Hersteller die Konformitätsbewertung durchgeführt hat, die CE-Kennzeichnung angebracht ist und die technische Dokumentation vorliegt. Referenz: CRA Artikel 3 Nr. 17, Artikel 15.
K
Konformitätsbewertung
Conformity AssessmentVerfahren zum Nachweis, dass ein Produkt mit digitalen Elementen die CRA-Anforderungen erfüllt. Für Standardprodukte genügt eine Selbstbewertung (Modul A, Anhang VIII). Wichtige Produkte Klasse I können bei Vorliegen einer harmonisierten Norm ebenfalls selbst bewerten. Klasse II und kritische Produkte erfordern eine EU-Typprüfung durch eine benannte Stelle. Referenz: CRA Artikel 32-34.
Kritisches Produkt
Critical ProductProduktkategorie nach CRA Anhang IV, die das höchste Konformitätsniveau erfordert. Beispiele: Hardware-Sicherheitsmodule (HSM), intelligente Zähler (Smart Meter), Smartcards. Kritische Produkte müssen ein europäisches Cybersicherheitszertifikat nach dem EU Cybersecurity Act (Verordnung 2019/881) erlangen. Referenz: CRA Anhang IV, Artikel 8 Abs. 1.
M
Marktüberwachung
Market SurveillanceBehördliche Kontrolle, ob Produkte auf dem EU-Markt den CRA-Anforderungen entsprechen. In Deutschland sind BSI und BNetzA zuständig. Marktüberwachungsbehörden können technische Dokumentation anfordern, Produkte prüfen lassen, Verkaufsverbote aussprechen und Rückrufe anordnen. Referenz: CRA Artikel 45-52, Verordnung (EU) 2019/1020.
Meldepflicht (CRA)
Reporting Obligation (CRA)Pflicht des Herstellers, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an das zuständige CSIRT und an ENISA zu melden. Gilt ab 11. September 2026. Fristen bei Schwachstellen: 24 Stunden Frühwarnung, 72 Stunden Detailmeldung, 14 Tage Abschlussbericht. Bei Vorfällen: 24 Stunden, 72 Stunden, 1 Monat. Referenz: CRA Artikel 14.
O
Open-Source-Steward
Open-Source Software StewardJuristische Person (z. B. Stiftung), die systematisch Unterstützung für Open-Source-Software leistet, die als Produkt mit digitalen Elementen genutzt wird. Open-Source-Stewards unterliegen reduzierten CRA-Pflichten: Sie müssen eine Cybersicherheitsstrategie veröffentlichen und Schwachstellen melden, aber keine vollständige Konformitätsbewertung durchführen. Referenz: CRA Artikel 3 Nr. 14, Artikel 24.
P
Patch-Management
Patch ManagementProzess zur systematischen Identifikation, Bewertung und Verteilung von Sicherheitsupdates. Nach CRA Anhang I Teil 2 müssen Hersteller Sicherheitsupdates ohne unnötige Verzögerung bereitstellen, kostenlos und wenn möglich getrennt von Funktionsupdates. Patches müssen über den gesamten Support-Zeitraum des Produkts verfügbar sein.
Produkt mit digitalen Elementen
Product with Digital ElementsZentraler Anwendungsbegriff des CRA. Jedes Software- oder Hardware-Produkt, dessen bestimmungsgemäße oder vorhersehbare Nutzung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk umfasst. Ausgenommen: reine Cloud-SaaS, Medizinprodukte (MDR), Fahrzeuge (Typgenehmigung), Luftfahrt. Referenz: CRA Artikel 3 Nr. 1.
S
SBOM
Software Bill of MaterialsMaschinenlesbare Aufstellung aller Software-Komponenten eines Produkts. Der CRA verlangt mindestens eine Dokumentation der Top-Level-Abhängigkeiten in einem gängigen Format (z. B. SPDX, CycloneDX). Die SBOM ist Teil der technischen Dokumentation und muss über den Support-Zeitraum aktuell gehalten werden. Referenz: CRA Anhang I Teil 2, Anhang II.
Schwachstelle
VulnerabilityEine Schwäche, ein Fehler oder ein Mangel eines Produkts mit digitalen Elementen, der ausgenutzt werden kann. Der CRA unterscheidet zwischen bekannten Schwachstellen (disclosed), aktiv ausgenutzten Schwachstellen (exploited in the wild) und Schwachstellen, die ein Risiko für Nutzer darstellen. Aktiv ausgenutzte Schwachstellen lösen die 24-Stunden-Meldepflicht aus. Referenz: CRA Artikel 3 Nr. 40-42, Artikel 14.
Schwachstellenkoordination
Coordinated Vulnerability DisclosureStrukturierter Prozess, bei dem Sicherheitsforscher Schwachstellen verantwortungsvoll an den Hersteller melden und der Hersteller einen Fix bereitstellt, bevor die Schwachstelle öffentlich wird. Der CRA verpflichtet Hersteller, eine koordinierte Schwachstellenoffenlegungspolitik zu veröffentlichen und einen Kontaktpunkt bereitzustellen. Referenz: CRA Anhang I Teil 2, ISO/IEC 29147.
Sicherheitsupdate
Security Update / Security PatchSoftware-Aktualisierung, die eine Schwachstelle behebt. Nach dem CRA müssen Sicherheitsupdates ohne unnötige Verzögerung, kostenlos und wenn möglich automatisch bereitgestellt werden. Sie sollen von Funktionsupdates getrennt sein. Die Pflicht gilt über den gesamten Support-Zeitraum. Referenz: CRA Anhang I Teil 2 Nr. 2 und 8.
Support-Zeitraum
Support PeriodZeitraum, in dem der Hersteller Sicherheitsupdates und Schwachstellenhandling für ein Produkt bereitstellen muss. Muss dem erwarteten Nutzungszeitraum des Produkts entsprechen und beträgt in der Regel mindestens fünf Jahre. Der Support-Zeitraum muss auf der Verpackung, dem Produktblatt und in der Dokumentation angegeben werden. Referenz: CRA Artikel 13 Abs. 8, Anhang II.
T
Technische Dokumentation (CRA)
Technical Documentation (CRA)Umfassende Dokumentation nach Anhang II, die vor dem Inverkehrbringen erstellt und 10 Jahre aufbewahrt werden muss. Enthält: Produktbeschreibung, Risikobewertung, angewandte Normen, Design- und Entwicklungsinformationen, Testberichte, SBOM und Angaben zur Konformitätsbewertung. Muss auf Anfrage der Marktüberwachungsbehörde vorgelegt werden. Referenz: CRA Anhang II, Artikel 31.
W
Wichtiges Produkt Klasse I
Important Product Class IProduktkategorie nach CRA Anhang III Teil I. Beispiele: Passwortmanager, VPN-Clients, Netzwerk-Monitoring-Software, SIEM-Systeme, Boot-Manager, Fernzugriffssoftware. Bei Vorliegen einer harmonisierten Norm oder eines EU-Cybersicherheitszertifikats ist Selbstbewertung (Modul A) möglich, andernfalls EU-Typprüfung durch benannte Stelle. Referenz: CRA Anhang III Teil I, Artikel 32 Abs. 2.
Wichtiges Produkt Klasse II
Important Product Class IIProduktkategorie nach CRA Anhang III Teil II mit höheren Anforderungen als Klasse I. Beispiele: Betriebssysteme, Hypervisoren, Container Runtimes, Firewalls, Router, Modems, Mikroprozessoren, industrielle Automatisierungssysteme. Selbstbewertung reicht nicht aus — eine EU-Typprüfung durch eine benannte Stelle ist zwingend erforderlich. Referenz: CRA Anhang III Teil II, Artikel 32 Abs. 3.