DATEV eG Informationsbüro Brüssel, Mitteilung vom 11.03.2026
Mit dem Entwurf der Leitlinien zur Anwendung des Cyber Resilience Act (CRA) hat die EU-Kommission konsolidierte Auslegungshinweise zu zentralen Anwendungsfragen der Verordnung vorgelegt.
Fortgesetzte Bereitstellung unveränderter On-Premise-Software nach dem Anwendungsdatum gilt nicht als erneutes Inverkehrbringen
Ein wesentlicher Punkt betrifft die Auslegung des Begriffs des „Placing on the market“ bei Standalone Software, die über digitale Mittel bereitgestellt wird. Die Guidance stellt klar, dass bei immateriellen Produkten die erstmalige kommerzielle Bereitstellung einer konkreten Softwareversion auf dem EU Markt maßgeblich ist. Mit diesem Zeitpunkt gilt die jeweilige Version als in Verkehr gebracht. Die fortgesetzte Bereitstellung derselben unveränderten Version – etwa durch spätere Downloads – wird nicht als erneutes Inverkehrbringen qualifiziert, sondern als fortgesetztes „Making available“. Vor diesem Hintergrund fallen Softwareversionen, die vor dem Anwendungsbeginn des CRA erstmals in Verkehr gebracht wurden, nicht allein deshalb unter die CRA Anforderungen, weil sie nach diesem Zeitpunkt weiterhin unverändert verfügbar sind. Ein neues Inverkehrbringen setzt vielmehr voraus, dass eine nachträgliche Änderung als wesentliche Änderung („substantial modification“) einzuordnen ist. Dies bedeutet, dass selbst neue Versionen einer bereits in Verkehr gebrachten Standalone Software nur dann eine CRA-Konformität notwendig machen, wenn eine wesentliche Änderung vorliegt.
„Wesentliche Änderung“
Als wesentlich sind nach der Guidance nur solche nachträglichen Änderungen einzuordnen, die entweder Auswirkungen auf die Erfüllung der wesentlichen Cybersicherheitsanforderungen haben oder den ursprünglich bewerteten Verwendungszweck der Software verändern. Maßgeblich ist dabei, ob durch ein Update neue oder erhöhte Cybersicherheitsrisiken entstehen, die in der ursprünglichen Risikoanalyse nicht berücksichtigt waren. Nicht entscheidend sind hingegen Umfang, Häufigkeit oder Bezeichnung eines Updates. Insbesondere reine Sicherheitsupdates oder Änderungen, die sich innerhalb der Annahmen der ursprünglichen Risikoanalyse bewegen und keine neuen Risiken einführen, gelten grundsätzlich nicht als neues Inverkehrbringen
Cybersecurity Risk Assessment
Die Guidance konkretisiert, dass sich die Cybersecurity Risk Assessment auf das Produkt selbst bezieht und danach zu beurteilen ist, ob identifizierte Cyberrisiken hinreichend adressiert wurden. Relevant sind dabei insbesondere Zweck und vorhersehbare Nutzung des Produkts, seine Einsatzbedingungen, die zu schützenden Assets sowie die erwartete Nutzungsdauer.
Identifizierte Cyberrisiken müssen durch Maßnahmen auf Produktebene behandelt werden. Der CRA sieht keine Möglichkeit vor, Risiken oder Verantwortung auf Nutzer oder Dritte zu verlagern. Informationen und Anleitungen könnten die sichere Nutzung unterstützen, ersetzen jedoch keine technischen oder organisatorischen Maßnahmen im Produkt selbst.
Lassen sich identifizierte Risiken nicht ausreichend mitigieren (d. h. mindern), kann dies Anpassungen von Design, Funktionalität oder vorgesehenem Verwendungszweck erforderlich machen. Auch Risiken aus externen Abhängigkeiten (etwa aus Cloud Diensten oder integrierten Drittkomponenten) sind in der Risikoanalyse zu berücksichtigen und dürfen die Erfüllung der wesentlichen Anforderungen nicht beeinträchtigen.
Remote Data Processing Solutions
Es wird klargestellt, dass Remote Data Processing Solutions (RDPS) Teil des Produkts im Sinne des CRA sind, wenn sie für die Ausführung von Produktfunktionen erforderlich sind. In diesem Fall sind sie bereits in der Risikoanalyse sowie bei den Lifecycle Pflichten zu berücksichtigen. RDPS liegen nur vor, wenn (kumulativ) eine Datenverarbeitung außerhalb der Nutzerumgebung erfolgt, diese Verarbeitung funktional notwendig ist und die betreffende Software vom Hersteller selbst entwickelt oder maßgeschneidert unter seiner Verantwortung erstellt wurde. Der Funktionsbegriff wird dabei weit verstanden und erfasst auch unterstützende Funktionen wie Authentifizierung, Konfiguration, Synchronisation oder Updates.
Nicht vom Produktbegriff erfasst sind hingegen interne Unternehmenssysteme des Herstellers sowie generische SaaS Dienste oder lizenzierte Standardsoftware. Solche externen Dienste gelten als Drittkomponenten und sind im Rahmen der Risikoanalyse und Due Diligence zu berücksichtigen, ohne selbst Teil des Produkts zu werden.
Quelle: DATEV eG, Informationsbüro Brüssel
Powered by WPeMatico