Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.
Skip to content

Klarstellungen & Abgrenzungen

Übersicht

Dieser Abschnitt sammelt Klarstellungen für Situationen, in denen eine verbreitete Annahme über den Marktzugang davon abweicht, wie der Cyber Resilience Act (CRA) tatsächlich funktioniert. Er richtet sich vor allem an Hersteller, die aus einer zertifikatsbasierten Regulierungskultur in den EU-Markt eintreten, in der ein Produktzertifikat als einmaliges Eingangstor verstanden wird.

So funktioniert der CRA nicht. Er ist eine Lebenszykluspflicht, kein Zertifikat, das man einmal erwirbt. Jede Klarstellung unten isoliert ein häufiges Missverständnis, erklärt warum der CRA anders ist, und verweist auf die operativen Kapitel, die zeigen was konkret zu tun ist.

FÜR WEN DIESER ABSCHNITT IST

Nicht-EU-Hersteller von Produkten mit digitalen Elementen — insbesondere industrielle Kommunikationshardware (Switches, Gateways, Router) — die ein IEC-62443-, ISO-9001- oder ISO-27001-Zertifikat besitzen oder anstreben und annehmen, dass es den CRA bereits erfüllt. Das tut es nicht. Dieser Abschnitt erklärt warum, und was darüber hinaus erforderlich ist.

Klarstellungen in diesem Abschnitt

#KlarstellungIn einem Satz
1Zertifikat vs. CRA-LebenszyklusEin Zertifikat ist ein einmaliges Tor; der CRA ist ein laufender, vom Hersteller verantworteter Prozess über das gesamte Produktleben.
2IEC 62443 & ISO vs. CRAIEC 62443 und ISO 9001 / 27001 überschneiden sich mit dem CRA, decken aber keine seiner laufenden Betriebs- und Meldepflichten ab.

Dieser Abschnitt wächst mit der Zeit. Weitere Abgrenzungen (z. B. CRA vs. NIS2 oder CRA vs. reines CE-Kennzeichnungs-Denken) werden hier als eigene Klarstellungen ergänzt.

Verwandte Kapitel

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT