Klarstellungen & Abgrenzungen
Übersicht
Dieser Abschnitt sammelt Klarstellungen für Situationen, in denen eine verbreitete Annahme über den Marktzugang davon abweicht, wie der Cyber Resilience Act (CRA) tatsächlich funktioniert. Er richtet sich vor allem an Hersteller, die aus einer zertifikatsbasierten Regulierungskultur in den EU-Markt eintreten, in der ein Produktzertifikat als einmaliges Eingangstor verstanden wird.
So funktioniert der CRA nicht. Er ist eine Lebenszykluspflicht, kein Zertifikat, das man einmal erwirbt. Jede Klarstellung unten isoliert ein häufiges Missverständnis, erklärt warum der CRA anders ist, und verweist auf die operativen Kapitel, die zeigen was konkret zu tun ist.
FÜR WEN DIESER ABSCHNITT IST
Nicht-EU-Hersteller von Produkten mit digitalen Elementen — insbesondere industrielle Kommunikationshardware (Switches, Gateways, Router) — die ein IEC-62443-, ISO-9001- oder ISO-27001-Zertifikat besitzen oder anstreben und annehmen, dass es den CRA bereits erfüllt. Das tut es nicht. Dieser Abschnitt erklärt warum, und was darüber hinaus erforderlich ist.
Klarstellungen in diesem Abschnitt
| # | Klarstellung | In einem Satz |
|---|---|---|
| 1 | Zertifikat vs. CRA-Lebenszyklus | Ein Zertifikat ist ein einmaliges Tor; der CRA ist ein laufender, vom Hersteller verantworteter Prozess über das gesamte Produktleben. |
| 2 | IEC 62443 & ISO vs. CRA | IEC 62443 und ISO 9001 / 27001 überschneiden sich mit dem CRA, decken aber keine seiner laufenden Betriebs- und Meldepflichten ab. |
Dieser Abschnitt wächst mit der Zeit. Weitere Abgrenzungen (z. B. CRA vs. NIS2 oder CRA vs. reines CE-Kennzeichnungs-Denken) werden hier als eigene Klarstellungen ergänzt.
Verwandte Kapitel
- Harmonisierte Normen (Art. 5–6) — welche Normen eine Konformitätsvermutung begründen
- Konformitätsbewertung — die Bewertungswege je Produktklasse
- ENISA-Meldeprozess — die Meldepflicht 24 h / 72 h / 14 d