Produktlisten (Annex III & IV)
Übersicht
Der Cyber Resilience Act (CRA) definiert in Annex III und Annex IV spezifische Produktkategorien, die besonderen Konformitätsbewertungsverfahren unterliegen. Diese Seite enthält die vollständigen Listen aller dort genannten Produktkategorien mit Beschreibung, erforderlichem Bewertungsverfahren und einer Relevanzeinschätzung für BAUER GROUP.
Die Klassifizierungslogik (Entscheidungsbaum, Bewertungsverfahren je Kategorie) ist auf der Seite Produktklassifizierung beschrieben.
RECHTSGRUNDLAGE
Art. 7 CRA definiert die Kategorien „Wichtige Produkte mit digitalen Elementen" (Annex III) und „Kritische Produkte mit digitalen Elementen" (Annex IV).
Art. 24 Abs. 1-3 CRA legt die Konformitätsbewertungsverfahren je Kategorie fest:
- Klasse I (Annex III Teil I): Interne Kontrolle (Modul A) bei Anwendung harmonisierter Normen, sonst EU-Baumusterprüfung (Modul B+C)
- Klasse II (Annex III Teil II): EU-Baumusterprüfung (Modul B+C) oder Umfassende Qualitätssicherung (Modul H)
- Kritisch (Annex IV): Europäisches Cybersicherheitszertifikat (EUCC) auf Stufe „substanziell" oder höher
Art. 7 Abs. 3 CRA ermächtigt die Kommission, delegierte Rechtsakte zur Änderung der Annexe III und IV zu erlassen.
Annex III -- Wichtige Produkte mit digitalen Elementen
Teil I -- Klasse I
Produkte der Klasse I können bei vollständiger Anwendung harmonisierter Normen über Interne Kontrolle (Modul A) bewertet werden. Ohne harmonisierte Normen ist eine EU-Baumusterprüfung (Modul B+C) erforderlich.
| Nr. | Produktkategorie | Beschreibung | Konformitätsmodul |
|---|---|---|---|
| 1 | Identity Management Systeme und Software für privilegierten Zugang | Systeme zur Verwaltung digitaler Identitäten und zur Steuerung privilegierter Zugriffsrechte (Privileged Access Management, PAM) | Modul A* / B+C |
| 2 | Eigenständige und eingebettete Browser | Webbrowser als eigenständige Anwendung oder als in andere Produkte eingebettete Komponente | Modul A* / B+C |
| 3 | Passwort-Manager | Software zur sicheren Speicherung, Verwaltung und automatischen Eingabe von Passwörtern und Anmeldeinformationen | Modul A* / B+C |
| 4 | Software zur Suche, Entfernung oder Quarantäne von Schadsoftware (Antimalware) | Sicherheitssoftware, die Malware erkennt, isoliert und entfernt | Modul A* / B+C |
| 5 | Produkte mit digitalen Elementen mit VPN-Funktion | Produkte, die eine Virtual-Private-Network-Funktionalität bereitstellen | Modul A* / B+C |
| 6 | Netzwerk-Management-Systeme | Systeme zur Überwachung, Konfiguration und Verwaltung von Netzwerkinfrastrukturen | Modul A* / B+C |
| 7 | SIEM-Systeme (Security Information and Event Management) | Systeme zur Erfassung, Korrelation und Analyse sicherheitsrelevanter Ereignisse in Echtzeit | Modul A* / B+C |
| 8 | Boot-Manager | Software, die den Startvorgang eines Systems steuert und die Auswahl des zu ladenden Betriebssystems ermöglicht | Modul A* / B+C |
| 9 | Public-Key-Infrastruktur und Software zur Ausstellung digitaler Zertifikate | Software zur Verwaltung kryptographischer Schlüssel und zur Ausstellung, Verwaltung und Prüfung digitaler Zertifikate | Modul A* / B+C |
| 10 | Physische und virtuelle Netzwerkschnittstellen | Hardware- und Software-Netzwerkschnittstellen, die die Kommunikation in Netzwerken ermöglichen | Modul A* / B+C |
| 11 | Betriebssysteme | Software, die die grundlegenden Funktionen eines Computers verwaltet und die Ausführung von Anwendungen ermöglicht | Modul A* / B+C |
| 12 | Router, Modems für den Internetzugang und Switches | Netzwerkhardware, die für die Verbindung zum Internet bestimmt ist, einschließlich Router, Modems und Switches | Modul A* / B+C |
| 13 | Mikroprozessoren mit sicherheitsrelevanten Funktionen | Mikroprozessoren, die sicherheitsbezogene Funktionalitäten implementieren | Modul A* / B+C |
| 14 | Mikrocontroller mit sicherheitsrelevanten Funktionen | Mikrocontroller, die sicherheitsbezogene Funktionalitäten implementieren | Modul A* / B+C |
| 15 | ASICs und FPGAs mit sicherheitsrelevanten Funktionen | Application-Specific Integrated Circuits (ASICs) und Field-Programmable Gate Arrays (FPGAs) mit sicherheitsbezogenen Funktionalitäten | Modul A* / B+C |
| 16 | Virtuelle Assistenten für Smart Home (Allzweck) | Sprachgesteuerte oder KI-basierte Assistenten für den Einsatz im Smart Home mit allgemeinem Verwendungszweck | Modul A* / B+C |
| 17 | Smart-Home-Produkte mit Sicherheitsfunktionen | Smart-Home-Produkte mit Sicherheitsfunktionalitäten, einschließlich Türschlösser, Kameras, Babyüberwachung und Alarmsysteme | Modul A* / B+C |
| 18 | Mit dem Internet verbundenes Spielzeug mit sozialen Interaktions- oder Standortfunktionen | Internetfähiges Spielzeug im Sinne der Richtlinie 2009/48/EC mit sozialer Interaktion oder Standortverfolgung | Modul A* / B+C |
| 19 | Persönliche tragbare Gesundheitsüberwachungsprodukte (Wearables) | Am Körper getragene Produkte zur Überwachung gesundheitsbezogener Parameter | Modul A* / B+C |
* Modul A nur bei vollständiger Anwendung harmonisierter Normen oder bei Konformität mit EU-Cybersicherheitszertifizierung
Teil II -- Klasse II
Produkte der Klasse II erfordern zwingend eine Bewertung durch Dritte: EU-Baumusterprüfung (Modul B+C) oder Umfassende Qualitätssicherung (Modul H).
| Nr. | Produktkategorie | Beschreibung | Konformitätsmodul |
|---|---|---|---|
| 1 | Hypervisoren und Container-Laufzeitumgebungen | Hypervisoren und Container Runtime Systems, die die virtualisierte Ausführung von Betriebssystemen unterstützen | Modul B+C / H |
| 2 | Firewalls, Intrusion-Detection- und/oder Intrusion-Prevention-Systeme | Netzwerksicherheitssysteme zur Überwachung, Erkennung und Abwehr von Angriffen und unbefugtem Zugriff | Modul B+C / H |
| 3 | Manipulationsresistente Mikroprozessoren | Mikroprozessoren mit physischem Schutz gegen Manipulation und Auslesen (Tamper-Resistant) | Modul B+C / H |
| 4 | Manipulationsresistente Mikrocontroller | Mikrocontroller mit physischem Schutz gegen Manipulation und Auslesen (Tamper-Resistant) | Modul B+C / H |
Annex IV -- Kritische Produkte mit digitalen Elementen
Kritische Produkte erfordern ein Europäisches Cybersicherheitszertifikat (EUCC) auf mindestens der Vertrauenswürdigkeitsstufe „substanziell".
| Nr. | Produktkategorie | Beschreibung | Konformitätsmodul |
|---|---|---|---|
| 1 | Hardware-Geräte mit Sicherheitsboxen (HSMs, Smartcards etc.) | Hardware Security Modules (HSMs), Smartcards und vergleichbare Geräte, die kryptographische Operationen in geschützter Umgebung durchführen | EUCC |
| 2 | Smartcard-Leser | Geräte zum Lesen und Verarbeiten von Smartcard-Daten für Authentifizierung, Signatur oder Verschlüsselung | EUCC |
| 3 | Sensor- und Aktorkomponenten für Roboter und Robotersteuerungen (Industrieanwendungen) | Sensoren und Aktoren, die in Robotern und Robotersteuerungen für industrielle Anwendungen eingesetzt werden | EUCC |
| 4 | Intelligente Messsysteme (Smart Meter) im Sinne von Art. 2(23) der Richtlinie (EU) 2019/944 | Elektronische Messsysteme zur Messung des Energieverbrauchs gemäß der Elektrizitätsbinnenmarkt-Richtlinie | EUCC |
| 5 | Alle Geräte und Softwarekomponenten der Advanced Metering Infrastructure (AMI) | Sämtliche Geräte und Software, die Teil der intelligenten Messinfrastruktur sind | EUCC |
Konformitätsmodul-Übersicht
| Produktkategorie | Modul A (Selbst) | Modul B+C (Baumuster) | Modul H (Qualität) | EUCC |
|---|---|---|---|---|
| Standard (nicht in Annex III/IV) | ✅ | - | - | - |
| Klasse I (Annex III Teil I) | ✅* | ✅ | - | - |
| Klasse II (Annex III Teil II) | - | ✅ | ✅ | - |
| Kritisch (Annex IV) | - | - | - | ✅ |
* Nur bei vollständiger Anwendung harmonisierter Normen
Detaillierte Informationen zu den einzelnen Modulen:
- Interne Kontrolle (Modul A) -- Selbstbewertung
- EU-Baumusterprüfung (Modul B+C)
- Umfassende Qualitätssicherung (Modul H)
- Europäisches Cybersicherheitszertifikat (EUCC)
BAUER GROUP Relevanzeinschätzung
Die folgende Tabelle bewertet die Relevanz jeder Produktkategorie aus Annex III und IV für BAUER GROUP.
Annex III Teil I -- Klasse I
| Nr. | Produktkategorie | Relevanz | Begründung |
|---|---|---|---|
| 1 | Identity Management Systeme / PAM | Zu prüfen | Falls IAM-Lösungen oder PAM-Software angeboten werden |
| 2 | Eigenständige und eingebettete Browser | Nicht relevant | BAUER GROUP stellt keine Browser her |
| 3 | Passwort-Manager | Zu prüfen | Falls Credential-Management-Lösungen angeboten werden |
| 4 | Antimalware-Software | Nicht relevant | BAUER GROUP stellt keine Antimalware-Software her |
| 5 | VPN-Produkte | Zu prüfen | Falls VPN-Funktionalität in Produkten integriert ist |
| 6 | Netzwerk-Management-Systeme | Zu prüfen | Falls Netzwerk-Monitoring-Tools angeboten werden |
| 7 | SIEM-Systeme | Nicht relevant | BAUER GROUP stellt keine SIEM-Systeme her |
| 8 | Boot-Manager | Nicht relevant | BAUER GROUP stellt keine Boot-Manager her |
| 9 | PKI und Zertifikatsausstellungssoftware | Zu prüfen | Falls Zertifikatsmanagement-Lösungen angeboten werden |
| 10 | Physische und virtuelle Netzwerkschnittstellen | Zu prüfen | Falls Netzwerkkomponenten mit Firmware hergestellt werden |
| 11 | Betriebssysteme | Zu prüfen | Falls OS-nahe Produkte oder Embedded-Betriebssysteme |
| 12 | Router, Modems, Switches | Zu prüfen | Falls Netzwerkhardware mit Firmware angeboten wird |
| 13 | Mikroprozessoren (sicherheitsrelevant) | Zu prüfen | Falls Mikroprozessoren mit Sicherheitsfunktionen entwickelt werden |
| 14 | Mikrocontroller (sicherheitsrelevant) | Relevant | ESP32/STM32 Firmware mit sicherheitsrelevanten Funktionen |
| 15 | ASICs / FPGAs (sicherheitsrelevant) | Zu prüfen | Falls ASICs oder FPGAs mit Sicherheitsfunktionen eingesetzt werden |
| 16 | Smart Home virtuelle Assistenten | Nicht relevant | BAUER GROUP stellt keine Smart-Home-Assistenten her |
| 17 | Smart-Home-Produkte mit Sicherheitsfunktionen | Nicht relevant | BAUER GROUP stellt keine Smart-Home-Sicherheitsprodukte her |
| 18 | Internetfähiges Spielzeug | Nicht relevant | BAUER GROUP stellt kein Spielzeug her |
| 19 | Gesundheits-Wearables | Nicht relevant | BAUER GROUP stellt keine Gesundheits-Wearables her |
Annex III Teil II -- Klasse II
| Nr. | Produktkategorie | Relevanz | Begründung |
|---|---|---|---|
| 1 | Hypervisoren / Container Runtime | Nicht relevant | BAUER GROUP nutzt Container, bietet aber keine Runtime an |
| 2 | Firewalls / IDS / IPS | Zu prüfen | Falls Sicherheitsprodukte mit Firewall-/IDS-Funktionalität |
| 3 | Manipulationsresistente Mikroprozessoren | Nicht relevant | BAUER GROUP stellt keine Tamper-Resistant-Prozessoren her |
| 4 | Manipulationsresistente Mikrocontroller | Nicht relevant | BAUER GROUP stellt keine Tamper-Resistant-Controller her |
Annex IV -- Kritisch
| Nr. | Produktkategorie | Relevanz | Begründung |
|---|---|---|---|
| 1 | HSMs, Smartcards etc. | Nicht relevant | BAUER GROUP nutzt HSMs, stellt aber keine her |
| 2 | Smartcard-Leser | Nicht relevant | BAUER GROUP stellt keine Smartcard-Leser her |
| 3 | Roboter-Sensoren und -Aktoren (Industrie) | Zu prüfen | Falls industrielle Robotik-Komponenten hergestellt werden |
| 4 | Smart Meter (Richtlinie (EU) 2019/944) | Zu prüfen | Falls Energiemessgeräte hergestellt werden |
| 5 | Advanced Metering Infrastructure (AMI) | Zu prüfen | Falls AMI-Komponenten hergestellt werden |
Zusammenfassung der Relevanz
| Relevanzstatus | Anzahl Kategorien |
|---|---|
| Relevant | 1 |
| Zu prüfen | 14 |
| Nicht relevant | 13 |
| Gesamt | 28 |
EMPFEHLUNG
Die Relevanzeinschätzung sollte für jede Produktlinie von BAUER GROUP individuell durchgeführt und in der jeweiligen Produktbeschreibung dokumentiert werden. Die Einschätzung in der obigen Tabelle dient als initiale Orientierung.
AKTUALISIERUNGSPFLICHT
Die Produktlisten in Annex III und Annex IV können durch delegierte Rechtsakte der Europäischen Kommission gemäß Art. 7 Abs. 3 CRA geändert werden. Diese Listen sind daher regelmäßig auf Aktualisierungen zu prüfen und mit der jeweils geltenden Fassung der Verordnung (EU) 2024/2847 abzugleichen. Änderungen können sowohl die Aufnahme neuer Produktkategorien als auch die Umklassifizierung bestehender Kategorien umfassen.
Nächste Schritte
- Klassifizierung durchführen -- Verwenden Sie den Entscheidungsbaum auf der Seite Produktklassifizierung
- Relevanz prüfen -- Gleichen Sie jedes BAUER GROUP Produkt mit den obigen Listen ab
- Bewertungsverfahren bestimmen -- Wählen Sie das korrekte Konformitätsmodul
- Dokumentieren -- Halten Sie die Klassifizierung in der Produktbeschreibung fest
- Risikobewertung -- Erstellen Sie eine Risikobewertung für jedes klassifizierte Produkt