Art. 9 CRA – Allgemeine Produktsicherheit
Verhältnis zur Verordnung über die allgemeine Produktsicherheit (GPSR)
Der Cyber Resilience Act (CRA) ist lex specialis für Cybersicherheitsanforderungen an Produkte mit digitalen Elementen. Produkte, die die wesentlichen Cybersicherheitsanforderungen des CRA (Anhang I) erfüllen, gelten hinsichtlich der Cybersicherheitsaspekte auch als konform mit der Verordnung über die allgemeine Produktsicherheit (EU) 2023/988 (GPSR).
RECHTSGRUNDLAGE
Art. 9 CRA: Produkte mit digitalen Elementen, die den wesentlichen Anforderungen des Anhangs I entsprechen, gelten als konform mit den Cybersicherheitsanforderungen der Verordnung (EU) 2023/988 (GPSR).
Erwägungsgrund 28: Der CRA ergänzt die bestehende Produktsicherheitsgesetzgebung der Union und steht im Einklang mit der GPSR, der Maschinenverordnung, der Funkanlagenrichtlinie und sektorspezifischer Gesetzgebung.
Die GPSR bleibt für alle nicht-cybersicherheitsbezogenen Sicherheitsaspekte vollständig anwendbar. Der CRA ersetzt nicht die bestehende EU-Produktgesetzgebung, sondern ergänzt diese um spezifische Cybersicherheitsanforderungen.
Abgrenzungstabelle: CRA und andere EU-Produktvorschriften
| Rechtsvorschrift | Gegenstand | Verhältnis zum CRA |
|---|---|---|
| CRA (EU) 2024/2847 | Cybersicherheitsanforderungen für Produkte mit digitalen Elementen | Lex specialis für Cybersicherheit |
| GPSR (EU) 2023/988 | Allgemeine Produktsicherheit für Verbraucherprodukte | CRA-Konformität (Anhang I) deckt Cybersicherheitsaspekte ab |
| RED 2014/53/EU | Funkanlagen (Art. 3 Abs. 3 lit. d, e, f) | Delegierte Rechtsakte werden an CRA-Anforderungen angeglichen |
| Maschinenverordnung (EU) 2023/1230 | Maschinensicherheit | CRA ergänzt; Maschinensicherheit bleibt separat |
| Medizinprodukte (EU) 2017/745 | Medizinprodukte | Vom CRA ausgenommen (Art. 2 Abs. 2) |
| Kraftfahrzeuge (EU) 2019/2144 | Typgenehmigung Kraftfahrzeuge | Vom CRA ausgenommen (Art. 2 Abs. 2) |
| Luftfahrt (EU) 2018/1139 | Flugsicherheit | Vom CRA ausgenommen (Art. 2 Abs. 2) |
KEINE DOPPELREGULIERUNG
Der CRA ist so konzipiert, dass er bestehende sektorspezifische EU-Rechtsvorschriften nicht dupliziert. Für Produkte, die bereits sektorspezifischen Cybersicherheitsanforderungen unterliegen (Medizinprodukte, Kraftfahrzeuge, Luftfahrt), gilt der CRA nicht. Für alle anderen Produkte ergänzt der CRA die bestehenden Sicherheitsvorschriften um die Cybersicherheitsdimension.
Praktische Auswirkungen für BAUER GROUP
Grundsatz
Die CRA-Konformität deckt ausschließlich die Cybersicherheitsanforderungen ab. Alle weiteren produktsicherheitsrechtlichen Anforderungen (mechanische Sicherheit, elektrische Sicherheit, EMV etc.) bleiben von der jeweiligen Fachgesetzgebung geregelt.
Produktspezifische Konstellationen
| Produkttyp | Anwendbare Vorschriften | Hinweis |
|---|---|---|
| IoT-Geräte (z. B. Sensoren mit Funk) | CRA + ggf. RED | Art. 3 Abs. 3 RED-Delegierte Rechtsakte werden an CRA angeglichen |
| Industriesteuerungen (SPS, HMI) | CRA + ggf. Maschinenverordnung | Cybersicherheit über CRA, funktionale Sicherheit über Maschinenverordnung |
| Software-Produkte | CRA + ggf. GPSR | CRA-Konformität erfüllt GPSR-Cybersicherheitsaspekte |
| Medizinprodukte | Nur MDR – CRA nicht anwendbar | Vollständig ausgenommen gem. Art. 2 Abs. 2 |
Nächste Schritte
- Produktklassifizierung gemäß CRA und anwendbarer Fachgesetzgebung durchführen
- Compliance-Lücken zwischen CRA und bestehender Produktkonformität identifizieren
- Integrierte Konformitätsstrategie entwickeln, die alle anwendbaren Vorschriften berücksichtigt
Vollständige Übersicht der CRA-Ausnahmen und des Anwendungsbereichs: Geltungsbereich