Bild: Generiert mit Gemini Flash

Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)

Nicht jede Produktänderung löst den CRA neu aus - aber eine wesentliche Veränderung schon: dann gilt das Produkt als neu in Verkehr gebracht und braucht eine neue Konformitätsbewertung samt aktualisierter Dokumente. Der Test (Art. 3 Nr. 30) ist ein ODER: beeinträchtigt die Änderung die Konformität (und war nicht in der Risikobewertung vorhergesehen) ODER ändert sie den Verwendungszweck. Dernium CRA stuft jede Version geführt ein und sagt klar, ob eine Neubewertung fällig ist. Dieser Beitrag zeigt die Logik - und wo bewusst die Verantwortung beim Hersteller bleibt.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Abgelehnte Alternativen
  5. Was Sie jetzt tun sollten
  6. Wie Dernium hilft
  7. Offene Punkte
  8. Häufige Fragen
  9. Ist jede neue Programmversion eine "wesentliche Veränderung"?
  10. Löst ein Sicherheitsupdate die CRA-Pflichten neu aus?
  11. Gilt der CRA auch für mein bereits ausgeliefertes Bestandsprodukt?
  12. Trifft Dernium CRA die Entscheidung für mich?
  13. Verifikation
  14. Mehr aus unserer CRA-Reihe

Problem

Software ändert sich ständig - aber nicht jede Änderung löst die CRA-Pflichten neu aus. Der Cyber Resilience Act (CRA: EU-Verordnung über Cyberresilienz für Produkte mit digitalen Elementen) knüpft das an einen eng umrissenen Begriff: die "wesentliche Veränderung" (Art. 3 Nr. 30), nach der ein Produkt rechtlich wie neu behandelt wird. Liegt eine vor, gilt es als neu in Verkehr gebracht und braucht eine neue Konformitätsbewertung (die formale Prüfung, ob die CRA-Anforderungen erfüllt sind), eine aktualisierte EU-Konformitätserklärung, technische Dokumentation und Risikobewertung. Sonst läuft alles weiter wie bisher. Heikel ist das für Bestandsprodukte: Ein vor dem 11. Dezember 2027 in Verkehr gebrachtes Produkt fällt erst unter den CRA, wenn es danach wesentlich verändert wird. Die Einstufung jeder Version ist der Auslöser - und hier irren sich viele, weil die Abgrenzung feiner ist als sie scheint.

Für wen ist das? Für Hersteller, die je Produktversion die CRA-Einstufung treffen müssen.

Kurze Antwort

Eine Änderung ist nur dann "wesentlich", wenn sie den gesetzlichen Test besteht - reine Sicherheitsupdates zählen meist nicht. Dernium CRA stuft jede Version Schritt für Schritt ein. Der Kern:

  • Sie beantworten ein paar klare Fragen zur Änderung, das Werkzeug leitet die Einstufung ab - mit Begründung und, falls wesentlich, dem Hinweis auf die fällige Neubewertung.
  • Wesentlich ist eine Änderung, wenn sie die wesentlichen Anforderungen beeinträchtigt (und das nicht schon in der Risikobewertung vorhergesehen war) ODER den Verwendungszweck ändert.
  • Ein reines Sicherheitsupdate, das nur das Risiko senkt, ist es nicht.
  • Dernium entscheidet nicht für Sie; es strukturiert die Frage und zeigt die Folge.

Tiefgang

Wesentlich ist eine Version, wenn sie Anforderungen unvorhergesehen beeinträchtigt oder den Zweck ändert; ein reines Sicherheitsupdate nicht.
Wesentlich ist eine Version, wenn sie Anforderungen unvorhergesehen beeinträchtigt oder den Zweck ändert; ein reines Sicherheitsupdate nicht.

Ein ODER, kein UND. Häufiger Denkfehler: die wesentliche Veränderung als Kombination mehrerer Bedingungen zu lesen. Nach Art. 3 Nr. 30 genügt eine von zweien ("ODER"). Erstens: Die Änderung beeinträchtigt die Erfüllung der wesentlichen Anforderungen (Anhang I Teil I). Zweitens: Sie ändert den bewerteten Verwendungszweck. Eine reicht.

"Nicht vorhergesehen" gehört nur zur ersten Bedingung. Erwägungsgrund 38 verfeinert sie: Eine Änderung, die die wesentlichen Anforderungen berührt, ist nur wesentlich, wenn sie nicht bereits in der ursprünglichen Risikobewertung vorhergesehen war. Wer sie dort vorausgedacht hat, löst über die erste Bedingung nichts aus. Die Zweckänderung ist dagegen auch dann wesentlich.

Das Sicherheitsupdate-Privileg - und seine Grenze. Erwägungsgrund 39 stellt klar: Ein Update, das nur das Cybersicherheitsrisiko senkt und weder Verwendungszweck noch Funktionen, Art oder Leistung ändert, ist keine wesentliche Veränderung. Ändert es dagegen Funktionen, Art oder Leistung - etwa eine neue Funktion, die die Angriffsfläche erweitert -, ist es wesentlich; ob als Sicherheitsupdate verpackt oder gebündelt, spielt keine Rolle. Die Ausnahme greift nur, wenn keine der beiden Bedingungen zutrifft: Ein als "Sicherheitsupdate" markierter Patch, der zugleich die wesentlichen Anforderungen unvorhergesehen berührt, bleibt wesentlich.

Die Folge wird sichtbar gemacht. Ist eine Version wesentlich verändert, zeigt Dernium CRA die Konsequenz direkt: neue Konformitätsbewertung (Art. 32), aktualisierte EU-Konformitätserklärung, technische Dokumentation und Risikobewertung - soweit betroffen (Erwägungsgrund 41). Im Readiness-Dashboard (der Übersicht über den Erfüllungsstand) erscheint die Einstufung als eigener Bereich, damit keine Version unbewertet untergeht.

Abgelehnte Alternativen

  • Jede neue Version automatisch als wesentlich behandeln. Übererfüllt und erzeugt unnötige Neubewertungen für reine Sicherheitsupdates - genau das, was Erwägungsgrund 39 ausschließt.
  • Den Begriff als UND-Verknüpfung modellieren. Rechtlich falsch; eine genügt.
  • Das Sicherheitsupdate-Flag als Freibrief. Würde eine unvorhergesehene Wirkung auf die wesentlichen Anforderungen verdecken; die Ausnahme greift nur ohne zutreffende Bedingung.

Was Sie jetzt tun sollten

  1. Führen Sie pro Produkt eine Versionsliste und stufen Sie jede ausgelieferte Version einzeln ein, statt nur große Releases zu betrachten.
  2. Prüfen Sie für jede Änderung beide Bedingungen getrennt: Berührt sie die wesentlichen Anforderungen? Ändert sie den Verwendungszweck? Eine reicht.
  3. Halten Sie in der Risikobewertung fest, welche künftigen Änderungen Sie bereits vorausgedacht haben - das entscheidet später über die erste Bedingung.
  4. Verlassen Sie sich nicht auf das Etikett "Sicherheitsupdate": Wenn ein Patch zugleich Funktionen erweitert, ist er trotzdem wesentlich.
  5. Dokumentieren Sie zu jeder Einstufung die Begründung, damit Sie bei einer wesentlichen Änderung die fällige Neubewertung lückenlos belegen können.

Wie Dernium hilft

Sie pflegen Ihre Versionen ohnehin in Dernium CRA. Eine Erklärschicht benennt die beiden Bedingungen, die Vorhersehbarkeits-Feinheit und das Sicherheitsupdate-Privileg in klarer Sprache. So wird aus einer schwer greifbaren Rechtsfrage ein belegbarer Schritt - besonders für Bestandsprodukte, bei denen sie entscheidet, ob der CRA überhaupt greift.

Offene Punkte

  • Die Einstufung ist eine geführte Hilfe, keine Rechtsberatung. Die Tatsachen zur Änderung und die abschließende Entscheidung verantworten Sie als Hersteller.
  • Ob eine Änderung die wesentlichen Anforderungen "beeinträchtigt" oder den Verwendungszweck "ändert", ist eine fachliche Beurteilung; das Werkzeug strukturiert, nimmt sie aber nicht ab.

Häufige Fragen

Ist jede neue Programmversion eine "wesentliche Veränderung"?

Nein. Wesentlich ist eine Version nur, wenn sie entweder die grundlegenden Sicherheitsanforderungen unvorhergesehen beeinträchtigt oder den festgelegten Verwendungszweck ändert. Viele Versionen - insbesondere reine Fehlerbehebungen und Sicherheitsupdates - lösen daher gar keine neue Konformitätsbewertung aus. Die Einstufung erfolgt pro Version anhand des gesetzlichen Tests, nicht pauschal.

Löst ein Sicherheitsupdate die CRA-Pflichten neu aus?

In der Regel nicht. Ein Update, das ausschließlich das Cybersicherheitsrisiko senkt und weder Zweck noch Funktionen, Art oder Leistung ändert, ist ausdrücklich keine wesentliche Veränderung. Die Ausnahme endet aber, sobald das Update zusätzlich Funktionen verändert oder die Angriffsfläche erweitert - dann ist es wesentlich, auch wenn es als Sicherheitsupdate ausgeliefert wird.

Gilt der CRA auch für mein bereits ausgeliefertes Bestandsprodukt?

Ein vor dem 11. Dezember 2027 in Verkehr gebrachtes Produkt fällt erst dann unter den CRA, wenn es danach wesentlich verändert wird. Solange Sie nur unwesentliche Änderungen ausliefern, bleibt es außerhalb der CRA-Pflichten. Deshalb ist die saubere Einstufung jeder Version gerade bei Bestandsprodukten so wichtig.

Trifft Dernium CRA die Entscheidung für mich?

Nein. Das Werkzeug strukturiert die Frage, benennt die beiden gesetzlichen Bedingungen und zeigt die Folge einer wesentlichen Änderung. Die Tatsachen zur Änderung und die abschließende Beurteilung verantworten Sie als Hersteller; eine Rechtsberatung ersetzt es nicht.

Verifikation

Der Begriff steht in Artikel 3 Nummer 30; die Verfeinerung des Konformitäts-Prongs in Erwägungsgrund 38, das Sicherheitsupdate-Privileg und der Funktions-Eskalator in Erwägungsgrund 39, die Folge (neue Konformitätsbewertung) in Erwägungsgrund 41 und Artikel 32. Bestandsprodukte fallen unter den CRA, sobald sie ab dem 11. Dezember 2027 wesentlich verändert werden.

Mehr aus unserer CRA-Reihe