Anders als die Richtlinie NIS2 ist der CRA eine Verordnung. Genau wie die DS-GVO gilt sie also nach Erlass direkt in allen EU-Mitgliedsstaaten und muss nicht erst in nationales Recht übertragen werden. Das macht es viel einfacher für Unternehmen, europaweit und weltweit compliant zu sein.

Der CRA gilt für „Produkte mit digitalen Elementen“ bezieht sich also anders als die NIS2 nicht auf Netzwerke und Angebote für und über das Internet, sondern auf Produkte, die konkret als Hardware oder Software an Kundinnen und Kunden ausgeliefert wird.

Als grobe Faustregel kann man sagen, dass jedes Produkt, das über Netzwerke genutzt wird oder Netzwerke nutzt, vom CRA betroffen ist – ganz egal, wie groß das Startup selber ist. Die Regeln gelten sofort, wenn das Produkt in Verkehr gebracht wurde. (Bis Ende 2027 ist der CRA in der Einführungsphase, aber diese Zeitpunkt kommt schnell.) Damit ist Großteil moderner Hardware und fast alle Software vom CRA betroffen.

Die Verpflichtungen sind vielfältig und beziehen sich sowohl auf das Qualitäts-Management für das Produkt als auch auf die Offenlegung der Lieferkette, insbesondere bei Computer-Programmen: im SBOM, dem „Software Bill of Materials“ muss die Herkunft und Lizenzierung der Produkt-Bestandteile offen gelegt werden. Einen Übersichts-Vortrag haben wir bei der SerNet erstellt, der hier eingesehen werden kann: https://loxen.de/cra.pdf.

Übrigens: Alles was ich hier in Sachen Recht aufschreibe, stellt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes dar. Die Inhalte sind aber nach bestem Wissen erstellt.