CRA und Sicherheitsvorfälle außerhalb der EU

11.03.2026

Dr. Andreas Kotulla

Cyber Resilience Act

Dr. Andreas Kotulla

Der CRA orientiert sich am Markt, nicht an der Geografie

Der CRA ist eine Produktverordnung und gilt für Produkte mit digitalen Elementen, die Hersteller auf dem Unionsmarkt bereitstellen, unabhängig davon, wo sie sitzen oder wo ein Cybervorfall auftritt.

Erwägungsgrund 15 macht dies deutlich: Die Verordnung erfasst Produkte mit digitalen Elementen, die Hersteller auf dem EU-Markt bereitstellen, also für die Verteilung oder Nutzung auf dem Unionsmarkt im Rahmen einer kommerziellen Tätigkeit. Der rechtliche Auslöser ist der Marktzugang, nicht der territoriale Ursprung.

Dies entspricht den allgemeinen Prinzipien des EU-Produktsicherheitsrechts, wie im Blue Guide 2022 erläutert. Das EU-Harmonisierungsrecht gilt für Produkte, die Hersteller auf dem EU-Markt bereitstellen oder verfügbar machen, unabhängig davon, wo sie hergestellt wurden oder wo später Ereignisse auftreten. Entscheidend ist, dass Hersteller das Produkt im Rahmen des Unionsmarktes bereitstellen.

Sobald ein Produkt auf dem EU-Markt ist, muss es während seines gesamten Lebenszyklus den geltenden EU-Vorschriften entsprechen – einschließlich der Cybersicherheitsanforderungen nach dem CRA.

Artikel 3 CRA: Definitionen

„Bereitstellung auf dem Markt“ bedeutet die Bereitstellung eines Produkts mit digitalen Elementen zur Verteilung oder Nutzung auf dem Unionsmarkt im Rahmen einer kommerziellen Tätigkeit, unabhängig davon, ob dies gegen Entgelt oder kostenlos erfolgt.

Cybersicherheit ist grenzüberschreitend

Der CRA erkennt ausdrücklich die grenzüberschreitende Natur digitaler Risiken an. Erwägungsgrund 4 betont, dass die Cybersicherheit von Produkten mit digitalen Elementen eine „besonders starke grenzüberschreitende Dimension“ hat. Digitale Schwachstellen respektieren keine territorialen Grenzen. Eine in einer Jurisdiktion ausgenutzte Schwachstelle kann schnell Benutzer, Netzwerke und Infrastrukturen in anderen Regionen betreffen.

Erwägungsgrund 66 geht noch weiter. Da Hersteller die meisten Produkte mit digitalen Elementen im gesamten Binnenmarkt verkaufen, sehen die Behörden jede aktiv ausgebeutete Schwachstelle in diesen Produkten als Bedrohung für die Funktionsfähigkeit des Binnenmarkts.

Bemerkenswert ist, dass sich der Erwägungsgrund nicht auf Schwachstellen innerhalb der Union beschränkt. Die Verordnung bezieht sich auf jede ausgebeutete Schwachstelle in einem Produkt, das Hersteller auf dem Binnenmarkt vermarkten. Die Logik dahinter ist systemisch: Wenn ein Hersteller ein Produkt in der EU verkauft, kann eine ausgebeutete Schwachstelle überall die Sicherheit und Integrität des Binnenmarktes bedrohen.

Meldepflichten sind nicht territorial begrenzt

Artikel 14 legt die Pflicht fest, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit von Produkten mit digitalen Elementen betreffen, zu melden. Erwägungsgrund 65 erklärt, dass die Meldepflichten sicherstellen sollen, dass Behörden die notwendigen Informationen zur Risikobewertung und Koordination von Gegenmaßnahmen erhalten.

Eine „aktiv ausgebeutete Schwachstelle“ ist definiert als eine Schwachstelle, für die zuverlässige Hinweise vorliegen, dass ein böswilliger Akteur sie ausgenutzt hat (Artikel 3(42)). Die Definition enthält keinen geografischen Einschränkung. Es ist nicht erforderlich, dass die Ausnutzung innerhalb der Union erfolgt.

Erwägungsgrund 66 verstärkt diesen Ansatz, indem ausgebeutete Schwachstellen mit Bedrohungen für den Binnenmarkt verknüpft werden. Wenn ein auf dem EU-Markt bereitgestelltes Produkt eine aktiv ausgebeutete Schwachstelle enthält, ist diese Schwachstelle auch dann relevant, wenn die Ausnutzung zuerst in den USA, Asien oder anderswo erfolgt.

Die Meldepflicht des Herstellers tritt in Kraft, sobald er von einer solchen Ausnutzung Kenntnis erlangt (Artikel 14(1); Erwägungsgrund 68). Der Ort des ersten Vorfalls ändert diese Pflicht nicht.

Was, wenn der Vorfall nur Nicht-EU-Nutzer betrifft?

Ein differenzierteres Szenario entsteht, wenn die Ausnutzung scheinbar nur Nutzer außerhalb der EU betrifft. Selbst in diesem Fall deutet der CRA-Rahmen auf Vorsicht hin.

Wenn ein Hersteller dieselbe Produktversion auf dem EU-Markt bereitstellt, enthält das Produkt auch innerhalb der Union die Schwachstelle. Dass Angreifer die Schwachstelle bisher nicht in der EU ausgenutzt haben, beseitigt das Risiko nicht. Angesichts der grenzüberschreitenden Dimension (Erwägungsgrund 4) und des Binnenmarktfokus (Erwägungsgrund 66) müssen Hersteller solche Schwachstellen als relevant behandeln.

Darüber hinaus verlangt Artikel 14(8), dass Hersteller betroffene Nutzer informieren, wo dies angemessen ist. Diese Verpflichtung ist nicht geografisch begrenzt, sondern an die Produktsicherheit und den Nutzerimpact gekoppelt.

In der Praxis gilt: Sobald eine Schwachstelle in einem auf dem EU-Markt bereitgestellten Produkt aktiv ausgenutzt wird, ist die sicherste und rechtlich verteidigbare Position, dass die CRA-Meldepflichten greifen.

Die breitere regulatorische Logik

Der CRA soll die Cybersicherheitslage des Binnenmarktes insgesamt stärken. Er verfolgt einen Lifecycle-Ansatz und verlangt von Herstellern, Schwachstellen zu behandeln und die Sicherheit während der gesamten Support-Periode zu gewährleisten (Anhang I, Teil II).

Dieses System würde untergraben, wenn Hersteller Meldepflichten umgehen könnten, nur weil die Ausnutzung außerhalb der Union zuerst auftritt. Cybersicherheit ist vernetzt. Lieferketten, Cloud-Infrastrukturen und Update-Mechanismen sind global.

Der CRA kombiniert daher ein marktbezogenes regulatorisches Modell mit einer risikobasierten Sicherheitslogik. Wenn ein Produkt auf dem EU-Markt bereitgestellt wird und eine aktiv ausgebeutete Schwachstelle enthält, greifen die Meldepflichten, unabhängig davon, wo die Ausnutzung zuerst erkannt wurde.

Praktische Auswirkungen für globale Hersteller

Für global tätige Hersteller hat dies klare Konsequenzen. Incident-Response-Prozesse müssen über Jurisdiktionen hinweg abgestimmt sein. Eine in einem Land ausgenutzte Schwachstelle kann Meldepflichten unter mehreren Regulierungsregimen, einschließlich des CRA, auslösen.

Hersteller sollten sicherstellen, dass ihr Schwachstellenmonitoring, koordinierte Offenlegungsprozesse und interne Meldemechanismen darauf ausgelegt sind, Vorfälle mit EU-Marktrelevanz zu erkennen und zu eskalieren. Entscheidend ist nicht, wo der Angreifer sitzt, sondern ob das betroffene Produkt auf dem EU-Markt bereitgestellt wird.

Fazit

Der CRA ist nicht territorial auf Vorfälle oder Entdeckungen innerhalb der EU begrenzt. Der CRA reguliert den Markt und soll den Binnenmarkt vor Cyberrisiken schützen, die von Produkten ausgehen, die Unternehmen auf diesem Markt bereitstellen.

Wenn ein Hersteller ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt und irgendwo auf der Welt eine aktiv ausgebeutete Schwachstelle entdeckt, lösen die Meldepflichten des CRA aus (Erwägungsgründe 4, 15, 66; Artikel 14). In einem vernetzten digitalen Ökosystem können Unternehmen die Cybersicherheits-Compliance nicht nach geografischen Grenzen segmentieren. Sie muss dem Produkt folgen.

Wenn Sie Unterstützung benötigen, um zu verstehen, wie grenzüberschreitende Vorfälle Ihre EU-Regulatorik und Lieferkettenrisiken beeinflussen, kann Bitsea Ihnen helfen, komplexe regulatorische Auslöser in strukturierte, verteidigungsfähige Compliance-Workflows zu übersetzen.

Vorheriger Beitrag

SaaS ist keine generelle Ausnahme beim CRA: Remote-Datenverarbeitung, SBOMs und der CRA

Nächster Beitrag