Softwareunternehmen verlassen sich häufig auf eine vertraute Unterscheidung: Produkte sind reguliert, Services nicht. Cloud-Delivery-Modelle, abonnementbasierte Modelle und Remote-Verarbeitung wurden oft nicht nur als geschäftliche Innovationen betrachtet, sondern auch als Wege, regulatorische Risiken zu reduzieren. Der EU Cyber Resilience Act (CRA) stellt diese Annahme infrage. Entscheidend ist nach dem CRA nicht, ob etwas als „SaaS“ vermarktet wird, sondern ob es Teil