Der EU Cyber Resilience Act (CRA) 2024/2847 führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, die in der EU verkauft werden. Die Meldepflichten für Schwachstellen treten am 11. September 2026 in Kraft, und die vollständige Produktkonformität wird ab dem 11. Dezember 2027 verpflichtend. Während Medizinprodukte unter der MDR von den Produktanforderungen des CRA ausgenommen sind, gilt dies für viele digitale Komponenten im Gesundheitswesen nicht.
Die Medizinprodukte-Ausnahme und ihre Grenzen
CRA Artikel 2(2) nimmt Produkte aus, die bereits durch sektorspezifische EU-Harmonisierungsgesetzgebung abgedeckt sind, welche gleichwertige Cybersicherheitsanforderungen stellt. Medizinprodukte, die unter MDR 2017/745 reguliert werden, und IVDs unter IVDR 2017/746 fallen unter diese Ausnahme.
Die Ausnahme gilt jedoch nur für das Medizinprodukt selbst. Digitale Produkte, die mit einem Medizinprodukt interagieren, es unterstützen oder mit ihm verbunden sind, aber selbst nicht als Medizinprodukte eingestuft werden, unterliegen vollständig dem CRA:
| Produkt | CRA anwendbar? | Begründung |
|---|---|---|
| SaMD, eingestuft unter MDR | Nein | Durch MDR-Cybersicherheitsanforderungen abgedeckt |
| Krankenhausinformationssystem mit Geräteschnittstelle | Ja | Kein Medizinprodukt gemäss MDR |
| Mobile App, eingestuft als Klasse-I-Zubehör | Nein | Durch MDR abgedeckt |
| Cloud-Plattform zur Speicherung von Gerätedaten (nicht als SaMD eingestuft) | Ja | Kein Medizinprodukt |
| Firmware-Update-Tool für ein Medizinprodukt (nicht Teil des Produkts selbst) | Ja | Eigenständiges digitales Produkt |
| Allgemeines Betriebssystem auf einem Medizinprodukt | Ja | Als eigenständiges Produkt nicht durch MDR abgedeckt |
Wenn Sie sowohl MDR-regulierte Produkte als auch digitale Nicht-Medizinprodukte im selben Ökosystem herstellen, müssen Sie möglicherweise sowohl die MDR (für das Produkt) als auch den CRA (für die unterstützende Software) einhalten.
Meldepflicht für Schwachstellen: 11. September 2026
Die Meldepflichten des CRA gemäss Artikel 14 gelten ab dem 11. September 2026. Hersteller von Produkten im Geltungsbereich müssen aktiv ausgenutzte Schwachstellen und bedeutende Sicherheitsvorfälle an ihr nationales Computer Security Incident Response Team (CSIRT) sowie an die ENISA über eine einheitliche Meldeplattform melden.
Der Meldezeitrahmen ist streng:
| Stufe | Frist | Erforderlicher Inhalt |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden nach Kenntnisnahme | Meldung, dass eine Schwachstelle aktiv ausgenutzt wird oder ein bedeutender Vorfall eingetreten ist |
| Schwachstellenmeldung | Innerhalb von 72 Stunden | Detaillierte Informationen zur Schwachstelle, zur Ausnutzungsaktivität und zu ergriffenen oder geplanten Korrekturmassnahmen |
| Abschlussbericht | Innerhalb von 14 Tagen nach Behebung | Vollständige Beschreibung der Schwachstelle, Ursachenanalyse und angewandte Korrekturmassnahmen |
Diese Meldefristen gelten auch dann, wenn eine vollständige Lösung noch nicht verfügbar ist. Der Zweck ist die Ermöglichung einer koordinierten Reaktion innerhalb der EU.
Produktkonformitätsanforderungen: 11. Dezember 2027
Die vollständigen CRA-Produktkonformitätspflichten treten am 11. Dezember 2027 in Kraft. Für Produkte im Geltungsbereich bedeutet dies:
Security by Design (CRA Anhang I, Teil I): Produkte müssen so entworfen, entwickelt und hergestellt werden, dass ein angemessenes Niveau an Cybersicherheit gewährleistet ist. Dies umfasst sichere Standardkonfigurationen, Schutz vor unbefugtem Zugriff sowie Vertraulichkeit und Integrität der Daten.
Schwachstellenbehandlung (CRA Anhang I, Teil II): Hersteller müssen Schwachstellen identifizieren und dokumentieren, Sicherheitsupdates für die erwartete Produktlebensdauer (mindestens 5 Jahre) bereitstellen und eine koordinierte Schwachstellen-Offenlegungsrichtlinie betreiben.
Software Bill of Materials (SBOM): Hersteller müssen ein SBOM erstellen und pflegen, das alle Komponenten auflistet, einschliesslich Open-Source-Bibliotheken und Abhängigkeiten von Drittanbietern. Das SBOM ist Teil der technischen Dokumentation und muss den Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden.
Konformitätsbewertung: Die meisten Produkte folgen dem Weg der Selbstbewertung auf Grundlage interner Kontrolle (CRA Anhang VI). Wichtige und kritische Produkte (gemäss CRA Anhängen III und IV definiert) erfordern eine Drittbewertung.
Zusammenspiel mit den MDR-Cybersicherheitsanforderungen
Die MDR verlangt bereits, dass Hersteller Cybersicherheit in ihrer technischen Dokumentation adressieren. MDR Anhang I, Abschnitt 17.4 fordert, dass Produkte, die Software enthalten oder programmierbare elektronische Systeme sind, so konzipiert werden, dass Wiederholbarkeit, Zuverlässigkeit und Leistungsfähigkeit gewährleistet sind. MDCG 2019-16 bietet Leitlinien zur Cybersicherheit für Medizinprodukte.
Für Hersteller mit Produkten, die unter beide Regulierungen fallen, ist der praktische Ansatz:
- MDR-Cybersicherheitsanforderungen auf das Medizinprodukt selbst anwenden
- CRA-Anforderungen auf alle digitalen Nicht-Medizinprodukte im Ökosystem anwenden
- Ein gemeinsames Rahmenwerk für das Cybersicherheits-Risikomanagement (wie IEC 81001-5-1) übergreifend nutzen
Wichtige Fristen
| Datum | Anforderung |
|---|---|
| 11. September 2026 | Meldepflichten für Schwachstellen beginnen für CRA-pflichtige Produkte |
| 11. Dezember 2027 | Vollständige Produktkonformität erforderlich für CRA-pflichtige Produkte |
| Laufend | Sicherheitsupdates müssen für die erwartete Lebensdauer des Produkts bereitgestellt werden (mindestens 5 Jahre) |
Suchen Sie das richtige Tool für regulatorische Intelligenz? Lesen Sie unseren Leitfaden zur Bewertung von Plattformen für regulatorische Intelligenz.
Wichtigste Erkenntnisse
- Medizinprodukte unter der MDR sind von den CRA-Produktanforderungen ausgenommen, viele zugehörige digitale Produkte jedoch nicht
- Die Meldepflicht für Schwachstellen beginnt am 11. September 2026: 24-Stunden-Erstmeldung, 72-Stunden-Detailbericht, 14-Tage-Abschlussbericht
- Vollständige Produktkonformität (Security by Design, SBOM, Schwachstellenbehandlung) ist bis zum 11. Dezember 2027 erforderlich
- Hersteller mit gemischten Produktportfolios müssen feststellen, welche Produkte unter die MDR und welche unter den CRA fallen
- Der CRA verlangt ein SBOM für alle Produkte im Geltungsbereich, das über den gesamten Produktlebenszyklus gepflegt wird
- Koordinierte Schwachstellen-Offenlegung und Prozesse für Sicherheitsupdates sind verpflichtend
Wie RegAid hilft
RegAid deckt die MDR-Cybersicherheitsanforderungen ab, einschliesslich Anhang I Abschnitt 17.4 und aller MDCG-Leitlinien zur Cybersicherheit für Medizinprodukte. Stellen Sie die Frage „Welche Cybersicherheitsdokumentation benötige ich für mein vernetztes Medizinprodukt?" und erhalten Sie quellenbasierte Antworten, die MDR-Anforderungen mit MDCG 2019-16 und den anwendbaren harmonisierten Normen verknüpfen.