Wer ist für die Komponenten von Drittanbietern bzw. FOSS-Komponenten verantwortlich, die in ein Produkt integriert sind?

Who is responsible for CRA compliance of third-party or Open Source components that are incorporated into a product?

Antwort:

Gemäß Artikel 13 Absatz 5 CRA fallen auch Komponenten von Drittanbietern, die vom Hersteller in das Produkt integriert oder als Komponenten verkauft werden, unter den CRA, selbst wenn es sich um FOSS handelt. Der Begriff „Komponente” ist in der CRA nicht definiert. Es ist jedoch davon auszugehen, dass er sich sowohl auf Software (einschließlich FOSS) als auch auf Hardware bezieht (vgl. Verwendung des Begriffs in den Erwägungsgründen 10, 18 und 61 sowie in Artikel 13 Absatz 25 CRA). Damit soll verhindert werden, dass die Sicherheit eines Produkts aufgrund des üblichen modularen Ansatzes bei der Software- und Hardwareentwicklung beeinträchtigt wird.

Bitte beachten Sie, dass die Europäische Kommission befugt ist, optionale Sicherheitszertifizierungs-programme speziell für Komponenten von FOSS zu schaffen. Damit wird eine zentrale Herausforderung des Sorgfaltspflichtprozesses der Hersteller angesprochen: Mit der Integration von FOSS-Komponenten in ihre digitalen Produkte verfügen die Hersteller über ein Mittel zur Überprüfung der Sicherheit, selbst wenn diese Komponenten möglicherweise nicht den verbindlichen Cybersicherheitsvorschriften unterliegen. (vgl. Erwägungsgrund 21)

Im Allgemeinen gilt jedoch für Hersteller eine Sorgfaltspflicht für alle Integrationen von Drittkomponenten:

„Wenn die Hersteller in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden.“

Letzte inhaltliche Aktualisierung dieser FAQ: September 2025

Nächste FAQ: Welche Pflichten hat ein Hersteller gemäß dem CRA?

Zurück zu den FAQ "Cyber Resilience Act (CRA)"

Zurück zur Übersicht über die FAQ


Access: public		Short link to this page
This page was last modified on 2025-10-09 - 15:48