CRA Produkt-Scope-Check

Art. 3 Nr. 1: Hard- oder Softwareprodukt mit Datenverarbeitungsfunktion, das direkt oder indirekt mit Gerät oder Netz verbindbar ist. Reine SaaS-Dienste OHNE lokale Komponente (Mobile App, Agent, Edge-Gateway) fallen nicht darunter — sie unterliegen NIS2 oder eigenen Sektorregeln.

Anhang III: 'wichtige' Produkte (Klasse I/II) — z.B. Identitätsmanagement, Browser, Passwort-Manager, Antivirus, VPN, Netzmanagement, Produkte für die intelligente häusliche Umgebung mit Sicherheitsfunktionen. Anhang IV: 'kritische' Produkte — z.B. Smartcards, Hardware-Sicherheitsmodule, sichere Elemente. Standardprodukte sind alle übrigen.

OSS-Ausnahme folgt aus Erwägungsgrund 18 i.V.m. Hersteller-Begriff (Art. 3 Nr. 13) und Verwalter-Begriff (Art. 3 Nr. 14): nicht-kommerzielle OSS fällt nicht in den Anwendungsbereich. Art. 24 (Verwalter quelloffener Software): reduzierter Pflichtenkreis für OSS-Verwalter, die OSS für kommerzielle Tätigkeiten bereitstellen.

Anhang I Teil II: dokumentierte Disclosure-Policy, Single Point of Contact, koordinierte Veröffentlichung, Sicherheitsupdates über die erwartete Produktlebensdauer (mindestens 5 Jahre, Art. 13 Abs. 8).

Anhang I Teil II Nr. 1: SBOM für mindestens die obersten Abhängigkeiten in maschinenlesbarem Format. Auf begründetes Verlangen der Marktüberwachungsbehörde herauszugeben (Art. 13 Abs. 22 + Anhang VII technische Dokumentation).