Wesentliche Veränderung
Eine Änderung an einem Produkt mit digitalen Elementen nach dem Inverkehrbringen, die die Konformität des Produkts mit den wesentlichen Cybersicherheitsanforderungen in Anhang I Teil I beeinträchtigt oder den deklarierten Verwendungszweck ändert. Eine wesentliche Veränderung löst eine neue Konformitätsbewertung aus, wodurch das veränderte Produkt faktisch als neues Produkt behandelt wird.
Quellenangaben
Regulierungstext
Artikel 3(30) der Verordnung (EU) 2024/2847:
„eine nach dem Inverkehrbringen des Produkts mit digitalen Elementen vorgenommene Änderung, die vom Hersteller in der technischen Dokumentation nicht vorgesehen oder geplant wurde und die die Konformität des Produkts mit den geltenden wesentlichen Cybersicherheitsanforderungen gemäß Teil I des Anhangs I beeinträchtigt oder den Verwendungszweck ändert, für den das Produkt bewertet wurde".
Wann löst eine Modifikation den Test aus?
Die entscheidende Frage ist, ob die Modifikation:
- Nicht vorgesehen oder geplant war und entweder:
- Die Anhang-I-Teil-I-Konformität beeinträchtigt; oder
- Den deklarierten Verwendungszweck ändert
Geplante Modifikationen sind nicht wesentlich
Wenn der Hersteller die Modifikation im Voraus geplant und dokumentiert hat (z. B. eine modulare Produktarchitektur), ist diese Modifikation nach der CRA-Definition nicht „wesentlich".
Praktische Beispiele
| Änderung | Wesentlich? | Begründung |
|---|---|---|
| Sicherheitspatch für eine Schwachstelle | Nein | Erwartete Wartungsaktivität |
| Hinzufügen einer neuen, nicht im Originalumfang enthaltenen Netzwerkschnittstelle | Wahrscheinlich ja | Ändert Angriffsfläche |
| Nur Umbenennung, keine funktionale Änderung | Nein | Beeinträchtigt Sicherheitskonformität nicht |