Die meisten Hersteller von Medizinprodukten glauben, dass die CRA-Konformität für Medizinprodukte nicht für sie gilt. Damit haben sie halbwegs Recht. Und genau das ist das Gefährliche daran.
CRA-Ausnahmeregelung für Medizinprodukte: Die damit verbundenen Risiken
Medizinprodukte, die unter die MDR und IVDR fallen, sind ausdrücklich von der CRA ausgenommen. Ihre eingebettete Gerätesoftware – der Teil, der als Medizinprodukt gilt – unterliegt weiterhin der IEC 62304, dem Anhang I der MDR und den damit verbundenen Cybersicherheitsanforderungen.
Aber Ihr Gerät arbeitet nicht alleine.
Es verbindet sich mit einer Begleit-App. Es kommuniziert mit einem Cloud-Dashboard. Es empfängt Firmware-Updates über einen Update-Server. Es überträgt Daten über WLAN oder Bluetooth.
Jede dieser Komponenten kann unter eine andere Verordnung fallen. Und die meisten von ihnen sind nicht ausgenommen.
CRA, MDR und RED: Drei Vorschriften für ein Medizinprodukt
Die MDR/IVDR regelt das Medizinprodukt selbst.
Die Funkgeräterichtlinie (RED) regelt internetfähige Funkgeräte – die Cybersicherheitsanforderungen gemäß Artikel 3.3(d), (e) und (f) sind seit dem 1. August 2025 verbindlich.
Das Gesetz zur Cyber-Resilienz (Cyber Resilience Act, CRA) regelt Produkte mit digitalen Elementen – darunter Begleit-Apps, Cloud-Dienste und Update-Infrastrukturen, die nicht als Medizinprodukte eingestuft sind.
Ihr Gerät ist möglicherweise ausgenommen. Ihr Ökosystem ist es nicht.
Wichtige Ausnahme: Selbst unter der aktuellen CRA-Ausnahmeregelung müssen medizinische Wearables (am Körper getragene Geräte) die CRA-Anforderungen erfüllen. Die Ausnahmeregelung ist enger gefasst, als viele Hersteller annehmen.
11. September 2026: Die Frist, auf die sich niemand vorbereitet
Die vollständige Durchsetzung der CRA beginnt am 11. Dezember 2027. Die Meldepflichten für Schwachstellen gemäß Artikel 14 treten jedoch bereits am 11. September 2026 in Kraft.
Ab diesem Datum müssen Hersteller von Produkten, die in den Geltungsbereich fallen:
- Reichen Sie innerhalb von 24 Stunden, nachdem Sie Kenntnis von einer aktiv ausgenutzten Schwachstelle erhalten haben, eine Frühwarnung bei der ENISA und dennationalen CSIRTsein.
- Innerhalb von 72 Stunden eine detaillierte Benachrichtigung über die Sicherheitslücke bereitstellen
- Reichen Sie spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme einen Abschlussbericht ein.
Dies ist keine Dokumentationsübung. Es handelt sich um eine operative Fähigkeit, die man entweder hat oder nicht hat.
Hinweis für KMU: Die CRA sieht vor, dass Kleinstunternehmen und kleine Unternehmen nicht mit einer Geldstrafe belegt werden können, wenn sie die 24-Stunden-Meldefrist nicht einhalten. Die Meldepflicht selbst gilt jedoch weiterhin – und die für die Erkennung und Bewertung von Schwachstellen erforderliche operative Infrastruktur muss weiterhin vorhanden sein.
Ein Szenario, das eintreten kann
Eine kritische OpenSSL-Sicherheitslücke wird derzeit aktiv ausgenutzt.
Ihr Cloud-Dashboard läuft mit OpenSSL 1.1.1. Ihre Begleit-App verwendet eine gemeinsam genutzte Bibliothek, die davon abhängig ist. Ihr OTA-Update-Server wurde seit 18 Monaten nicht mehr geprüft.
Können Sie – jetzt sofort – diese Fragen beantworten?
- Welche eingesetzten Produkte sind betroffen?
- Ist die Schwachstelle in Ihrer spezifischen Konfiguration ausnutzbar?
- Können Sie die Behörden innerhalb von 24 Stunden benachrichtigen?
- Können Sie einen sicheren Patch für Ihre gesamte installierte Basis bereitstellen?
Wenn nicht, sind Sie nicht bereit für September 2026.
Die Befreiung ist möglicherweise nicht von Dauer
Im Dezember 2025 veröffentlichte die Europäische Kommission einen Vorschlag zur Änderung der MDR und der IVDR, mit dem die CRA-Ausnahme für Medizinprodukte vollständig abgeschafft werden soll. Gemäß diesem Vorschlag würde die Cybersicherheit ausdrücklich in die allgemeinen Sicherheits- und Leistungsanforderungen (GSPR) in Anhang I der MDR und der IVDR aufgenommen, und Medizinprodukte würden nicht mehr von der CRA ausgenommen sein.
Der Vorschlag führt auch neue Verpflichtungen für Hersteller von Medizinprodukten ein, aktiv ausgenutzte Schwachstellen und schwerwiegende Cybervorfälle den nationalen CSIRTs und der ENISA zu melden – entsprechend den Anforderungen von Artikel 14 der CRA.
Dies ist ein Vorschlag der Kommission, der noch nicht angenommen wurde. Er muss vom Europäischen Parlament und vom Rat genehmigt werden, was in der Regel 12 bis 24 Monate dauert. Die Richtung ist jedoch klar: Die Cybersicherheitsverpflichtungen für Hersteller von Medizinprodukten werden ausgeweitet und nicht eingeschränkt.
Unabhängig davon, ob die Ausnahmeregelung bestehen bleibt oder wegfällt, benötigen Sie dieselbe technische Infrastruktur: SBOM, CVE-Überwachung, OTA-Updates und Incident-Response-Fähigkeiten.
Was die Einhaltung der CRA-Vorschriften für Ihr Ingenieurteam bedeutet
In den Bereichen MDR, RED und CRA einigen sich die Regulierungsbehörden auf einen Grundsatz: Hersteller müssen wissen, was in ihrer Software enthalten ist, diese kontinuierlich überwachen und schnell patchen.
Das lässt sich nicht durch die Beauftragung eines Regulierungsberaters für zwei Wochen lösen. Es erfordert eine technische Infrastruktur:
- Eine aus dem Build abgeleitete Software-Stückliste (SBOM) – keine Tabelle, sondern ein Live-Artefakt aus Ihrer tatsächlichen Build-Pipeline.
- Kontinuierliche CVE-Überwachung abgeglichen mit Ihren bereitgestellten Binärdateien
- Sichere Over-the-Air-Update-Funktion (OTA)
- Prüfungsbereite Dokumentation, die Ihre SBOM mit Ihrer Risikoanalyse verknüpft
- Qualifizierte Lieferanten gemäß ISO 13485 für kritische Softwarekomponenten
Die Einhaltung von Cybersicherheitsvorschriften ist heute eine architektonische Entscheidung und keine nachträgliche regulatorische Maßnahme.
Die eigentliche Frage
Die Frage ist nicht, ob die CRA heute für Ihr Medizinprodukt gilt.
Die Frage ist, ob Ihr gesamtes Produkt-Ökosystem – Geräte-Betriebssystem, Begleit-App, Cloud-Backend, Update-Infrastruktur – nach September 2026 einer behördlichen Prüfung standhalten kann. Und ob Sie bereit sein werden, wenn die Ausnahmeregelung weiter eingeschränkt wird oder ganz wegfällt.
Die Frist für die Meldung von Sicherheitslücken an die CRA endet am 11. September 2026. Zählen Sie von diesem Datum rückwärts – das ist die Zeit, die Ihnen zur Verfügung steht.
Regulatorischer Rahmen, beschrieben im Februar 2026.
Sind Sie bereit für CRA? Finden Sie es in 5 Minuten heraus.
Wir haben ein detailliertes Whitepaper mit einer Checkliste zur Selbstbewertung veröffentlicht, die alle drei Verordnungen (MDR, RED, CRA) abdeckt, sowie einen Leitfaden zur Klassifizierung von Komponenten, Strafbeträge und einen 90-Tage-Aktionsplan, um bis September 2026 die Betriebsbereitschaft zu erreichen.
Sie können keine 90 Tage warten?
Wir liefern die Betriebssystemebene, von der Ihre CRA-Konformität abhängt.
SBOM · CVE-Überwachung · OTA-Updates · IEC 62304-Dokumente – in 30 Tagen.
BUCHEN SIE EIN BERATUNGSGESPRÄCH →ISO 13485-zertifiziert (Softwareentwicklung und Cybersicherheit) · l4b-software.com
**Dieser Artikel dient ausschließlich allgemeinen Informationszwecken und stellt keine rechtliche oder regulatorische Beratung dar.
Sie müssen eingeloggt sein, um einen Kommentar abzugeben.