Dieses Glossar versammelt und definiert wichtige Begriffe und Wörter für das Verständnis des Cyber Resilience Acts (CRA). Maßgebliche Rechtsquelle für die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ist der englische Text, verfügbar gemacht über die Seite der EU: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847. Wichtigste Unterstützungshilfe zum Verständnis des juristischen Rahmens ist (v. a. für den Gesetzestext) Dirk Heckmann, Anne Paschke e. a.: Cyber Resilience Act. Kommentar. München (C. H. Beck Verlag) 2025, zit. als: Heckmann/Paschke/Bearbeiter CRA, Art. 1 Rn. 1 (kurz: HPBCRA Art. 1 Rn.1).
Das Glossar ist wie die meisten Texte auf dieser Webseite ein „lebendes Dokument“. Änderungen werden daher nicht eigens versioniert. Frei stehende Begriffe ohne Definitionen werden in nächster Zeit ergänzt. Die Einträge des Glossars dienen auch der Verschlagwortung der Texte. Sprich: Wenn Sie unterhalb der Texte ein Wort verschlagwortet sehen, finden Sie eine Definition hier auf dieser Seite.
Stand: 25.03.2026
A
Administrative Cooperation Group (AdCo): Die AdCo CRA ist eine formelle Gruppe. Sie zeichnet verantwrtolich für eine effiziente Zusammenarbeit und Kommunikation der europäischen Marktüberwachungsbehörden und dirigiert eine einheitliche Auslegung der Marktüberwachungen im europäischen Binnenmarkt. Außerdem entwickelt sie gemeinsame Vorgehensweisen und Methodiken zur Umsetzung der Anforderungen des CRA und koordiniert übergreifende Marktüberwachungsmaßnahmen. Den Vorsitz hat seit dem 19.03.2026 das Bundesamt für Sicherheit in der Informationstechnik (BSI) inne.
→ Informationen zu den AdCos der EU.
Akkreditierung ist ein Verfahren, um private Unternehmen (etwa Überwachungsvereinen oder Verbänden) nach Prüfverfahren zu befähigen, Konformitätsprüfungen an Produkten autorisiert und unabhängig durchzuführen. Produkte im CRA werden auf Konformität untersucht und gemeldet. Dazu bedarf eines Verfahrens und einer → Meldestelle
Akkreditierungsstelle, nationale: (Relevanz für CRA recherchieren); es gibt je EU-Staat nur eine nationale Akkreditierungsstelle. In Deutchland ist dies die DAkkS. Die Behörde (Rechtsform GmbH, Anteilseigner mehrheitlich Bund und Länder) prüft in Form eines standardisierten Akkreditierungsprozesses, ob „Organisationen ihre Arbeit nach den Anforderungen international gültiger Normen, gesetzlicher Grundlagen und relevanter Regeln kompetent erbringen können“.
B
Betroffenheit bezeichnet im Kontext von EASY.CRA eine Organisation, die die Bedingungen erfüllt, um due Pflichten des CRA erfüllen zu müssen.
Bevollmächtigter ist jede in der Union ansässige juristische oder natürliche Person, die von einem Hersteller schriftlich ermächtigt wurde, in seinem Namen bestimmte Aufgaben wahrzunehmen.
Botnetz: Ein Botnetz besteht aus Bots (Abk. f. Robot). Ein Bot ist ein Programm, das ferngesteuert auf Computersystemen arbeitet. Die geschieht ohne das Einverständnis des Computernutzenden. Vernetzen sich Tausende von Bots, spricht man von Botnetzen. Bots „befallen“ nicht nur klassische PC, sondern auch andere, oft smarte Geräte, die eine Schnittstelle zum Internet haben. Dazu können alle möglichen Geräte gehören: Router, Webcams, Wetterstationen, Staubsaugerroboter oder auch Spielzeug mit einer Netzwerkschnittstelle. Botnetze erfüllen im Kontext von → Crime as aService (CaaS) verschiedene Funktionen. Bots fungieren als Ausführende von → Ransomware, Botnetze versenden → Phishing-E-Mails oder fahren → DDoS-Attacken. Botnetze sind zentrales Mittel von automatisierter Internetkriminalität.
BSI: Bundesamt für Sicherheit in der Informationstechnik.
C
CE-Kennzeichnung (oder CE-Siegel) ist eine Kennzeichnung, durch die der Hersteller rechtsverbindlich erklärt (Konformitätserklärung), dass sein Produkt mit digitalen Elementen den Anforderungen des Cyber Resilience Acts und den Harmonisierungsvorschriften der Union genügt.
Ein CERT (Computer Emergency and Response Team) ist ein Wissens- und Koordinationszentrum auf übergeordnetem Level (z. B. CERT-Bund, DFN-CERT). Wird oft synoym mit → CSIRT verwendet.
CERT-Bund ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen.1
Crime as aService (CaaS) ist eine Sonderform der organisierten Kriminalität. Mit CaaS bezeichnet man eine zunehmend arbeitsteilig vorgehende „Branche“ von Täter:innen im Internet. Dabei werden sowohl „Dienste“ als auch Organisation hochgradig arbeitsteilig und modularisiert verwirklicht. Oft wissen Mitarbeitende nicht, dass sie Bestandteil einer kriminellen Organisation sind. Diese Orgnisationen bieten für Mitarbeitende ganz normale Arbeitsverträge, etwa mit 13. Monatsgehalt und garantiertem Kitaplatz für Kinder.
Ein CSIRT (Computer Security Incident Response Team) ist ein operatives, spezialisiertes Team, das für die Erkennung, Analyse und Reaktion auf Cyber-Sicherheitsvorfälle zuständig ist, um Schäden zu minimieren, Systeme wiederherzustellen und präventive Maßnahmen zu ergreifen, damit Organisationen effektiv gegen Bedrohungen wie Ransomware-Angriffe und Datenschutzverletzungen gewappnet sind. Diese Teams können intern, extern oder hybride Einheiten sein und sind entscheidend für die IT-Sicherheit und Geschäftskontinuität.
D
DDos: DoS ist die Abkürzung für Denial of Service (Diensterweigerung), DDos für Distributet Denial of Service (verteilte „Dienstverweigerung“). Die deutsche Übersetzung aus dem Englischen erscheint ein wenig Missverständlich. Unter diesem Begriff versteht man die Dienstverweigerung eines Servers im Internet, wenn er mit Anfragen so stark belastet wird, dass seine Kapazitäten nicht mehr ausreichen, um die Anfragen zu bedienen. Wird eine DDoS-Attacke erfolgreich gefahren, ist der Dienst im Netz nicht mehr ansprechbar. Shops können dann beispielsweise keine Verkäufe mehr abwickeln. Das führt zu Umsatzausfällen und Rufschädigung. DDoS-Attacken werden in der Regel von → Botnetzen gefahren.
Produkt mit „digitalen Elementen“ (Definition BSI): „Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z. B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und Smart-Meter-Gateways in intelligenten Messsystemen) als auch reine Softwareprodukte (z. B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.“2
E
Einführer: Jede in der EU ansässige natürliche oder juristische Person, die ein Produkt mit digitalen Elementen aus einem Drittstaat auf dem Markt der EU in den Verkehr bringt.
Exploit: Unter einem Exploit versteht man einen Fehler oder eine Schwachstelle, die von Cyberkriminellen verwendet werden. Mithilfe eines Exploit verschaffen sich Täter unrechtmäßig Zugang zu einem System. Schwachstellen oder Fehler (Bugs) sind in der Softwarerentwicklung normal. Die Fehlerdichte liegt (Angaben variieren) bei circa 15 Bugs pro 1000 Zeilen Code.3 Diese Schwachstellen sind nicht ausschließlich kritisch. Aber manche von ihnen. Werden sie entdeckt und von Cyberkriminellen genutzt,bündeln werden sie Cybercrime-Gruppen in zu Exploit-Kits. Diese werden dann auf Makrplätzen im Darknet an Kriminelle mit weniger technischem Wissen verkauft.
F
FOSS: Abk. Free and Open Source Software. Der Begriff bezeichnet Software, deren Quellcode offen und frei zugänglich ist. Im günstigsten Fall unterliegt FOSS einer Lizenz, die die Veröffentlichung von Varianten einer Software wieder unter einer freien Lizenz vorschreibt (Beispiel ist die GPL/Gnu Public License). Quelloffene Software erlaubt die Durchsicht und Veränderung von Software gemäß den Bestimmungen der jeweiligen Lizenzen.
H
Händler ist jede juristische und natürliche Person in der Lieferkette außer dem Hersteller oder dem Einführer, die ein Produkt mit digitalen Elementen auf dem Markt bereitstellt. Wenn Händler Produkte unter eigenem Namen vertreiben oder wesentlich verändern, gelten sie rechtlich als Hersteller und unterliegen denselben Pflichten.
Harmonisierungsrechtsvorschriften der Union: Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten.
Ein Hersteller ist jede natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt und herstellt oder entwickeln und herstellen lässt und sie unter ihrem Namen oder ihrer Handelsmarke in Verkehr bringt.
I
Inbetriebnahme ist die erstmalige Verwendung eines Produkts mit digitalen Elementen auf dem EU-Markt (HPBCRA Art. 3, Rn. 65-67, S. 84-85).
Inverkehrbringen ist die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem EU-Markt.
IoT
K
Konformität ist die Übereinstimmung sämtlicher Eigenschaften eines Produkts mit digitalen Elementen mit den Anforderungen, die der Cyber Resilience Act an derartige Produkte stellt (HPBCRA Art. 42, Rn. 14).
Konformitätsbewertungsstelle: Als K. („notifizierte Stelle“) zeichnen private Unternehmen verantwortlich (s. Art. 39). Sie helfen den Herstellern von Produkten mit digitalen Inhalten dabei, „die Konformität im Rahmen der Ratingagentur nachzuweisen“.4 Diese Stellen müssen Anforderungen etwa der Neutralität erfüllen und dürfen selbst keine Produkte herstellen. Notifizierte Stellen sind bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert. Notifizierte Stellen im CRA werden von der → notifizierenden Behörde, dem BSI, geprüft und notifiziert.
Ein „Konvoi-Projekt“ ist keine spezifische Methode oder Plattform, sondern ein erweiterbares Organisations- und Beratungsprinzip, das in zwei Hauptformen auftritt: Als Gruppenverfahren (Workshops + individuelle Betreuung, ideal für Kommunen oder Unternehmen zur Skalierung und Kosteneffizienz). Als technisches Lkw-Platooning, bei dem automatische Fahrzeugverbunde realisiert und getestet werden, z. B. von RWTH, MAN, DB Schenker oder EU-Projekten. Je nach Anwendungsfeld unterscheidet sich Methodik und Technologie, das gemeinsame Ziel ist aber stets: „Im Verbund schneller, effizienter und effektiver ans Ziel“.
Kritikalität
M
Meldestelle/-plattform: Die europäische IT-Sicherheitsbehörde ENISA hat eine Meldeplattform für „den effizienten Informationsaustausch zu aktiv ausgenutzten Schwachstellen sowie schwerwiegenden Sicherheitsvorfällen mit Auswirkungen auf die Sicherheit von Produkten (z. B. Manipulationsmöglichkeit von Programmcode, kompromittierter Update-Mechanismus)“ (s. BSI; Art. 14 CRA) eingerichtet. Sie ist die zentrale Instanz, für bekannte Schwachstellen: „Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 benannten CSIRT und der ENISA. Der Hersteller meldet diese aktiv ausgenutzte Schwachstelle über die gemäß Artikel 16 eingerichtete Meldeplattform“ (Art. 14, CRA, HPBCRA, Art. 14, Rn. 36-43, S. 224 f.). Die Meldung geht also über die Plattform der ENISA sowohl ans BSI (verantwortliches CSIRT in Deutschland) als auch an die ENISA.
N
Normen → HPBCRA Art. 3 Rn. 92-97. Was Normung ist, definiert (EU) 1025/2012. Was eine Normung auf internationaler Ebene ist (Internationale Norm, Art. 3, Nr. 34), legen internationale Normungsorganisationen fest. Dies sind die Internationale Normenorganisation (ISO), die Internationale Elektrotechnische Kommission (IEC) und die internationale Fernmeldeunion (ITU). Eine europäische Norm ist dementsprechend das Ergebnis der Normierungsarbeit einer europäischen Normungsorganisation. Dies sind das Europäische Komitee für Normung (CEN) sowie das Europäische Komitee für elektrotechnische Normung (Cenelec) und das Europäische Institut für Telekommunikationsnormen (ETSI).
Norm, harmonisierte: Als harmonisierte, von der EU anerkannte technische Normen (hEN), bezeichnet man Vorgaben, die es Herstellern ermöglichen, die Einhaltung relevanter EU-Vorschriften nachzuweisen. Entwickelt werden hEN zusammen mit den europäischen Normierungsorganisationen CEN/CENELEC im Auftrag der Europäischen Kommission. → HPBCRA Art. 3 Rn. 96-97
Notifizierende Behörde: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeichnet von Oktober 2025 an verantwortlich als notifizierende und marktüberwachende Behörde im CRA-Kontext. Das BSI wurde von der Bundesregierung gegenüber der Europäischen Kommission benannt. Als notifizierende Behörde bewertet und notifiziert das BSI Drittstellen (also Beispielsweise TÜV oder ähnliche Organisationen), damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen und für konform erklären können. Ferner kann das BSI in seiner Funktion als marktüberwachende Behörde IT-Produkte direkt oder per Stichprobe Cybersicherheit überprüfen. Sollte die Behörde Verstöße feststellen, kann sie Produkte mit digitalen Elementen, die nicht mit dem CRA compliant sind, vom Markt nehmen. Außerdem ist sie ermächtigt, Sanktionen und Bußgelder (bis zu 15 Millionen Euro bzw 2,5 Prozent des weltweiten Umsatzes vom vorangegangenen Geschäftsjahres) zu verhängen.
Notifizierte Stelle → Konformitätsbewertungsstelle.
O
Open Source
OT
P
Phishing; Phishing-E-Mails: Mit diesem Begriff bezeichnet man betrügerische E-Mails, die falsche Identitäten vorgaukeln. Damit wird nicht Technik direkt adressiert, sondern sie zielen auf bestimmte Eigenschaften des Menschen ab. Phishing-Mails ahmen heutzutage unter Zuhilfenahme von Künstlicher Intelligenz offizielle Corporate Identities (etwa von Banken oder Telekom-Anbietern) täuschend echt nach, verteilen in der Regel dann → Ransomware und andere Schadsoftware. Ziel dieser → Social-Engineering-Attacke ist es, sich das Vertrauen der Angeschriebenen zu erschleichen. Es gibt unterschiedliche Erscheinungen und Medien, die Phishing kennzeichnen. Diese Technik der Verhaltensmanipulation ist daher nicht auf E-Mails beschränkt. Telefonische Kurznachrichten dienen ebenso als Vehikel (Smishing: SMS+Phishing) wie die Stimme (Vishing: Voice+Phishing) oder QR-Codes (Quishing; nutzt betrügerische QR-Codes). Besondere Formen sind das Spear-Phishing, das gezielt auf existierende Personen abzielt, oder das Whaling, das besondere Verantwortungsträger (CEO) adressiert, um illegal an geheime Daten aus der Organisation zu gelangen.
R
Ransomware ist eine Software der Gattung Malware (Schadsoftware), die in der Regel über Botnetze verteilt wird. Häufigster Distributionskanal ist heute die → Phishing-E-Mail. Bei einer Rasnomwareattacke werden die Datenträger des Wirtsystems der Schadsoftware verschlüsselt. Damit ist ein System funktionsuntauglich. Die Kriminellen fordern dann zur Entschlüsselung einen Lösegeldbetrag. Ransomware ist Teil eines der einträglichsten Geschäftsmodelle, das statistisch den größten finanziellen Schaden anrichtet. In einer zweiten Phase des Angriffs wird dann eine weitere Zahlung dafür verlangt, dass die Daten, die ggf. abgeflossen sind, nicht veröffentlicht werden.
Eine Rücknahme ist eine „Maßnahme, mit der verhindert werden soll, dass ein in der Lieferkette befindliches Produkt auf dem Markt bereitgestellt werden soll“ (HPBCRA Art. 3, Rn. 128, S. 101). Mit Rücknahme soll verhindert werden, dass Endnutzer dieses Produkt erwerben können. → Rückruf.
Rückruf: Ein Rückruf ist „jede Maßnahme, die auf Erwirkung der Rückgabe eines dem Endnutzer bereitgestellten Produkts abzielt“ (HPBCRA Art. 3, Rn. 126, S. 101). Rückrufe beziehen sich auf Produkte, die bereits im Markt käuflich zu erwerben sind. Das unterscheidet den Rückuf von der → Rücknahme.
S
Schwachstelle: Eine Schwachstelle (engl. weakness) ist eine Stelle, an der ein System verwundbar ist oder werden kann. Eine Verwundbarkeit (vulnerability) ist eine Stelle, die es Angreifenden ermöglicht, Sicherheitsvorkehrungen zu umgehen, zu täuschen oder unautorisiert zu modifizieren.
Social Engineering: Unter Social Engineering bündelt man sowohl „analoge“ als auch digitale Techniken, sich Zugang oder andere Vorteile auf strafrechtlich relevante Weise zu verschaffen. Wenn jemand sich Zugang zu einem Büro verschafft, in dem er behauptet, Dienstleister zu sein, der etwas überprüfen müsse, und es schafft, dann war dies erfolgreiches Social Engineering. Unter digitales Social Engineering fällt beispielsweise → Phishing. Alle Formen des analogen Betrugs lassen sich auch in digitalen Kontexten realisieren, etwa der Enkeltrick, bei dem sich Anrufer das Vertrauen erschleichen und unter Angabe falscher Kontodaten Menschen um ihr Vermögen betrügen. Social Engineering manipuliert Menschen, damit diese Informationen weitergeben, die sie nicht für andere bestimmt sind. Mit diesen Tricks werden Menschen auch dazu gebracht, Software zu installieren, die ihre Systeme kompromittieren. Das gilt auch für deb Besuch speziell präparierter Websites. Derartige Mechanismen gefährden die persönliche Sicherheit oder die Sicherheit einer Organisation.
Spezifikation, technische: Die technischen Spezifikationen stellen ein Kernelement des CRA dar und sind Bestandteil der Verpflichtungen, die Hersteller von digitalen Elementen erfüllen müssen. In den Anhängen II und VII werden die Anforderungen beschrieben. Anhang II beschreibt, welche Informationen Nutzer:innen erhalten müssen. Das sind nicht nur Herstellernamen und Anschriften, Kontakt, Typ oder Zweckbestimmung. Es muss gegebenenfalls auch ein Link auf die EU-Konformitätserklärung verfügbar gemacht werden. Natürlich sollen ausführliche Anleitungen Endkund:innen weitgehend über alle sicherheitsrelevanten Sachverhalte in Kenntnis setzen. Die eher technischen Anforderungen an die Dokumentation sind in Anhang VII wiedergegeben.
V
Verordnung
W
Wirtschaftsakteur: Aus der Sicht des Cyber Resilience Act (CRA) sind Wirtschaftsakteure alle natürlichen oder juristischen Personen, die an der Herstellung, dem Import, dem Vertrieb oder der Bereitstellung von Produkten mit digitalen Elementen auf dem EU-Markt beteiligt sind. Ausgenommen (HPBCRA Art. 23 Rn. 1, S. 297) sind Endnutzer.
Z
Zero Day Exploit: Ein Zero-Day-Exploit (gelegentlich Zero-Hour-Exploit) ist eine Schwachstelle (→ Exploit) in Software. Diese ist nicht öffentlich. Nur Cyberkriminelle, die sie geöffnet oder realisiert haben, kennen sie. Daher gibt es auch keinen Patch, um die Schwachstelle abzudichten. Wird ein Exploit öffentlich, ist er kein Zero-Day mehr.
Fußnoten
- S. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/cert-bund_node.html. ↩︎
- S. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html. ↩︎
- Um einen Eindruck von der Dimension halbwegs aktueller Software-Projekte zu erhalten: Ein Office-Paket besteht heute geschätzt aus einer Anzahl von Codezeilen im untersten zweistelligen Millionen-Bereich; Anfang 01.2025 umfasste der Linux-Kernel über 40 Millionen Zeilen Code. ↩︎
- S. https://digital-strategy.ec.europa.eu/de/policies/cra-conformity-assessment. ↩︎