Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Bevollmächtigter nach dem Cyber Resilience Act (Artikel 18)

Zusammenfassung

Fünf Punkte zu Artikel 18 des Cyber Resilience Act, bevor Sie entscheiden, ob Sie einen Bevollmächtigten benennen.

Rechtsgrundlage: Artikel 18 Absatz 1 der Verordnung (EU) 2024/2847 (der Cyber Resilience Act) ist erlaubend: „Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.“ Die Benennung ist freiwillig. Es gibt keine gesonderte Klausel, die sie für Hersteller außerhalb der EU vorschreibt (anders als Artikel 11 MDR oder Artikel 5 RED).
Warum trotzdem benennen: Ein einziger in der Union ansässiger rechtlicher Ansprechpartner für Marktüberwachungsbehörden, Dokumentenverwahrung durch eine Stelle innerhalb der einschlägigen Rechtsordnung und operative Gleichwertigkeit mit bestehenden Vereinbarungen unter MDR/RED, die viele Hersteller außerhalb der EU bereits haben. Praktischer Nutzen, kein rechtlicher Zwang.
Was ein Bevollmächtigter tun darf: Artikel 18 Absatz 3 legt den maximalen Umfang fest: die EU-Konformitätserklärung und die technische Dokumentation mindestens zehn Jahre (oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist) bereithalten; den Marktüberwachungsbehörden auf begründetes Verlangen Informationen übermitteln; bei Maßnahmen zur Abwendung der Risiken zusammenarbeiten.
Was beim Hersteller bleibt: Artikel 18 Absatz 2 nimmt die Pflichten aus Artikel 13 Absatz 1 bis Absatz 11, Artikel 13 Absatz 12 Unterabsatz 1 und Artikel 13 Absatz 14 vom Auftrag aus. Grundlegende Cybersicherheitsanforderungen, Schwachstellenbehandlung und Konformitätsbewertung können nicht an den Bevollmächtigten delegiert werden.
Einführer nach Artikel 19: Wird das Produkt eines Herstellers außerhalb der EU über eine in der Union ansässige Handelsstelle in den Verkehr gebracht, ist diese Stelle nach der Begriffsbestimmung (Artikel 3 Nummer 14) der Einführer und trägt die Pflichten aus Artikel 19 unabhängig von einer Benennung eines Bevollmächtigten.
Wo wir stehen: CRA Evidence ist die Evidenz-Plattform für Dokumentenverwahrung nach Artikel 18 Absatz 3, Behördenkommunikation und Aufzeichnung von Korrekturmaßnahmen, eingesetzt unmittelbar durch Hersteller, durch Bevollmächtigte oder durch beide. Außerdem bauen wir ein Partnernetz aus in der Union ansässigen Bevollmächtigten auf; selbst übernehmen wir derzeit keine Aufträge als Bevollmächtigter.

Sollten Sie einen Bevollmächtigten benennen?

Die Benennung eines Bevollmächtigten ist nach Artikel 18 Absatz 1 CRA freiwillig. Die Entscheidung ist operativ, nicht rechtlich: Überwiegen die praktischen Vorteile eines in der Union ansässigen rechtlichen Ansprechpartners die Kosten des Auftrags? Die folgenden Faktoren decken die üblichen Überlegungen ab.

Faktor

Eher dafür

Eher dagegen

EU-Präsenz des Herstellers

Der Hersteller ist außerhalb der Union ansässig und hat kein EU-Büro, das die Korrespondenz mit Marktüberwachungsbehörden glaubhaft führen kann.

Der Hersteller ist in der Union ansässig oder hat eine EU-Tochtergesellschaft, die die regulatorische Korrespondenz bereits führt.

Weitere EU-Rechtsakte

Das Produkt fällt zusätzlich unter MDR oder RED, die beide einen Bevollmächtigten für Hersteller außerhalb der EU vorschreiben. Dieselbe Stelle auch für den CRA-Anwendungsbereich zu nutzen, ist operativ einfacher.

Das Produkt fällt nur unter den CRA, ohne parallele Pflicht zur Benennung eines Bevollmächtigten unter MDR oder RED.

Behördenkorrespondenz

Sie möchten die Korrespondenz mit Marktüberwachungsbehörden über einen lokalen Ansprechpartner in der EU in der Sprache und Zeitzone des einschlägigen Mitgliedstaats führen.

Sie können begründete Auskunftsersuchen nach Artikel 18 Absatz 3 Buchstabe b direkt aus dem Hauptsitz des Herstellers bedienen.

Dokumentenverwahrung

Sie möchten die zehnjährige Aufbewahrung der EU-Konformitätserklärung und der technischen Dokumentation durch einen in der Union ansässigen Verwahrer.

Sie betreiben bereits eine interne Evidenz-Plattform, die die Dokumentation auf Verlangen für die Behörden zugänglich hält.

Einführer-Route

Mehrere Einführer oder Händler in der EU und Sie möchten einen einzigen benannten Bevollmächtigten über den gesamten Vertriebsweg statt geteilter Verantwortung.

Ein einziger vertrauenswürdiger Einführer in der EU, der die Prüfung nach Artikel 19 und die Dokumentenaufbewahrung bereits durchführt.

Keiner dieser Faktoren begründet eine rechtliche Pflicht. Der CRA sanktioniert das Fehlen eines Bevollmächtigten nicht. Es sind operative Hebel; die meisten Hersteller außerhalb der EU in regulierten Branchen benennen am Ende doch einen, weil die operative Vereinfachung mehr wert ist als die Auftragsgebühr.

Sie haben sich für einen Bevollmächtigten entschieden? Wir bauen ein Partnernetz aus in der Union ansässigen Bevollmächtigten mit Erfahrung in MDR, RED und RoHS auf. Nennen Sie uns Produkt und Mitgliedstaat, wir vermitteln den Kontakt, sobald eine Partnerschaft steht →

Wofür ein Bevollmächtigter nach Artikel 18 Absatz 3 einsteht

Den Umfang des Auftrags legt der Hersteller schriftlich fest, er muss aber mindestens die drei folgenden Aufgaben abdecken. Genau auf diese werden Marktüberwachungsbehörden zuerst hinwirken.

Artikel 18 Absatz 3 Buchstabe a

Die EU-Konformitätserklärung und die technische Dokumentation nach Anhang VII zehn Jahre lang bereithalten.

Bereithaltung der in Artikel 28 genannten EU-Konformitätserklärung und der in Artikel 31 genannten technischen Dokumentation für die Marktüberwachungsbehörden mindestens zehn Jahre lang ab dem Inverkehrbringen des Produkts mit digitalen Elementen oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist

Artikel 18 Absatz 3 Buchstabe b

Den Behörden auf begründetes Verlangen Dokumentation und Informationen übermitteln.

Übermittlung aller zum Nachweis der Konformität des Produkts mit digitalen Elementen erforderlichen Informationen und Unterlagen an eine Marktüberwachungsbehörde auf deren begründetes Verlangen

Artikel 18 Absatz 3 Buchstabe c

Mit den Behörden bei Korrekturmaßnahmen und der Abwendung von Risiken zusammenarbeiten.

Zusammenarbeit mit den Marktüberwachungsbehörden auf deren Verlangen bei allen Maßnahmen zur Abwendung der Risiken, die von einem Produkt mit digitalen Elementen ausgehen, das zum Aufgabenbereich des Bevollmächtigten gehört

Bevollmächtigter und Einführer: unabhängige Rollen

Der Bevollmächtigte nach Artikel 18 und der Einführer nach Artikel 19 sind getrennte Rollen mit unterschiedlichen Auslösern. Den Bevollmächtigten gibt es, wenn ein Hersteller ihn benennt; den Einführer gibt es durch das wirtschaftliche Faktum, dass eine in der Union ansässige Person das Produkt eines außerhalb der EU ansässigen Herstellers in den Verkehr bringt. Keiner von beiden ersetzt den anderen, in keine Richtung.

Bevollmächtigter · Art. 18

Einführer · Art. 19

Auslöser

Freiwillig. Ein Hersteller kann einen Bevollmächtigten schriftlich benennen (Art. 18 Abs. 1).

Status kraft Begriffsbestimmung. Wer, in der Union ansässig, das Produkt mit Namen oder Marke eines außerhalb der EU ansässigen Herstellers in den Verkehr bringt, ist der Einführer (Art. 3 Nr. 14).

Begründet durch

Schriftlicher Auftrag des Herstellers an eine in der Union ansässige natürliche oder juristische Person.

Den kommerziellen Vertriebsweg. Keine Benennung, kein Auftrag.

Maximaler Umfang

EU-Konformitätserklärung und technische Dokumentation mindestens zehn Jahre bereithalten; auf begründetes Verlangen der Marktüberwachungsbehörde übermitteln; bei Korrekturmaßnahmen zusammenarbeiten (Art. 18 Abs. 3). Artikel 18 Absatz 2 nimmt die materiellen Pflichten aus Artikel 13 vom Auftrag aus.

Konformitätsbewertung, CE-Kennzeichnung, EU-Konformitätserklärung und Bedienungsanleitungen prüfen; Unterlagen mindestens zehn Jahre aufbewahren; mit den Behörden zusammenarbeiten; vermutete Nichtkonformität und Kenntnis von Schwachstellen melden (Art. 19 Abs. 1 bis 8).

Ersetzt den anderen?

Nein. Die Benennung eines Bevollmächtigten nimmt der Person, die das Produkt in den Unionsmarkt einführt, die Einführerpflichten nicht ab.

Nein. Die Einführerpflichten nach Artikel 19 bestehen unabhängig. Sie begründen keine Benennung eines Bevollmächtigten und beenden sie auch nicht.

Dieselbe Stelle zulässig?

Ja. Eine in der Union ansässige Stelle kann sowohl den Auftrag als Bevollmächtigter als auch die Einführerrolle wahrnehmen, mit getrennten schriftlichen Aufträgen und einem Versicherungsschutz, der beide Rollen abdeckt.

Praktische Konsequenz: Die Entscheidung, einen Bevollmächtigten zu benennen, ist unabhängig davon, wer das Produkt einführt. Ein Einführer in der EU befreit den Hersteller von keiner Cybersicherheitspflicht, und ein Bevollmächtigter befreit den Einführer von keiner Pflicht nach Artikel 19. Wenn ein EU-Partner beide Rollen übernehmen soll, ist das zulässig; Sie brauchen einen schriftlichen Auftrag als Bevollmächtigter, der vom kommerziellen Liefervertrag getrennt ist, und einen Versicherungsschutz, der beide Funktionen abdeckt.

Worauf Sie bei der Benennung eines Bevollmächtigten achten sollten

Wenn Ihre Lieferantenlandschaft bereits Stellen aus MDR, RED oder RoHS umfasst, ist das ein vernünftiger Ausgangspunkt. Die CRA-spezifischen Prüfungen unten unterscheiden einen tragfähigen Bevollmächtigten von einem, der beim ersten Behördenschreiben ins Straucheln gerät.

Sitz: In der Union ansässige juristische Person in einem Mitgliedstaat, mit eingetragenem Sitz und lokalem Ansprechpartner.
Versicherung: Berufshaftpflicht mit ausdrücklich auf den CRA-Anwendungsbereich und die Produktklassifizierungen nach Anhang III erweitertem Deckungsumfang.
Branchenerfahrung: Nachweisbare Erfahrung unter MDR, dem delegierten Rechtsakt zur Cybersicherheit der RED oder RoHS, also den Stellen, die heute glaubwürdig in CRA-Mandate hineinwachsen.
Dokumentenverwahrung: Plattform, die die zehnjährige Aufbewahrungspflicht mit manipulationssicherem Prüfpfad und behördenfertigen Exporten erfüllt.
Verantwortlichkeit: Eine namentlich benannte natürliche Person, die gegenüber den Behörden verantwortlich ist, nicht ein anonymes Postfach der Rechtsabteilung.
Sprache: Fähigkeit, die Zusammenarbeit bei Korrekturmaßnahmen nach Artikel 18 Absatz 3 Buchstabe c in der Sprache der einschlägigen Mitgliedstaatsbehörde zu führen.

Sie wissen, wonach Sie suchen, aber nicht, wo Sie anfangen sollen? Sparen Sie sich die Kaltakquise. Fordern Sie eine Vermittlung an, sobald unser Partnernetz live geht →

Wie CRA Evidence Artikel 18 unterstützt

Ob der Hersteller die Dokumentenverwahrung selbst übernimmt, sie an einen externen Bevollmächtigten gibt oder die Arbeit mit einem Einführer in der EU teilt, die operativen Aufgaben sind dieselben: ein vollständiges technisches Dossier führen, es den Behörden auf begründetes Verlangen übergeben und Korrekturmaßnahmen dokumentieren. CRA Evidence ist die Plattform, die diese Arbeit trägt, mit oder ohne Bevollmächtigten.

Artikel 18 Absatz 3 Buchstabe a

EU-Konformitätserklärung und technische Dokumentation nach Anhang VII mindestens zehn Jahre bereithalten

Anhang-VII-Bündel, unterzeichnete EU-Konformitätserklärungen und die zugrundeliegenden SBOMs, VEX und Risikobewertungen werden unter einer harten zehnjährigen Aufbewahrungsregel mit manipulationssicherem Prüfprotokoll gespeichert.

Export des technischen Dossiers packt Anhang VII in eine maschinenlesbare ZIP-Datei mit Manifest.
Konformitätsnachweise erstellen mehrsprachige PDFs der EU-Konformitätserklärung (Modul A / B+C / H / EUCC); nach Ausstellung unveränderbar.
Artefakt-Signatur (Sigstore mit oder ohne Schlüssel) schreibt Signaturen in ein Transparenzprotokoll und sichert so die Nichtabstreitbarkeit.
Zehnjährige Aufbewahrung für SBOMs, Dokumente, Audit-Ereignisse und Schwachstellenaufzeichnungen, ohne vorzeitige Löschung bei einem Tarifwechsel.

Artikel 18 Absatz 3 Buchstabe b

Den Marktüberwachungsbehörden auf begründetes Verlangen alles bereitstellen

Wenn eine Behörde schreibt, hat der Bevollmächtigte eine nummerierte Anfrage, eine Frist und ein Evidenz-Paket auf einen Klick. Kein Suchen über Laufwerke, keine fehlenden Dokumente.

Behördenanfrage-Service nimmt Anfragen der Marktüberwachung mit AUTH-JJJJ-NNNN-Verfolgung, Fristen und Erkennung überfälliger Vorgänge entgegen.
Aufbau des Antwortpakets erstellt versandfertig eine ZIP-Datei mit Manifest, Produktangaben, Lieferketten-Nachweisen, Prüfpfad und README.
Einheitliche Evidenz-Ansicht normalisiert SBOM, HBOM, VEX, Dokumente, Zertifikate und Annex-II-UII in einen einzigen abfragbaren Index.
Lieferantenportal vergibt token-begrenzte, audit-protokollierte externe Zugänge für Behörden oder Partner aus der Lieferkette.

Artikel 18 Absatz 3 Buchstabe c

Bei Korrekturmaßnahmen und der Abwendung von Risiken zusammenarbeiten

Schwachstellenbehandlung, VEX und Aufzeichnungen zu Korrekturmaßnahmen werden in dieselbe Evidenz-Basis mit Prüfpfad geschrieben, sodass der Bevollmächtigte den Behörden zeigen kann, was wann von wem getan wurde.

Lebenszyklus einer Behördenanfrage: eingegangen → bestätigt → in_bearbeitung → beantwortet → geschlossen, mit erfasstem Antwortweg, Aktenzeichen und Dokumentenliste.
VEX-Automatisierung (CycloneDX, CSAF, OpenVEX) erfasst Entscheidungen zur Ausnutzbarkeit pro Fund.
ENISA-Meldeworkflow für Meldungen nach Artikel 14 in 24 Stunden / 72 Stunden / 14 Tagen (in aktiver Entwicklung).
Prüfpfad erfasst jede Versionsaktualisierung, jeden Dokumentenwechsel und jede Freigabe, die vollständige Abstammung der Korrekturmaßnahmen.

Wenn Sie einen Bevollmächtigten benennen, liegt der Auftrag bei ihm. So oder so laufen die Evidenzen auf CRA Evidence. Sehen Sie, wie eine Übergabe nach Artikel 18 auf der Plattform tatsächlich abläuft, 14 Tage kostenlos, ohne Karte.

Auf CRA Evidence ansehen Brauchen Sie Hilfe bei der Suche nach einem Bevollmächtigten?

Artikel 18 und Artikel 19 im Wortlaut

Aus der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Auszugsweise wiedergegeben; maßgeblich ist die konsolidierte Fassung auf EUR-Lex.

Artikel 18 · Bevollmächtigte

1. Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.

2. Die in Artikel 13 Absatz 1 bis Absatz 11, Artikel 13 Absatz 12 Unterabsatz 1 und Artikel 13 Absatz 14 festgelegten Pflichten sind nicht Teil des Auftrags des Bevollmächtigten.

3. Ein Bevollmächtigter nimmt die Aufgaben wahr, die in dem vom Hersteller erteilten Auftrag festgelegt sind. Der Bevollmächtigte legt den Marktüberwachungsbehörden auf Verlangen eine Kopie des Auftrags vor. Der Auftrag muss es dem Bevollmächtigten ermöglichen, mindestens folgende Aufgaben wahrzunehmen:

a) Bereithaltung der in Artikel 28 genannten EU-Konformitätserklärung und der in Artikel 31 genannten technischen Dokumentation für die Marktüberwachungsbehörden mindestens zehn Jahre lang ab dem Inverkehrbringen des Produkts mit digitalen Elementen oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist;

b) Übermittlung aller zum Nachweis der Konformität des Produkts mit digitalen Elementen erforderlichen Informationen und Unterlagen an eine Marktüberwachungsbehörde auf deren begründetes Verlangen;

c) Zusammenarbeit mit den Marktüberwachungsbehörden auf deren Verlangen bei allen Maßnahmen zur Abwendung der Risiken, die von einem Produkt mit digitalen Elementen ausgehen, das zum Aufgabenbereich des Bevollmächtigten gehört.

Quelle · EUR-Lex CELEX 32024R2847, Artikel 18 (Wortlaut)

Artikel 19 · Pflichten der Einführer (unabhängig von der Benennung eines Bevollmächtigten)

1. Die Einführer bringen nur Produkte mit digitalen Elementen in den Verkehr, die den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen und bei denen die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II genügen.

2. Bevor sie ein Produkt mit digitalen Elementen in den Verkehr bringen, stellen die Einführer sicher, dass

a) der Hersteller die geeigneten Konformitätsbewertungsverfahren nach Artikel 32 durchgeführt hat;

b) der Hersteller die technische Dokumentation erstellt hat;

c) das Produkt mit digitalen Elementen mit der in Artikel 30 genannten CE-Kennzeichnung versehen ist und ihm die EU-Konformitätserklärung gemäß Artikel 13 Absatz 20 sowie die Informationen und Anleitungen für den Nutzer gemäß Anhang II in einer Sprache, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann, beigefügt sind;

d) der Hersteller die in Artikel 13 Absätze 15, 16 und 19 genannten Anforderungen erfüllt.

Die folgenden Absätze von Artikel 19 (Absätze 3 bis 8) regeln den Umgang mit Nichtkonformität, die Kennzeichnung des Einführers auf dem Produkt, Korrekturmaßnahmen und Schwachstellenmeldungen, die zehnjährige Dokumentenaufbewahrung, die Beantwortung begründeter Verlangen der Marktüberwachungsbehörden und die Pflicht, Behörden und Nutzer zu unterrichten, wenn der Hersteller seine Betriebstätigkeit einstellt. Diese Pflichten treffen denjenigen, der als Einführer in der EU auftritt, unabhängig von jeder Benennung eines Bevollmächtigten nach Artikel 18.

Quelle · EUR-Lex CELEX 32024R2847, Artikel 19 (Wortlaut, Absätze 1 und 2; Absätze 3 bis 8 zusammengefasst)

Häufig gestellte Fragen

Ist die Benennung eines Bevollmächtigten nach dem CRA verpflichtend?

Nein. Artikel 18 Absatz 1 der Verordnung (EU) 2024/2847 lautet wörtlich: „Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.“ Das ist erlaubend. Der CRA macht die Benennung eines Bevollmächtigten nicht zur Voraussetzung dafür, Produkte in den Unionsmarkt zu bringen, auch nicht für Hersteller außerhalb der EU. Das unterscheidet ihn von Artikel 11 MDR und Artikel 5 RED, die beide einen Bevollmächtigten für Hersteller außerhalb der EU verlangen. Fällt ein CRA-Produkt zugleich unter MDR oder RED, gilt die dortige Pflicht zur Benennung weiter.

Warum würde ein Hersteller außerhalb der EU dennoch einen Bevollmächtigten nach dem CRA benennen?

Mehrere praktische Gründe. Ein einziger in der Union ansässiger rechtlicher Ansprechpartner verringert Reibung mit Marktüberwachungsbehörden, die Korrespondenz mit einer Stelle in ihrer Rechtsordnung und Sprache bevorzugen. Der Bevollmächtigte kann die EU-Konformitätserklärung und die technische Dokumentation für die zehnjährige Aufbewahrungsfrist nach Artikel 18 Absatz 3 Buchstabe a vor Ort bereithalten. Viele Hersteller außerhalb der EU haben bereits einen Bevollmächtigten unter MDR oder RED und finden es operativ einfacher, diese Vereinbarung auf den CRA-Anwendungsbereich auszudehnen. Schließlich kann ein klar benannter Bevollmächtigter in der EU die Bearbeitungszeit verkürzen, wenn ein begründetes Verlangen nach Artikel 18 Absatz 3 Buchstabe b eingeht.

Was kann an einen Bevollmächtigten nach dem CRA delegiert werden und was nicht?

Artikel 18 Absatz 2 nimmt die Pflichten aus Artikel 13 Absatz 1 bis Absatz 11, Artikel 13 Absatz 12 Unterabsatz 1 und Artikel 13 Absatz 14 ausdrücklich vom Auftrag des Bevollmächtigten aus. Die materiellen Cybersicherheitspflichten (grundlegende Anforderungen, Schwachstellenbehandlung, Konformitätsbewertung) können nicht auf den Bevollmächtigten übertragen werden. Artikel 18 Absatz 3 legt den maximalen Aufgabenumfang fest: EU-Konformitätserklärung und technische Dokumentation mindestens zehn Jahre bereithalten, den Behörden auf begründetes Verlangen Informationen und Unterlagen übermitteln und bei Maßnahmen zur Abwendung von Risiken zusammenarbeiten. Der Hersteller bleibt stets die rechtlich verantwortliche Stelle für die materiellen Cybersicherheitspflichten.

Worin unterscheiden sich ein Bevollmächtigter nach dem CRA und ein Einführer in der EU?

Es sind unabhängige Rollen. Nach der Begriffsbestimmung in Artikel 3 ist der Einführer eine in der Union ansässige Person, die ein Produkt mit Namen oder Marke eines außerhalb der EU ansässigen Herstellers in den Unionsmarkt bringt. Einführer tragen ihre eigenen Pflichten aus Artikel 19, unabhängig davon, ob ein Bevollmächtigter benannt ist. Ein Bevollmächtigter übernimmt nach seiner Benennung die im Auftrag aufgeführten Aufgaben aus Artikel 18 Absatz 3. Sie ersetzen einander nicht: die Einführerrolle entsteht durch den kommerziellen Vertriebsweg, die Bevollmächtigtenrolle durch einen schriftlichen Auftrag. Eine Stelle in der EU kann beide Rollen wahrnehmen, mit getrennten Unterlagen.

Kann mein Einführer oder Händler in der EU zugleich mein Bevollmächtigter sein?

Ja. Der CRA verbietet einer in der Union ansässigen Stelle nicht, gleichzeitig die kommerzielle Rolle des Einführers oder Händlers und den Auftrag als Bevollmächtigter wahrzunehmen. Die Funktionen bleiben rechtlich getrennt: Der Einführer trägt die Pflichten aus Artikel 19 aus der kommerziellen Lieferbeziehung, der Bevollmächtigte trägt die Aufgaben aus Artikel 18 Absatz 3 aus einem schriftlichen Auftrag. Um beide zu kombinieren, brauchen Sie einen gesonderten schriftlichen Auftrag als Bevollmächtigter, der ausdrücklich Artikel 18 Absatz 3 abdeckt, eine Berufshaftpflicht, die beiden Rollen gerecht wird, und eine klare vertragliche Trennung zwischen beiden Funktionen.

Haftet der Bevollmächtigte für Produktfehler oder nur für Dokumentationspflichten?

Der Bevollmächtigte verantwortet nur die im schriftlichen Auftrag aufgeführten Aufgaben, die unter dem CRA durch Artikel 18 Absatz 3 begrenzt sind: Dokumentenverwahrung, Reaktion gegenüber Behörden und Zusammenarbeit bei Korrekturmaßnahmen. Artikel 18 Absatz 2 nimmt die materiellen Pflichten aus Artikel 13 ausdrücklich vom Auftrag aus. Die Haftung für Produktfehler und die zugrundeliegenden Cybersicherheitspflichten verbleiben beim Hersteller. Nationales Recht einzelner Mitgliedstaaten kann die Haftung des Bevollmächtigten weiter ausdehnen, deshalb sollte der Auftrag sorgfältig formuliert werden.

Ist ein Bevollmächtigter nach dem CRA dasselbe wie ein Bevollmächtigter nach MDR oder RED?

Das Konzept des Bevollmächtigten ist mehreren EU-Produktverordnungen gemeinsam, die Regelungen sind aber nicht identisch. Artikel 11 MDR macht die Benennung für Hersteller außerhalb der EU verpflichtend und legt weitergehende medizinspezifische Pflichten fest, einschließlich Vigilanzmeldungen. Auch Artikel 5 RED macht die Benennung für Hersteller außerhalb der EU verpflichtend. Artikel 18 Absatz 1 CRA macht sie freiwillig. Die Aufgaben nach Artikel 18 Absatz 3 sind enger und auf Dokumentation, Behördenanfragen und Zusammenarbeit bei Korrekturmaßnahmen ausgerichtet. Ein bereits tätiger Bevollmächtigter unter MDR oder RED ist ein guter Ausgangspunkt, der Auftrag muss aber für den CRA-Anwendungsbereich und die Nicht-Delegationsregeln aus Artikel 18 Absatz 2 neu aufgesetzt werden.

Unterzeichnet der Bevollmächtigte die EU-Konformitätserklärung?

Nein. Die EU-Konformitätserklärung wird vom Hersteller nach Artikel 28 erstellt und unterzeichnet. Der Bevollmächtigte hält nach seiner Benennung die unterzeichnete EU-Konformitätserklärung und die technische Dokumentation nach Artikel 18 Absatz 3 Buchstabe a für die Marktüberwachungsbehörden bereit, der Akt der Konformitätserklärung selbst ist aber eine Pflicht des Herstellers, die Artikel 18 Absatz 2 vom Auftrag des Bevollmächtigten ausnimmt.

Kann ich den Bevollmächtigten nach der Benennung wechseln?

Ja. Der Auftrag ist ein Vertrag zwischen Hersteller und Bevollmächtigtem; beide Seiten können ihn nach seinen Bedingungen beenden. Beim Wechsel übernimmt der neue Bevollmächtigte die Verwahrung der technischen Dokumentation und der EU-Konformitätserklärung, und der Hersteller sollte die den Marktüberwachungsbehörden mitgeteilten Kontaktangaben aktualisieren. Sehen Sie einen ausdrücklichen Übergabeschritt in der Auftragsvorlage vor.