CRA für spanische Hersteller: INCIBE-CERT, CCN und ENAC

Länderüberblick für spanische Hersteller: INCIBE-CERT als voraussichtlicher Meldeweg, CCN/ENAC bei notifizierten Stellen, Sprachpflichten und Förderung.

CRA Evidence-Team Veröffentlicht 1. Januar 2026 Aktualisiert 11. Juni 2026
Länderleitfaden für spanische Hersteller unter der Cyberresilienz-Verordnung: nationale institutionelle Kette aus CSIRT für Schwachstellenmeldungen, notifizierter Stelle für Konformitätszertifikate und Marktüberwachungsbehörde für die Durchsetzung
In diesem Artikel

Spanische Hersteller unterliegen denselben Pflichten unter der Cyberresilienz-Verordnung wie alle anderen EU-Hersteller. Diese Seite ist ein Länderleitfaden für Spanien: wie Schwachstellen- und Sicherheitsvorfallsmeldungen über INCIBE-CERT laufen, wie Konformitätsbewertungsstellen im spanischen Zwei-Behörden-Modell (CCN notifiziert, ENAC akkreditiert) benannt werden, was die Sprachpflicht für den spanischen Markt konkret bedeutet und was von den nationalen Förderprogrammen noch offen ist, während sich das Recovery-and-Resilience-Fenster schließt. Den vollständigen Pflichtenkatalog finden Sie im Cluster-Leitfaden für Hersteller.

Zusammenfassung

  • Die Cyberresilienz-Verordnung ist eine EU-Verordnung mit unmittelbarer Wirkung. Es gibt keine spanienspezifischen Ausnahmen für Produkthersteller.
  • INCIBE-CERT ist das spanische Referenz-CSIRT für CRA-Schwachstellen- und Sicherheitsvorfallsmeldungen, wenn Ihre Hauptniederlassung in Spanien liegt.
  • CCN (Centro Criptológico Nacional) benennt spanische Konformitätsbewertungsstellen gegenüber der Europäischen Kommission. ENAC akkreditiert sie als technischen Schritt vor dieser Benennung.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) im Ministerio para la Transformación Digital y de la Función Pública (MTDFP) ist als spanische CRA-Marktüberwachungsbehörde vorgesehen. Der nationale Rechtsrahmen gilt ab dem 11. Juni 2026. Überprüfen Sie die endgültige BOE-Benennung vor einer formellen Einreichung.
  • Spanisch (Kastilisches Spanisch) ist für nutzerseitige Produktinformationen auf dem spanischen Markt erforderlich. Die kooffiziellen Sprachen der autonomen Gemeinschaften (Katalanisch, Galicisch, Baskisch) sind durch die Cyberresilienz-Verordnung nicht vorgeschrieben.
  • CDTI hat laufende Innovationslinien 2026, die F&E im Zusammenhang mit CRA-Arbeiten fördern können. Kit Digital-Ausschreibungen schlossen im Oktober 2025. Plan de Recuperación-Projekte müssen bis zum 31. August 2026 abgeschlossen sein und sind kein Planungsvehikel für die Frist des 11. Dezember 2027.

Wann dieser Leitfaden für Sie gilt

Sie sind die Zielleserschaft, wenn Ihre Hersteller-Hauptniederlassung in der Union in Spanien liegt. Das ist der Ort, an dem die für die Cybersicherheit Ihrer Produkte mit digitalen Elementen maßgeblichen Entscheidungen überwiegend getroffen werden. Eine in Spanien eingetragene Vertriebstochtergesellschaft mit Entwicklung im Ausland ist keine Hauptniederlassung. Wenn Ihr Entwicklungsteam, Ihre SDLC-Governance und die für Sicherheits-Update-Freigaben verantwortlichen Personen in Spanien sitzen, gilt dieser Leitfaden für Sie.

Liegt Ihre Hauptniederlassung woanders in der EU und Sie liefern lediglich nach Spanien, laufen Ihre CRA-Meldungen über das CSIRT des Mitgliedstaats Ihrer Hauptniederlassung, nicht über INCIBE-CERT. Die spanische Sprachpflicht für nutzerseitige Informationen gilt jedoch für jedes auf dem spanischen Markt bereitgestellte Produkt.

INCIBE-CERT: der spanische CSIRT-Weg

CRA-Meldungen laufen über das CSIRT, das als Koordinator desjenigen Mitgliedstaats benannt ist, in dem der Hersteller seine Hauptniederlassung in der Union hat. Für Hersteller mit Hauptniederlassung in Spanien ist dieses CSIRT INCIBE-CERT.

INCIBE-CERT veröffentlicht Schwachstellenhinweise auf Spanisch und betreibt den Meldestrom für Sicherheitsvorfälle bei Verbraucherprodukten. CCN-CERT deckt den öffentlichen Sektor und Verschlusssachen ab und ist nicht der CRA-Weg für kommerzielle Hersteller, die Produkte auf dem offenen Markt bereitstellen.

Der technische Kanal für die Meldekadenz von 24 Stunden, 72 Stunden und 14 Tagen ist die ENISA Single Reporting Platform, die am 11. September 2026 in Betrieb geht. Ein spanischer Hersteller meldet über diese Plattform mit INCIBE-CERT als empfangendem Koordinator. Die CSIRT-Benennung regelt das Routing. Die Plattform ist der Übertragungsweg.

Notifizierte Stellen: CCN benennt, ENAC akkreditiert

Produkte der Klasse Important I benötigen eine notifizierte Stelle (Modul B+C oder Modul H) nur dann, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema sie nicht vollständig abdecken. Produkte der Klasse Important II nutzen eine notifizierte Stelle (Modul B+C oder Modul H) oder ein verfügbares und anwendbares Zertifizierungsschema. Kritische Produkte (Anhang IV) folgen Artikel 32(4): dem Zertifizierungsweg nach Artikel 8(1), wo die Kommission ihn ausgelöst hat, andernfalls denselben Wegen nach Artikel 32(3).

Die spanische institutionelle Aufgabenteilung:

  • CCN (Centro Criptológico Nacional) ist die notifizierende Behörde, die spanische Konformitätsbewertungsstellen formell gegenüber der Europäischen Kommission im Rahmen der Cyberresilienz-Verordnung benennt.
  • ENAC (Entidad Nacional de Acreditación) ist die spanische nationale Akkreditierungsstelle und bewertet die technische Kompetenz eines Kandidaten, bevor CCN ihn benennt.

Der CRA-Rahmen für notifizierte Stellen gilt ab dem 11. Juni 2026, danach können benannte Stellen CRA-Konformitätsbewertungszertifikate ausstellen. Nach dem 11. Juni 2026 sollten Sie die endgültige BOE-Benennung prüfen, bevor Sie formale Einreichungen vornehmen.

Ein spanischer Hersteller kann jede EU-notifizierte Stelle in Anspruch nehmen, nicht nur in Spanien benannte. Die Wahl einer spanisch-benannten Stelle ist eine Beschaffungspräferenz (Bewertung auf Spanisch, unkompliziertere Audit-Logistik im Inland) und keine Pflicht aus der Cyberresilienz-Verordnung.

Marktüberwachung: SETID im MTDFP

Der spanische Entwurf eines Real Decreto benennt SETID im MTDFP als Marktüberwachungsbehörde für CRA-Produkte in Spanien. Diese Zuordnung bleibt bis zur endgültigen Veröffentlichung im BOE vorläufig.

INCIBE unterstützt die technische Seite als bevorzugtes Labor. Der Entwurf gibt INCIBE aber keine öffentlichen Entscheidungsbefugnisse für die CRA-Marktüberwachung. Prüfen Sie den endgültigen BOE-Text, bevor Sie eine formelle Einreichung machen.

Spanische Sprachpflichten in der Praxis

Die Cyberresilienz-Verordnung verlangt, dass nutzerseitige Produktinformationen in einer Sprache verfasst sind, die von Nutzern und der zuständigen Marktüberwachungsbehörde leicht verstanden wird. Für auf dem spanischen Markt bereitgestellte Produkte ist das Spanisch (Kastilisches Spanisch).

Muss auf Spanisch vorliegen:

  • Die Benutzeranleitung und Produktinformationen, die mit dem Produkt geliefert werden.
  • Die Hersteller-Kontaktdaten (Name, Adresse, E-Mail oder andere digitale Kontaktmöglichkeit), wo immer sie erscheinen, einschließlich auf dem Produkt selbst, der Verpackung oder dem beiliegenden Dokument.
  • Die Angabe des Endes des Supportzeitraums, die am Verkaufsort anzuzeigen ist.

Kann mehrsprachig sein:

  • Das Produktetikett und die CE-Kennzeichnung.
  • Verpackungstext.
  • Online-Dokumentation, sofern eine spanische Version erreichbar ist.

Englisch ist in der Regel akzeptabel für:

  • Interne technische Dokumentation. Marktüberwachungsbehörden können eine spanische Übersetzung bei begründetem Ersuchen anfordern, planen Sie daher für diesen Fall vor, auch wenn Sie nicht proaktiv übersetzen.

Katalanisch, Galicisch und Baskisch sind in ihren jeweiligen autonomen Gemeinschaften kooffiziell. Die Cyberresilienz-Verordnung schreibt eine Übersetzung in kooffizielle Sprachen nicht vor. Spezifische regionale Beschaffungsverträge oder Branchenaufsichtsbehörden (zum Beispiel bestimmte öffentliche Ausschreibungen) können eigene Sprachklauseln hinzufügen, unabhängig von der Cyberresilienz-Verordnung.

Grenzüberschreitender Vertrieb aus Spanien

Spanische Hersteller, die nach Portugal, Frankreich, Italien oder andere EU-Mitgliedstaaten liefern, unterliegen weiterhin derselben Einzel-Routing-Regel: Ihre Meldungen gehen an INCIBE-CERT, weil das Routing der Hauptniederlassung folgt, nicht dem jeweiligen Lieferziel. Sie melden nicht beim portugiesischen, französischen oder italienischen CSIRT.

Die Sprachpflicht fächert sich je nach Markt auf. Ein nach Frankreich geliefertes Produkt benötigt französischsprachige nutzerseitige Inhalte. Ein nach Portugal geliefertes Produkt benötigt portugiesischsprachige Inhalte. Das spanische Sprachpaket allein deckt diese Märkte nicht ab.

Die Marktüberwachungsbehörde jedes Empfangsmitgliedstaats kann Ihre technische Dokumentation in einer für sie leicht verständlichen Sprache anfordern. Wenn Ihr Vertrieb breiter über die EU läuft, rechnen Sie mit Anfragen in mindestens einer weitverbreiteten Arbeitssprache und übersetzen Sie die am häufigsten angeforderten Abschnitte der technischen Dokumentation frühzeitig als praktische Absicherung.

Nationale Förderprogramme

Das Förderbild hat sich verändert, da sich das Recovery-and-Resilience-Fenster schließt. Prüfen Sie genau, was tatsächlich noch offen ist, bevor Sie einzelne Posten gegen diese Programme planen.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) hat laufende Linien 2026: NEOTEC (technologische Frühphasen-Start-ups), Línea Directa de Innovación (LIC) und Misiones Ciencia e Innovación (große kollaborative F&E-Konsortien). CRA-getriebene Arbeiten passen dort hinein, wo der Ansatz echter F&E und Innovation ist, nicht reine Umsetzung oder Compliance. CDTI plant, über seine 2026-Linien mehr als 1,8 Milliarden EUR zu mobilisieren.
  • Activa Ciberseguridad ist ein kleines Gutschein-Programm (rund 2.140 EUR je Begünstigtem) für gewerbliche KMU, betrieben von SGIPYME gemeinsam mit den autonomen Gemeinschaften und EOI. Geeignet für eine erste Cybersicherheitsdiagnose oder einen Plan de ciberseguridad, nicht für die vollständige CRA-Werkzeug-Investition.
  • Kit Digital befindet sich in einer Übergangsphase. Alle Kit Digital-Ausschreibungen schlossen im Oktober 2025. Orden TDF/39/2026 (BOE, 28. Januar 2026) erlaubt die Umverteilung von Restmitteln, aber Stand 25. Mai 2026 gibt es kein offenes Antragsfenster. Prüfen Sie kitdigital.red.es/convocatorias, bevor Sie darauf kalkulieren.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) befindet sich in seinem Abschlussfenster. Alle Recovery-and-Resilience-Projekte müssen bis zum 31. August 2026 abgeschlossen sein, mit Spaniens abschließenden Zahlungsanträgen an die Kommission bis zum 30. September 2026. Das PRTR ist daher kein geeignetes Planungsvehikel für die CRA-Compliance-Frist des 11. Dezember 2027. Die 162-Millionen-EUR-Initiative RETECH über INCIBE befindet sich in ihrer letzten Auszahlungsphase.

Für neue Compliance-Investitionen gegen die Verpflichtungsfrist des 11. Dezember 2027 ist das realistische öffentliche Förderbild in Spanien CDTI-Innovationslinien plus etwaige sektorspezifische Programme der autonomen Gemeinschaften. Recovery-and-Resilience-finanzierte Programme gehören ab 2027 nicht mehr dazu.

Häufig gestellte Fragen

Welches spanische CSIRT empfängt meine CRA-Schwachstellenmeldungen?

INCIBE-CERT, wenn die Hauptniederlassung des Herstellers in Spanien liegt. Die Cyberresilienz-Verordnung definiert Hauptniederlassung als den Ort, an dem die für die Cybersicherheit der Produkte mit digitalen Elementen maßgeblichen Entscheidungen überwiegend getroffen werden. CCN-CERT fungiert nicht als CRA-Koordinator für kommerzielle Hersteller. Meldungen werden ab dem 11. September 2026 über die ENISA Single Reporting Platform eingereicht, mit INCIBE-CERT als empfangendem Koordinator.

Wer benennt spanische notifizierte Stellen, ENAC oder CCN?

CCN (Centro Criptológico Nacional) ist die notifizierende Behörde, die spanische CRA-notifizierte Stellen formell gegenüber der Europäischen Kommission benennt. ENAC akkreditiert die Kandidatenstellen als technischen Schritt vor dieser Benennung. Beide sind beteiligt, mit klar getrennten Aufgaben. Ein spanischer Hersteller kann für die CRA-Konformitätsbewertung jede EU-notifizierte Stelle nutzen. Die spanische Kette ist für die Beschaffung relevant, nicht als CRA-Pflicht.

Deckt meine ENS- oder LINCE-Zertifizierung die CRA-Konformitätsbewertung ab?

Nein, keine der beiden ersetzt die CRA-Konformitätsbewertung, obwohl beide Nachweise liefern können, die sie stützen. ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) ist ein organisatorisches Sicherheitsrahmenwerk für öffentliche Informationssysteme und deren Zulieferer, keine Produktzertifizierung. LINCE ist die leichtgewichtige Produktevaluierung des CCN, die die Aufnahme in den CPSTIC-Katalog für spanische öffentliche Beschaffung ermöglicht. LINCE wurde auf EU-Ebene über FITCEM EN 17640:2022 harmonisiert, zusammen mit den französischen CSPN- und deutschen BSZ-Methoden, sodass seine Ergebnisse als unterstützende Nachweise in Ihre CRA-technische Dokumentation einfließen können. Die eigenen Konformitätsbewertungswege der Cyberresilienz-Verordnung (Modul A Selbstbewertung, Modul B+C Baumusterprüfung, Modul H umfassende Qualitätssicherung) bilden eine separate Kette. Wenn Sie ENS- oder LINCE-Zertifizierungen besitzen, behandeln Sie diese als Eingang in Ihre CRA-Akte, nicht als Ersatz für die Konformitätsbewertung selbst.

Welche spanische Behörde ist die CRA-Marktüberwachungsbehörde?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) im Ministerio para la Transformación Digital y de la Función Pública (MTDFP) ist im spanischen Entwurf als CRA-Marktüberwachungsbehörde vorgesehen. Der CRA-Rahmen nationaler Behörden gilt ab dem 11. Juni 2026, und die offizielle BOE-Benennung Spaniens könnte zum Zeitpunkt dieser Lektüre noch nicht abgeschlossen sein. Prüfen Sie die endgültige Benennung vor einer formellen Einreichung. INCIBE unterstützt als bevorzugtes technisches Labor, erhält aber keine öffentlichen Entscheidungsbefugnisse für die Marktüberwachung.

Wann wird Spanien sein nationales CRA-Umsetzungsgesetz im BOE veröffentlichen?

Die Cyberresilienz-Verordnung ist eine EU-Verordnung mit unmittelbarer Wirkung, daher muss Spanien sie nicht in nationales Recht umsetzen, damit die inhaltlichen Pflichten am 11. Dezember 2027 gelten. Was Spanien für den Rahmen ab dem 11. Juni 2026 benötigt, ist ein Durchführungsinstrument (typischerweise ein Real Decreto oder eine Orden Ministerial), das die CRA-Marktüberwachungsbehörde, die notifizierende Behörde für Konformitätsbewertungsstellen und die nationale Anlaufstelle formell benennt. Dasselbe oder ein Folgeinstrument soll die spanische Bußgeldskala innerhalb der EU-weiten Obergrenzen der Cyberresilienz-Verordnung festlegen, das Durchsetzungsverfahren regeln und die Koordination mit bestehenden spanischen Cybersicherheitsgesetzen klären. Die Rahmenfrist vom 11. Juni 2026 ist nun verstrichen. Prüfen Sie den endgültigen BOE-Text, bevor Sie sich auf Entwurfsbenennungen stützen, und behandeln Sie frühere Behördenattributionen als vorläufig, bis dieser Text erscheint.

Muss ich alles ins Katalanische, Galicische oder Baskische übersetzen?

Die Cyberresilienz-Verordnung verlangt Nutzerinformationen in einer Sprache, die im Liefermitgliedstaat leicht verstanden wird. Für Spanien ist das Spanisch (Kastilisches Spanisch). Die kooffiziellen Sprachen der autonomen Gemeinschaften sind durch die Cyberresilienz-Verordnung selbst nicht vorgeschrieben. Spezifische regionale Beschaffungsverträge oder Branchenaufsichtsbehörden können eigene Sprachklauseln ergänzen, unabhängig von der Cyberresilienz-Verordnung.

Können CDTI oder Kit Digital meine CRA-Compliance-Werkzeuge finanzieren?

CDTI: Ja, wo die Arbeit echter F&E und Innovation ist (neue Erkennungsmethoden, SBOM-Analyse-Werkzeuge, Schwachstellenbehandlungs-Pipelines). CDTIs 2026-Plan mobilisiert über 1,8 Milliarden EUR über NEOTEC, LIC, Misiones und weitere Linien. Reine Compliance-Arbeit (Audits, Konformitätsbewertungsgebühren, interne Prozesseinrichtung) lässt sich schwerer einordnen, da CDTI Innovationsförderung betreibt. Kit Digital: Ausschreibungen schlossen im Oktober 2025, kein offenes Fenster Stand 25. Mai 2026. Orden TDF/39/2026 erlaubt Restmittel-Umverteilung, eröffnet aber keine neuen Antragsrunden. Plan de Recuperación befindet sich in seinem Abschlussfenster mit Projektabschluss bis 31. August 2026 und kann daher keine Arbeiten finanzieren, die für die Frist des 11. Dezember 2027 geplant sind.

Ich liefere aus Spanien in andere EU-Mitgliedstaaten. Wo melde ich Sicherheitsvorfälle?

Über INCIBE-CERT, unabhängig davon, in welche Mitgliedstaaten Sie liefern. Die Cyberresilienz-Verordnung knüpft das Melderouting an die Hauptniederlassung, nicht an das jeweilige Lieferziel. Die Sprachpflicht fächert sich je nach Markt auf: französischsprachige Produktinformationen für Produkte, die nach Frankreich geliefert werden, portugiesischsprachige für Produkte nach Portugal und so weiter. Bereiten Sie zumindest die am häufigsten angeforderten Abschnitte der technischen Dokumentation in einer weitverbreiteten Arbeitssprache vor, um grenzüberschreitende begründete Anfragen abzufangen.

Für spanische Hersteller in Vorbereitung auf den 11. Dezember 2027

  1. Bestätigen Sie Ihre Herstellerpflichten anhand des Cluster-Leitfadens für Hersteller.
  2. Prüfen Sie, ob Ihre Hauptniederlassung in Spanien liegt, und dokumentieren Sie die Begründung. Der Ort der Cybersicherheitsentscheidungen, nicht der eingetragene Firmensitz, ist entscheidend.
  3. Ordnen Sie Ihren CRA-Meldeprozess INCIBE-CERT als empfangendem CSIRT zu und testen Sie eine Einreichung über die ENISA Single Reporting Platform, sobald diese am 11. September 2026 in Betrieb geht.
  4. Wenn Ihr Konformitätsbewertungsweg eine notifizierte Stelle erfordert, prüfen Sie ENAC-akkreditierte und CCN-benannte Stellen als lokale Option sowie mindestens eine grenzüberschreitende Alternative für die Resilienz.
  5. Übersetzen Sie Benutzeranleitung und Produktinformationen ins Spanische. Ergänzen Sie marktspezifische Übersetzungen für alle weiteren EU-Mitgliedstaaten, in die Sie liefern.
  6. Prüfen Sie CDTI-Linien (NEOTEC, LIC, Misiones) gegen F&E-nahe CRA-Arbeiten. Planen Sie nicht gegen Kit Digital oder Plan de Recuperación für Compliance-Investitionen in Richtung 2027, da beide in Abschlussfenstern sind.
  7. Prüfen Sie die endgültige BOE-Benennung erneut, sobald sie veröffentlicht ist, und aktualisieren Sie Ihre Kontaktkarte für SETID, CCN, ENAC und INCIBE-CERT vor jeder formellen Einreichung.
  8. Lesen Sie den Fragebogen zur Lieferanten-Due-Diligence als herstellerseitigen Rahmen für die Komponentensorgfalt.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.

CRA Spanien Schwachstellenmanagement
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter die EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Europäische Cybersicherheitszertifizierung (EUCC)

Wie das EUCC-Zertifizierungsschema funktioniert und wann es die CRA-Konformität unterstützen kann.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
Vollständigen CRA-Compliance-Leitfaden ansehen