CRA-Pflichten für Importeure: Was Sie vor dem Inverkehrbringen auf dem EU-Markt überprüfen müssen
Ein praktischer Leitfaden zu den Verifizierungsanforderungen nach Artikel 19 für EU-Importeure. Mit Checklisten, Arbeitsabläufen und Hinweisen für den Fall, dass Lieferanten die Anforderungen nicht erfüllen.
In this article
- Kurzfassung (TL;DR)
- Was der CRA von Importeuren verlangt
- Die 6-Punkte-Verifizierungs-Checkliste
- Wie Sie die Compliance von Nicht-EU-Herstellern überprüfen
- Was tun bei fehlgeschlagener Verifizierung
- Wann Importeure zu Herstellern werden
- Dokumentation und Aufbewahrung
- Häufige Fallstricke
- Vorab-Import-Verifizierungs-Checkliste
- Nächste Schritte
- Verwandte Leitfäden
Sie importieren vernetzte Produkte in die EU. Nach dem Cyber Resilience Act haben Sie persönliche Verifizierungspflichten, bevor Sie etwas auf den Markt bringen. Wenn die Dokumentation Ihres Lieferanten unvollständig ist, dürfen Sie das Produkt rechtlich nicht verkaufen.
Dieser Leitfaden behandelt genau, was Sie überprüfen müssen und was zu tun ist, wenn Lieferanten die Anforderungen nicht erfüllen.
Kurzfassung (TL;DR)
- Importeure müssen die abgeschlossene Konformitätsbewertung des Herstellers vor dem Inverkehrbringen verifizieren (Artikel 19)
- Erforderliche Prüfungen: CE-Kennzeichnung, EU-Konformitätserklärung, Verfügbarkeit technischer Dokumentation, Kontaktinformationen
- Bei fehlgeschlagener Verifizierung darf das Produkt nicht auf den Markt gebracht werden. Informieren Sie den Hersteller und die Behörden
- Importeure, die Produkte umbranden oder wesentliche Änderungen vornehmen, werden zu Herstellern (volle Pflichten gelten)
- Dokumentationsaufbewahrung: mindestens 10 Jahre
Wichtig: Importeure müssen überprüfen, ob der Hersteller eine Konformitätsbewertung durchgeführt hat, BEVOR das Produkt auf dem EU-Markt in Verkehr gebracht wird. Sie haften gemeinsam für nicht konforme Produkte.
Tipp: Fordern Sie die EU-Konformitätserklärung an und prüfen Sie sie anhand einer Verifizierungs-Checkliste. Dies ist Ihre Mindest-Sorgfaltspflicht.
Was der CRA von Importeuren verlangt
Der Cyber Resilience Act (Verordnung 2024/2847) etabliert Importeure als Torwächter für den EU-Markt. Ihre Rolle ist es, zu überprüfen, dass Hersteller aus Drittländern ihre Compliance-Hausaufgaben gemacht haben, bevor ihre Produkte europäische Verbraucher erreichen.
Dies ist keine Formalität. Artikel 19 schafft eine persönliche Haftung für Importeure, die nicht konforme Produkte auf den Markt bringen.
Importeur vs. Händler: Wichtige Unterschiede
| Aspekt | Importeur | Händler |
|---|---|---|
| Position in der Kette | Erster EU-Markteintritt | Nach dem Importeur |
| Verifizierungstiefe | Vollständige Dokumentationsprüfung | CE-Kennzeichnung + Sichtprüfung |
| Dokumentation | Muss Kopien aufbewahren | Muss Vorhandensein prüfen |
| Bußgelder | Bis zu 10 Mio. EUR / 2% Umsatz | Bis zu 5 Mio. EUR / 1% Umsatz |
Wenn Sie das erste Unternehmen sind, das ein nicht in der EU hergestelltes Produkt auf den EU-Markt bringt, sind Sie ein Importeur, unabhängig davon, was Ihre Verträge sagen.
Die 6-Punkte-Verifizierungs-Checkliste
Bevor Sie ein Produkt mit digitalen Elementen auf den EU-Markt bringen, überprüfen Sie alle sechs Punkte:
1. Konformitätsbewertung abgeschlossen
Der Hersteller muss die entsprechende Konformitätsbewertung durchgeführt haben:
- Modul A (Selbstbewertung): Für Produkte der Kategorie "Standard"
- Modul B+C (EU-Baumusterprüfung): Für Produkte der Klasse "Wichtig II"
- Modul H (vollständige Qualitätssicherung): Alternative für wichtige/kritische Produkte
Fordern Sie einen Nachweis an: die EU-Konformitätserklärung (DoC) mit Angabe des verwendeten Bewertungsmoduls.
2. EU-Konformitätserklärung vorhanden
Die Konformitätserklärung muss enthalten:
- Name und Anschrift des Herstellers
- Produktidentifikation (Modell, Typ, Seriennummernbereich)
- Erklärung der Konformität mit den CRA-Grundlegenden Anforderungen
- Verweis auf angewandte harmonisierte Normen (falls vorhanden)
- Angaben zur Benannten Stelle (bei Drittbewertung)
- Unterschrift, Datum und Position des Unterzeichners
Warnsignal: Eine Konformitätserklärung, die nur allgemeine "Cybersicherheitsanforderungen" ohne CRA/Anhang-I-Spezifikationen referenziert.
3. CE-Kennzeichnung korrekt angebracht
Überprüfen Sie:
- CE-Kennzeichnung ist sichtbar, lesbar und dauerhaft
- Mindesthöhe 5 mm (oder proportional bei kleinen Produkten)
- Auf dem Produkt oder der Verpackung angebracht (wenn Produktgröße dies nicht erlaubt)
- Keine anderen Kennzeichnungen, die die Bedeutung der CE-Kennzeichnung verwirren könnten
Warnsignal: CE-Kennzeichnung nur auf dem äußeren Versandkarton, nicht auf der Einzelhandelsverpackung.
4. Technische Dokumentation verfügbar
Sie müssen nicht die vollständige technische Dokumentation vorhalten, aber Sie müssen bestätigen:
- Technische Dokumentation existiert
- Hersteller wird sie auf Anfrage den Behörden zur Verfügung stellen
- Dokumentation entspricht den Anforderungen des CRA Anhang VII
Fordern Sie eine Zusammenfassung der technischen Dokumentation oder ein Inhaltsverzeichnis als Nachweis an.
5. Kontaktinformationen des Herstellers vorhanden
Produkte müssen anzeigen:
- Name des Herstellers
- Eingetragener Handelsname oder Marke
- Postanschrift für Kontakt
- Zentrale Kontaktstelle URL oder E-Mail (für Schwachstellenmeldungen)
Diese Informationen müssen auf dem Produkt selbst sein, oder wenn unmöglich, auf der Verpackung und/oder in begleitender Dokumentation.
6. Anleitungen in der Sprache des Zielmarktes
Benutzeranleitungen und Sicherheitsinformationen müssen in der/den Amtssprache(n) des/der Mitgliedstaates/Mitgliedstaaten verfügbar sein, in dem/denen Sie das Produkt verkaufen werden.
Für EU-weiten Vertrieb: Stellen Sie mindestens Englisch bereit. Bestätigen Sie zusätzliche Sprachen für spezifische Märkte.
Wie Sie die Compliance von Nicht-EU-Herstellern überprüfen
Viele Importeure erhalten selbstbewusste Zusicherungen von ausländischen Lieferanten. Zusicherungen sind keine Nachweise.
Die Dokumentationsanfrage
Senden Sie Herstellern diese Anfrage, bevor Sie sich zum Import verpflichten:
BETREFF: Anfrage zur CRA-Compliance-Dokumentation
Wir prüfen [Produktname/Modell] für den Import in die Europäische Union.
Gemäß EU-Verordnung 2024/2847 (Cyber Resilience Act) müssen Importeure die
Herstellerkonformität vor dem Inverkehrbringen verifizieren.
Bitte stellen Sie bereit:
1. EU-Konformitätserklärung (unterzeichnet, datiert)
2. Inhaltsverzeichnis oder Zusammenfassung der technischen Dokumentation
3. Bestätigung des verwendeten Konformitätsbewertungsmoduls
4. Bestätigung der CE-Kennzeichnungsanbringung (Foto wenn möglich)
5. Erklärung des Unterstützungszeitraums (mindestens 5 Jahre erforderlich)
6. Richtlinie zur Schwachstellenbehandlung / Sicherheitskontaktpunkt
Ohne diese Dokumentation können wir nicht mit dem Import fortfahren.
Gewünschter Zeitrahmen: [X Werktage]
Bewertung der Antworten
| Antwort | Maßnahme |
|---|---|
| Vollständige Dokumentation bereitgestellt | Mit Verifizierungsprüfung fortfahren |
| Teilweise Dokumentation, Versprechen zur Vervollständigung | Import verzögern bis vollständig |
| "Wir haben CE-Kennzeichnung für andere Vorschriften" | Erfüllt nicht CRA, fordern Sie CRA-spezifische DoC an |
| "Unsere Produkte benötigen keine CRA-Compliance" | Fordern Sie schriftliche Umfangsanalyse an |
| Keine Antwort / Ablehnung | Nicht importieren |
Warnsignale in Herstellerantworten
Achten Sie auf diese Warnzeichen:
- Generische DoC: Vorlagentext, der nicht produktspezifisch ist
- Veraltete Daten: DoC-Datum vor CRA-Durchsetzung (deutet auf Nicht-CRA-Konformität hin)
- Fehlende Benannte Stelle: Für Produkte der Klasse "Wichtig II" ist Drittbewertung obligatorisch
- Kein Sicherheitskontakt: Für alle Produkte mit digitalen Elementen erforderlich
- "Ausstehende" Compliance: Produkt darf nicht auf den Markt gebracht werden, solange Compliance aussteht
Was tun bei fehlgeschlagener Verifizierung
Wenn ein Verifizierungspunkt fehlschlägt, haben Sie rechtliche Pflichten:
Schritt 1: Stopp
Bringen Sie das Produkt nicht auf den EU-Markt. Import zur Lagerung/Wiederausfuhr kann noch möglich sein, aber das Inverkehrbringen ist verboten.
Schritt 2: Dokumentieren
Erfassen Sie die spezifische Nichtkonformität:
- Welcher Verifizierungspunkt fehlgeschlagen ist
- Welche Nachweise fehlten oder unzureichend waren
- Datum der Feststellung
- Kommunikation mit dem Hersteller
Schritt 3: Hersteller benachrichtigen
Informieren Sie den Hersteller schriftlich:
- Identifizierte spezifische Compliance-Lücken
- Erforderliche Dokumentation zur Behebung
- Zeitrahmen für Antwort
- Konsequenz: Import erst nach Behebung möglich
Schritt 4: Risiko bewerten
Wenn das Produkt ein Cybersicherheitsrisiko darstellt (nicht nur Dokumentationslücken):
- Melden Sie der Marktüberwachungsbehörde im relevanten Mitgliedstaat
- Stellen Sie alle verfügbare Dokumentation bereit
- Kooperieren Sie bei Untersuchungen
Schritt 5: Lösen oder Ablehnen
Fahren Sie nur mit dem Import fort, wenn:
- Alle sechs Verifizierungspunkte erfüllt sind
- Dokumentation eingegangen und geprüft wurde
- Alle Risikobedenken ausgeräumt sind
Wann Importeure zu Herstellern werden
Nach Artikel 22 werden Sie zum Hersteller (mit vollen Pflichten), wenn Sie:
Auslöser 1: Eigener Name oder Marke
Ein Produkt unter Ihrer Marke auf den Markt zu bringen, macht Sie zum Hersteller, unabhängig davon, wer es tatsächlich gebaut hat.
Beispiele:
- White-Label-Router, der unter Ihrem Firmennamen verkauft wird
- OEM-Gerät mit Ihrem Logo
- Produkt, bei dem Ihre Firma als "Hersteller" auf der Verpackung aufgeführt ist
Auslöser 2: Wesentliche Änderung
Änderungen vornehmen, die den Verwendungszweck oder die CRA-Konformität betreffen.
| Änderung | Wesentlich? | Warum |
|---|---|---|
| Installation kundenspezifischer Firmware | Ja | Ändert Sicherheitslage |
| Hinzufügen von Fernverwaltungsfunktionen | Ja | Neue Angriffsfläche |
| Hardware-Änderungen, die Sicherheit betreffen | Ja | Ändert Risikoprofil |
| Nur Sprachlokalisierung | Nein | Kosmetisch, keine Sicherheitsauswirkung |
| Anwendung von Sicherheitspatches | Nein | Ausdrücklich ausgenommen |
| Verpackungsänderungen | Nein | Keine Produktänderung |
Herstellerpflichten (wenn ausgelöst)
Wenn Sie Hersteller werden, müssen Sie:
- Cybersicherheits-Risikobewertung durchführen
- Vollständige technische Dokumentation erstellen (Anhang VII)
- Konformitätsbewertung durchführen (entsprechendes Modul)
- Eigene EU-Konformitätserklärung ausstellen
- CE-Kennzeichnung unter Ihrer Verantwortung anbringen
- Prozess zur Schwachstellenbehandlung einrichten
- Sicherheitsupdates für Unterstützungszeitraum bereitstellen (mindestens 5 Jahre)
- Ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden
Dokumentation und Aufbewahrung
Was aufzubewahren ist
- EU-Konformitätserklärung (Kopie)
- Zusammenfassung der technischen Dokumentation oder Zugangsbestätigung
- Ihre Verifizierungsunterlagen (Checkliste, Korrespondenz)
- Nachweis der Herstellerkommunikation
- Importdokumentation (Zoll, Versand)
Wie lange
10 Jahre ab dem Datum, an dem die letzte Einheit auf den Markt gebracht wurde.
Wenn Sie 2027 eine Charge importieren und die letzte Einheit 2029 verkaufen, endet die Aufbewahrungsfrist 2039.
Format
Digitale Speicherung ist akzeptabel. Stellen Sie sicher:
- Dateien sind zugänglich und lesbar
- Backup-Verfahren sind vorhanden
- Können auf Anfrage der Behörden innerhalb angemessener Zeit vorgelegt werden
Häufige Fallstricke
"CE-Kennzeichnung bedeutet, dass sie konform sind"
Die CE-Kennzeichnung zeigt an, dass der Hersteller Konformität behauptet. Ihre Aufgabe ist es, die zugrunde liegende Dokumentation zu verifizieren. Eine CE-Kennzeichnung ohne unterstützende Dokumentation ist ein Warnsignal.
"Unser Lieferant ist seit Jahren zuverlässig"
Bisherige Zuverlässigkeit bei anderen Vorschriften garantiert keine CRA-Konformität. Der CRA ist neu, und viele etablierte Hersteller setzen die Anforderungen noch um.
"Mündliche Zusicherungen von unserem Vertriebskontakt"
Regulatorische Compliance erfordert Dokumentation. Die Zusicherung eines Vertriebsmitarbeiters hat kein rechtliches Gewicht. Holen Sie es schriftlich, oder importieren Sie nicht.
"Wir überprüfen nach Ankunft der Sendung"
Die Verifizierung muss vor dem Inverkehrbringen erfolgen. Sie können Waren in ein Lager importieren, aber Sie dürfen sie nicht verkaufen, bis die Verifizierung abgeschlossen ist. Späte Verifizierung schafft Lager- und Cashflow-Risiken.
"Wir sind nur Händler"
Wenn Sie das erste Unternehmen sind, das nicht in der EU hergestellte Waren auf den EU-Markt bringt, sind Sie Importeur, nicht Händler. Händlerpflichten sind leichter, gelten aber erst, nachdem ein Importeur seine Verifizierung durchgeführt hat.
Vorab-Import-Verifizierungs-Checkliste
Verwenden Sie diese Checkliste vor jeder Importentscheidung:
CRA IMPORTEUR-VERIFIZIERUNGS-CHECKLISTE
Produkt: _______________________________________
Hersteller: ____________________________________
Datum: ________________________________________
EINGEGANGENE DOKUMENTATION:
[ ] EU-Konformitätserklärung
[ ] Zusammenfassung/Inhaltsverzeichnis technische Dokumentation
[ ] Nachweis der Konformitätsbewertung (verwendetes Modul: _____)
[ ] Sicherheitskontakt / Schwachstellenrichtlinie
[ ] Erklärung zum Unterstützungszeitraum
PHYSISCHE VERIFIZIERUNG:
[ ] CE-Kennzeichnung vorhanden und korrekt formatiert
[ ] Herstellername und -adresse auf Produkt/Verpackung
[ ] Benutzeranleitung in Sprache des Zielmarktes
[ ] Zentrale Kontaktstelle für Schwachstellen
ROLLENPRÜFUNG:
[ ] Produkt wird unter Marke des Herstellers verkauft (nicht unserer)
[ ] Keine Firmware- oder Hardware-Änderungen geplant
[ ] Keine Änderungen am Verwendungszweck oder Sicherheitsfunktionen
ENTSCHEIDUNG:
[ ] FORTFAHREN - Alle Verifizierungspunkte erfüllt
[ ] WARTEN - Auf Dokumentation wartend (angeben: ___________)
[ ] ABLEHNEN - Verifizierung fehlgeschlagen (Gründe dokumentieren)
Geprüft von: ___________________________________
Datum: ________________________________________
Nächste Schritte
Die Verifizierung ist der erste Schritt. Sobald Produkte auf dem Markt sind, müssen Importeure:
- Herstellermitteilungen über Schwachstellen überwachen
- Bei Rückrufen oder Korrekturmaßnahmen kooperieren
- Behörden benachrichtigen, wenn der Hersteller den Betrieb einstellt
- Dokumentation für die 10-jährige Aufbewahrungsfrist pflegen
CRA Evidence hilft Importeuren, den gesamten Verifizierungs-Workflow zu verwalten:
- Herstelleradressbuch: Compliance-Status der Lieferanten verfolgen
- Verifizierungs-Checklisten: Strukturierter Artikel-19-Workflow
- Dokumentenspeicher: Zentralisierte Compliance-Nachweise
- Ablaufwarnungen: Verfolgung von Zertifizierungs- und Unterstützungszeiträumen
Starten Sie Ihren Importeur-Verifizierungs-Workflow unter app.craevidence.com.
Verwandte Leitfäden
- CRA-Produktklassifizierung: Ist Ihr Produkt Standard, Wichtig oder Kritisch?
- CRA-Händler-Checkliste: 5 Verifizierungsschritte für jedes Produkt
- Wann Importeure unter dem CRA zu Herstellern werden: Rolleneskalation erklärt
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.
In diesem Artikel behandelte Themen
Verwandte Artikel
Sind smarte Kameras wichtige Produkte im Sinne des EU...
Smarte Sicherheitskameras werden im CRA-Anhang III als wichtige Produkte...
9 Min.EU Cybersecurity Act 2: Lieferketten-Verbote,...
Am 20. Januar 2026 schlug die EU vor, den Cybersecurity Act vollständig zu...
9 Min.CRA-Produktklassifizierung: Ist Ihr Produkt Standard,...
Ein praktischer Leitfaden zur Bestimmung Ihrer CRA-Produktkategorie. Enthält...
8 Min.Does the CRA apply to your product?
Beantworte 6 einfache Fragen, um herauszufinden, ob dein Produkt unter den Geltungsbereich des EU Cyber Resilience Act fällt. Erhalte dein Ergebnis in weniger als 2 Minuten.
Bereit für CRA-Konformität?
Beginnen Sie mit der Verwaltung Ihrer SBOMs und Konformitätsdokumentation mit CRA Evidence.