Multi-Rollen-CRA: Hersteller, Einführer, Händler

CRA-Handbuch für Unternehmen als Hersteller, Einführer und Händler: Rollenzuordnung, Pflichtenstapel, Schwachstellen-Routing, Bußgelder und Konflikte.

CRA Evidence-Team Veröffentlicht 10. Februar 2026 Aktualisiert 31. Mai 2026
Multi-Rollen-CRA: Hersteller, Einführer, Händler
In diesem Artikel

Ihr Unternehmen stellt in Deutschland intelligente Sensoren her, importiert ergänzende Geräte von einem taiwanesischen Lieferanten und vertreibt die Software eines weiteren Anbieters. Nach dem CRA sind Sie gleichzeitig Hersteller, Einführer und Händler. Die Cluster-Leitfäden für Einzelrollen behandeln jede Pflichtenmenge für sich. Diese Seite ist das, was Compliance-Teams mit mehreren Rollen tatsächlich brauchen: die operative Ebene, auf der Rollen sich stapeln, kollidieren und ineinandergreifen. Die rollenspezifischen Pflichten selbst finden Sie im Hersteller-Cluster, im Einführer-Cluster und im Händler-Cluster.

Zusammenfassung

  • Die Rolle wird pro Produkt bestimmt, nicht pro Organisation. Ein Unternehmen mit mehreren Rollen hat pro Produktlinie eine andere Pflichtenmenge. Ordnen Sie zuerst jedes Produkt zu.
  • Ein Teil der Compliance-Infrastruktur lässt sich rollenweit konsolidieren, ein Teil nicht. Ein gemeinsames Dokumentensystem, ein gemeinsamer Schwachstelleneingang und ein gemeinsames SBOM-Werkzeug funktionieren rollenübergreifend. Ein gemeinsamer Meldetakt, eine gemeinsame Aufbewahrungsrichtlinie und eine gemeinsame CVD-Richtlinie funktionieren es nicht.
  • Die Strafexposition stapelt sich. Ein einziger Vorfall kann für ein Produkt die Herstellerstufe und für ein anderes die Einführer- oder Händlerstufe auslösen. Unternehmen mit mehreren Rollen modellieren die zweistufige Exposition.
  • Eine grenzüberschreitende Multi-Rollen-Topologie verstärkt alles. Wer in einem Mitgliedstaat produziert, in einem zweiten importiert und in einem dritten vertreibt, hat es mit drei verschiedenen Marktüberwachungsbehörden, drei verschiedenen Landessprachen für Nutzerinformationen und drei parallelen Meldewegen bei einer Schwachstelle zu tun.

Wie Multi-Rollen-Unternehmen auf andere Weise scheitern

Unternehmen mit einer einzigen Rolle scheitern an den Pflichten dieser einen Rolle. Unternehmen mit mehreren Rollen scheitern an den Nahtstellen zwischen den Rollen. Drei Fehlermuster wiederholen sich.

Getrennte Compliance-Gehirne. Das Team jeder Rolle arbeitet nach seinem eigenen Handbuch, ohne eine gemeinsame Produkt-Rollen-Zuordnung. Der Vertrieb bringt am Montag das White-Label-Produkt unter Ihrer Marke in den Markt. Das Herstellerteam bekommt die Umbenennung nie mit. Die Konformitätsbewertung für das umgelabelte Produkt läuft nie an. Drei Monate später fragt eine Marktüberwachungsbehörde nach der Herstellernachweis-Kette für eine Einheit, die als Ihr Markenprodukt verkauft wurde, aber als fremdmarkiertes Importprodukt dokumentiert ist. Die Rechtsposition ist nicht zu verteidigen.

Richtlinienkollision. Die Richtlinien zweier Rollen werden auf dasselbe Produkt angewendet, weil die Rolle nicht festgelegt wurde. Ihre CVD-Richtlinie sagt 90 Tage. Die Richtlinie Ihres Lieferanten sagt 120 Tage. Ohne eine klare Rollenzuordnung pro Produkt arbeitet Ihr Engineering-Team mit der Richtlinie der Rolle, die es für zutreffend hält, nicht mit der Rolle, die der CRA diesem Produkt zuweist.

Doppelter Lieferantenaudit. Als Einführer führen Sie eine Vorabprüfung beim Lieferanten durch. Als Hersteller, der denselben Lieferanten als Komponentenlieferanten nutzt, führen Sie eine Komponenten-Due-Diligence beim selben Lieferanten durch. Gleicher Lieferant, zwei Belegnachweise, zwei Budgets, zwei Gespräche. Der Audit lässt sich konsolidieren, aber nur, wenn Ihre Produkt-Rollen-Zuordnung explizit genug ist, um den Doppelzweck verteidigen zu können.

Der Multi-Rollen-Pflichtenstapel

Ein Teil der Compliance-Infrastruktur lässt sich rollenweit konsolidieren. Ein Teil bleibt rollenseparat. Die folgende Tabelle ist die operative Grundlage, die Multi-Rollen-Unternehmen brauchen, bevor sie in Werkzeuge, Prozesse oder Organisationsstruktur investieren.

Infrastruktur Konsolidiert rollenübergreifend Bleibt rollenseparat
Dokumentenspeicher Ja. Ein Dateisystem mit Ordnern pro Produkt funktioniert. Die Ordnerstruktur muss die Rolle(n) jedes Produkts ausweisen.
Schwachstelleneingang Ja. Ein Posteingang, eine Ticketwarteschlange kann Meldungen über alle Produktlinien hinweg aufnehmen. Die Weiterleitungsregeln unterscheiden sich. Herstellerprodukte werden an das Engineering-Team eskaliert. Importierte Produkte werden an den Lieferanten und zur einführerseitigen Prüfung weitergeleitet.
SBOM-Werkzeug Ja. Derselbe Generator funktioniert für selbst produzierte Firmware und für empfangene Lieferanten-SBOMs (wenn bereitgestellt). Die Hoheit über die SBOM ist unterschiedlich: Ihre eigene bei selbst produzierten Produkten, die des Lieferanten bei importierten.
Koordinierte Schwachstellenoffenlegungsrichtlinie Nein. Herstellerprodukte laufen nach Ihrer CVD-Richtlinie. Bei importierten Produkten gilt die Richtlinie des Herstellers. Ihre Rolle ist zu prüfen, ob diese vorhanden und erreichbar ist.
Meldetakt Nein. Herstellerprodukte verwenden das Herstellermeldungshandbuch. Einführer- und Händlereskalation bleibt im Marktüberwachungskanal.
Einzelner Ansprechpartner für Schwachstellenmeldungen Nein. Der Herstellerkontakt steht auf Ihren hergestellten Produkten. Empfänger importierter Produkte sehen den Kontakt des Originalherstellers (den Sie bei der Abnahme geprüft haben) und leiten über diesen weiter.
Dokumentenaufbewahrung Nein. Die Aufbewahrungsdauer richtet sich nach der Produktrolle und dem Nachweispaket. Wenden Sie keine einheitliche Archivierungsregel auf jeden Ordner an.
Straftarif Nein. Der Herstellerstraftarif gilt, wenn das betroffene Produkt eines ist, das Sie herstellen. Der Einführer- oder Händlerstraftarif gilt sonst.
Konformitätsbewertungs-Nachweis-Kette Nein. Ihre eigene bei hergestellten Produkten. Die des Originalherstellers bei importierten und vertriebenen Produkten. Der Einführer hält einen Verweis. Der Händler hält einen Präsenznachweis.

Die konsolidierbare Infrastruktur ist der Effizienzgewinn des Multi-Rollen-Modells. Die rollenseparate Infrastruktur ist dort, wo Compliance-Teams stolpern, wenn sie annehmen, eine Richtlinie könne alle Produkte abdecken.

Optionen für die Organisationsstruktur

Drei Muster funktionieren für eine Multi-Rollen-Compliance-Organisation. Wählen Sie dasjenige, das zu Ihrem Portfolio passt.

Option 1: Rollenbasierte Teams. Separate Teams für Hersteller-, Einführer- und Händleraktivitäten. Am besten, wenn jede Rolle ein erhebliches Volumen hat.

Compliance-Abteilung
├─ Herstellungs-Compliance-Team   → alle Herstellerpflichten
├─ Import-Compliance-Team         → Lieferantenverifizierung, Importdokumente
└─ Vertriebs-Compliance-Team      → Partnerbeziehungen, Vertriebsunterlagen

Option 2: Produktbasierte Teams. Ein Team pro Produktlinie, das jede Rolle für die Produkte dieser Linie verantwortet. Am besten, wenn Produktlinien schmal sind und die Rollen pro Linie gemischt vorkommen.

Compliance-Abteilung
├─ Produktlinie A Team (Sensoren)       → alle Rollen für Sensorprodukte
├─ Produktlinie B Team (Steuerungen)    → alle Rollen für Steuerungsprodukte
└─ Geteilte Dienste                     → Dokumentenmgmt, SBOM-Tools, Schulung

Option 3: Hybrid (für die meisten empfohlen). Geteilte Kerndienste plus rollenspezialisierte Teams. Ein gemeinsamer Dokumentenspeicher und Schwachstelleneingang, aber separate Hersteller- und Lieferanten-/Partnerteams.

Compliance-Abteilung
├─ Kern-Compliance              → Dokumentenmgmt, Schwachstelleneingang, Schulung
├─ Hersteller-Compliance        → Konformitätsbewertung, technische Dateien, Updates
└─ Lieferanten-/Partner-Compliance → Importverifizierung, Händlerbeziehungen

Beispiel zur Kostenallokation

Eine praxisnahe Budgetaufteilung für ein Multi-Rollen-Unternehmen mit 5 hergestellten, 10 importierten und 15 vertriebenen Produkten.

MULTI-ROLLEN COMPLIANCE-BUDGET (jährlich)

GETEILTE INFRASTRUKTUR (40 % des Budgets):
  Compliance-Managementsystem:        25.000 EUR
  Dokumentenmanagement:               10.000 EUR
  Schulungsprogramm:                  15.000 EUR
  Schwachstelleneingang:              10.000 EUR
  ZWISCHENSUMME                       60.000 EUR

HERSTELLER-ROLLE (35 % des Budgets):
  Konformitätsbewertung (5 Produkte): 25.000 EUR
  SBOM-Tooling:                        8.000 EUR
  Update-Infrastruktur:               15.000 EUR
  Technische-Datei-Wartung:            5.000 EUR
  ZWISCHENSUMME                       53.000 EUR

EINFÜHRER-ROLLE (20 % des Budgets):
  Lieferantenverifizierung (10 Produkte): 20.000 EUR
  Dokumentationsanfragen:                  5.000 EUR
  Lieferantenüberwachung:                  5.000 EUR
  ZWISCHENSUMME                           30.000 EUR

HÄNDLER-ROLLE (5 % des Budgets):
  Partnerverifizierung:                    5.000 EUR
  Unterlagenführung:                       2.500 EUR
  ZWISCHENSUMME                            7.500 EUR

GESAMT                                  150.500 EUR

Die 40 Prozent geteilter Kern sind der Effizienzgewinn des Multi-Rollen-Modells. Die 35 Prozent für die Herstellerrolle steigen scharf an, sobald ein importiertes Produkt in den Herstellerstatus wechselt, weil Sie es umbenennen oder wesentlich verändern.

Szenarien mit konfligierenden Zeitplänen

Multi-Rollen-Unternehmen stoßen auf Zeitplankonflikte, die Einzelrollen-Unternehmen nie sehen.

Konfligierende CVD-Fenster. Ihre hergestellten Produkte laufen mit einem 90-tägigen Fenster für koordinierte Schwachstellenoffenlegung. Ihr Lieferant (dessen Produkte Sie importieren) besteht auf 120 Tagen. Lösung: getrennte Richtlinien pro Rolle. Ihre CVD-Richtlinie gilt nur für Produkte, die Sie selbst herstellen. Bei importierten Produkten ist die Richtlinie des Herstellers maßgeblich. Ihre Rolle ist zu prüfen, ob diese vorhanden, erreichbar und mit dem CRA-Minimum vereinbar ist.

Mismatch beim Dokumentationsstandard. Ihre Herstellervorlage für die technische Dokumentation folgt Ihrem internen Standard. Die Dokumentation Ihres Lieferanten ist nach seinem eigenen Inlandsregime strukturiert. Lösung: halten Sie getrennte Vorlagen pro Rolle. Zwingen Sie Lieferantendokumentation nicht in Ihre Herstellervorlage, sonst verlieren Sie die Nachverfolgbarkeit, wenn eine Marktüberwachungsbehörde nach der Originalquelle fragt.

Lieferantennichtkooperation. Sie sind Einführer, aber Ihr Lieferant stellt die Dokumentation, die Sie für die Vorabprüfung benötigen, nicht bereit. Lösung: Das Geschäft ist gescheitert. Ohne die Dokumentation können Sie das Produkt nicht legal auf dem EU-Markt in Verkehr bringen. Halten Sie die Lieferung zurück, stellen Sie die Dokumentationsanforderung schriftlich, und wenn der Lieferant weiterhin verweigert, wechseln Sie den Lieferanten.

Supportzeitraum-Kaskade. Als Hersteller verpflichten Sie sich zu einem 7-jährigen Supportzeitraum für Ihr eigenes Produkt. Dieselbe Produktlinie enthält eine umgelabelte OEM-Komponente, die Sie ebenfalls importiert haben. Der OEM verpflichtet sich nur zu 5 Jahren für die importierte Variante. Ihre Kunden können beide Varianten in Ihrem Sortiment sehen. Lösung: Kommunizieren Sie den Supportzeitraum pro Variante klar am Verkaufsort. Lassen Sie Ihr Marketing keine einheitliche Hülle für beide Varianten behaupten.

ENISA-SRP-Zugriffsgrenzen. Die ENISA Single Reporting Platform ist der herstellerseitige Meldekanal. Multi-Rollen-Unternehmen richten SRP-Zugang für ihre Herstellerrolle ein. Bei Produkten, die Sie nur importieren oder vertreiben, ist der Originalhersteller derjenige, der über SRP meldet. Ihre Rolle ist es, diesen Hersteller zu informieren und, bei erheblichem Cybersicherheitsrisiko, die Marktüberwachung direkt zu informieren, nicht im Namen des Originalherstellers an ENISA zu melden.

Schwachstellen-Meldungs-Fan-out

Eine Schwachstelle wird gemeldet. Sie betrifft drei Produktkohorten in Ihrem Portfolio: Produkte, die Sie herstellen, Produkte, die Sie importiert haben, und Produkte, die Sie vertreiben. Was löst wo, in welcher Reihenfolge aus, und wer zeichnet.

Kohorte Primärmeldung Sekundärmeldung Zeichnungsberechtigter
Produkte, die Sie herstellen ENISA Single Reporting Platform (Herstellermeldestrom) Koordinierender CSIRT für die Schwachstelle, CSIRT und Marktüberwachung bei schwerem Vorfall, betroffene Nutzer Compliance-Leitung Hersteller
Produkte, die Sie importiert haben Der Originalhersteller, unverzüglich Marktüberwachung jedes Mitgliedstaats der Bereitstellung bei erheblichem Cybersicherheitsrisiko Compliance-Leitung Einführer
Produkte, die Sie vertreiben Der Originalhersteller, unverzüglich Marktüberwachung jedes Mitgliedstaats der Bereitstellung bei erheblichem Cybersicherheitsrisiko Compliance-Leitung Händler

Bei einem einzelnen Vorfall mit mehreren Kohorten laufen die Meldungen parallel, nicht nacheinander. Die Herstellerstrom-Meldung hat eine regulatorische Frist. Die Einführer- und Händlermeldungen laufen nach dem Unverzüglichkeits-Standard. Lassen Sie den herstellerseitigen Meldetakt nicht die Einführer-/Händlereskalation dominieren, denn die Einführer- und Händlerpflichten bestehen eigenständig.

Die Einzel-Kohortenrhythmen, Eskalationsschwellen und die rollenspezifischen Meldeabläufe sind im Herstellermeldestrom, in der Einführer-Betriebseinstellungskaskade und im Händler-Schwachstellenbewusstsein die maßgeblichen Referenzen.

Behördenanfragen-Triage nach Rollen

Eine Marktüberwachungsbehörde stellt eine begründete Anfrage. Verschiedene Rollen liefern verschiedene Nachweispakete als Antwort.

Produktrolle Was die Behörde erwartet Wo die Nachweise liegen
Von Ihnen hergestellt Vollständige Nachweis-Kette: technische Dokumentation, Konformitätsbewertungsweg, EU-Konformitätserklärung, Supportzeitraum-Zusage, Schwachstellenbehandlungsprotokoll Team Hersteller-Compliance, Dokumentenmanagementsystem
Von Ihnen importiert Einführer-Prüfungsprotokoll (CE-Kennzeichnungsprüfung, Herstellerdetails, DoC-Verweis), Verweis auf die technische Dokumentation des Herstellers, Aufbewahrungsprotokoll für die DoC Team Einführer-Compliance, Dokumentenmanagementsystem
Von Ihnen vertrieben Dokumentensatz aus der Aufnahmeprüfung (DoC-Referenz, Nutzerinformationen, Lieferkettenkontakte), Nachweis der präsenzbasierten Prüfung Team Händler-Compliance, Aufnahmeprotokolle

Bauen Sie die Rollen-Nachweis-Zuordnung pro Produkt auf, bevor eine Marktüberwachungsbehörde danach fragt. Am Tag, an dem eine begründete Anfrage eintrifft, lautet die Frage nicht: „Wo sind die Nachweise?" Die Frage lautet: „Welches Nachweispaket passt zur Rolle, die dieses Produkt zu diesem Datum trägt?" Ein Multi-Rollen-Team, das die Zuordnung nicht vorbereitet hat, verbrennt einen Arbeitstag damit, die falsche Nachweis-Kette zu rekonstruieren.

Strafexposition bei mehreren Rollen

Ein einzelner Schwachstellenvorfall kann mehr als eine Strafe auslösen, wenn der betroffene Code in Produkten über mehrere Rollen hinweg vorhanden ist.

Rolle des betreffenden Produkts Straftarif Obergrenze
Von Ihnen hergestellt Herstellertarif 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes
Von Ihnen importiert Einführertarif 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Von Ihnen vertrieben Händlertarif 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes

Die Tarife gelten pro Verstoß, nicht pro Produkt. Ein Multi-Rollen-Unternehmen, das dieselbe anfällige Komponente in hergestellten und importierten Produktlinien einsetzt und keine Meldung macht, ist parallel dem Herstellertarif für die Herstellerkohorte und dem Einführertarif für die Importkohorte ausgesetzt. Versicherungszeichnung und Risikomodellierung auf Vorstandsebene sollten beide Obergrenzen berücksichtigen, nicht nur die höhere.

Die Minderung ist operativ, nicht vertraglich. Die Rollen-Nachweis-Zuordnung zuzüglich des rollenseparat geführten Meldungs-Fan-outs ergibt einen verteidigbaren Nachweis darüber, welche Produkte wann nach welchem Rollenprotokoll gemeldet wurden. Ohne diesen Nachweis kann eine Behörde das Unternehmen auffordern, nachzuweisen, welche Rolle für jedes Produkt galt, bevor der Straftarif festgestellt wird.

Grenzüberschreitende Multi-Rollen-Topologie

Wenn eine Multi-Rollen-Organisation über Mitgliedstaatsgrenzen hinweg tätig ist, bekommt die Produkt-Rollen-Zuordnung eine zweite Achse: welche nationalen Behördenkontakte pro Rolle vorzubereiten sind, und welche Sprache jeder Mitgliedstaat der Bereitstellung für Nutzerinformationen erwartet.

Nehmen Sie eine EU-Gruppe, die Sensoren in Deutschland herstellt, Steuergeräte von einem taiwanesischen Lieferanten über ihre französische Einheit importiert und die Software eines belgischen Anbieters über ihren italienischen Vertriebsarm vertreibt.

Produktkohorte Rolle Behördenkontakte vorab einrichten Sprache der Nutzerinformation
Hergestellte Sensoren Hersteller Koordinierender CSIRT und zuständige Marktüberwachungsbehörde für den Herstellermeldestrom, zuzüglich Marktüberwachungskontakte in jedem Mitgliedstaat, in dem das Produkt bereitgestellt wird Deutsch für den deutschen Markt, zuzüglich jeweiliger Landessprache für Lieferungen in andere Märkte
Importierte Steuergeräte Einführer Marktüberwachungsbehörden jedes Mitgliedstaats, in dem Sie das Produkt in Verkehr bringen Französisch, zuzüglich jeweiliger Landessprache für Weiterlieferung
Vertriebene Software Händler Marktüberwachungsbehörden jedes Mitgliedstaats, in dem Sie das Produkt bereitstellen, zuzüglich dem Rückweg zur Primärbehördenkette des Herstellers für vorgelagerte Eskalation Italienisch, zuzüglich jeweiliger Landessprache entsprechend dem Bereitstellungsort

Eine Schwachstelle, die alle drei Kohorten betrifft, löst parallele Meldungen an drei verschiedene nationale Marktüberwachungsbehörden gleichzeitig aus, jeweils in der entsprechenden Landessprache. Der CRA bietet keinen einheitlichen Überblickskanal über Mitgliedstaaten hinweg für eine Multi-Rollen-Organisation. Bauen Sie das kohortenspezifische Behördenkontakt-Verzeichnis jetzt auf. Das erste Mal, dass Sie danach greifen, sollte nicht in einem Vorfall sein.

Wenn dieselbe juristische Person AR, Einführer und Hersteller ist

Die Bevollmächtigter-Vertreter-Regelung ist zulässig, nicht verpflichtend. Ein Nicht-EU-Hersteller kann eine in der EU ansässige Stelle als Bevollmächtigten Vertreter auf der Grundlage eines schriftlichen Mandats benennen. Der CRA hindert dieselbe EU-Stelle nicht daran, gleichzeitig Einführer für die Produkte eines anderen Nicht-EU-Lieferanten zu sein oder eine eigene Produktlinie herzustellen.

Dies ist die konzentrierteste Multi-Rollen-Überschneidung im CRA. Drei Dinge müssen getrennt bleiben, auch wenn sie unter einem Unternehmensdach sitzen:

Mandate sind lieferantengebunden. Jede Bevollmächtigter-Vertreter-Beziehung ist durch ein schriftliches Mandat dokumentiert. Wenn Sie als Bevollmächtigter Vertreter für Nicht-EU-Anbieter A und als Einführer für Nicht-EU-Anbieter B tätig sind, deckt der Bevollmächtigter-Vertreter-Nachweis nur Anbieter A ab. Die Produkte von Anbieter B laufen unter dem Einführerregime, ohne Mandatsüberlagerung.

Die Haftungsgrenzen unterscheiden sich je Rolle. Der Bevollmächtigte Vertreter hält Dokumentation und kooperiert mit der Marktüberwachung im Namen des vertretenen Herstellers, bringt aber keine Produkte in Verkehr. Der Einführer trägt die vierfache Vorabprüfung, bringt das Produkt in Verkehr und bewahrt die EU-Konformitätserklärung 10 Jahre oder die Dauer des Supportzeitraums auf. Der Hersteller trägt das vollständige Design- und Engineering-Pflichtenbündel. Dies sind drei verschiedene Haftungsflächen, die alle unter einer juristischen Person liegen. Nachweise müssen die Rollentrennung pro Produkt belegen.

Die Betriebseinstellungsweiterleitung ist rollengebunden. Wenn Anbieter A, für den Sie Bevollmächtigter Vertreter sind, den Betrieb einstellt, prüfen Sie das schriftliche Mandat und bewahren Sie die Bevollmächtigter-Vertreter-Dokumentation und die Kooperationsakte auf. Die gesetzliche Betriebseinstellungsanzeige selbst liegt beim Hersteller, es sei denn, ein weiterer rollenspezifischer Auslöser greift ebenfalls. Wenn Anbieter B (für den Sie Einführer sind) den Betrieb einstellt, löst die Betriebseinstellungsanzeige des Einführers aus: Informieren Sie die Marktüberwachung und die Nutzer über die Betriebseinstellung des Herstellers. Ihre eigene Herstellerlinie, falls sie jemals eingestellt wird, löst die Hersteller-Selbstbetriebseinstellungsanzeige mit Ihrem eigenen Kundenkommunikationsweg aus. Die drei Auslöser konsolidieren sich nicht in einer einzigen Weiterleitung.

Die praktische Grundanforderung: Eine Produkt-Rollen-Zuordnung mit dem Rollentag bei jedem Produkt macht die Trennung von Bevollmächtigtem Vertreter, Einführer und Hersteller verteidigbar. Ohne diese Zuordnung wird ein Audit zu Produkten von Anbieter A in Ihre Einführer- und Herstellernachweise hineinspillen und vermeidbare Kosten der Beweisermittlung verursachen.

Wenn Rollen sich im Lebenszyklus ändern

Multi-Rollen-Unternehmen erleben Rollenwechsel über den Lebenszyklus eines Produkts. Fünf Ereignisse wiederholen sich.

Händler zu Einführer. Ihr EU-Lieferant schließt, und Sie beginnen, direkt vom Nicht-EU-Hersteller zu importieren. Maßnahmen: vollständige Einführer-Verifizierung am Produkt, direkte Lieferantenbeziehung, Auffrischung der gesamten Importdokumentation.

Einführer zu Hersteller. Sie beginnen, das importierte Produkt unter Ihrer eigenen Marke in Verkehr zu bringen. Maßnahmen: vollständige Erfüllung der Herstellerpflichten (Konformitätsbewertung, technische Dokumentation, SBOM, Schwachstellenbehandlung, Supportzeitraum-Entscheidung). Ihr Lieferant ist jetzt ein Auftragsfertiger im kommerziellen Sinne, nicht der CRA-Hersteller. Die Compliance-Hoheit wechselt zu Ihnen.

Händler zu Bundle-Veränderer. Sie beginnen, auf einem Produkt, das Sie zuvor unverändert vertrieben haben, eigene Firmware vorab zu installieren. Maßnahmen: Die Herstellerpflichten gelten über die Umkennzeichnungsbrücke für das veränderte Produkt oder, wenn die Änderung die Cybersicherheit des gesamten Produkts berührt, für das gesamte Produkt.

Hersteller zu Händler. Sie stellen die Markierung einer Produktlinie ein und übergeben sie zurück an den OEM unter der OEM-eigenen Marke. Maßnahmen: Der Originalhersteller übernimmt ab diesem Zeitpunkt wieder die Herstellerrolle. Sie werden zum Händler des OEM-markierten Produkts. Ihre herstellerseitige Aufbewahrungs- und Supportpflicht läuft für bereits unter Ihrer Marke in Verkehr gebrachte Einheiten weiter.

Jede Rolle zu Ausstieg. Sie stellen den Verkauf eines Produkts ein. Maßnahmen: Die Dokumentenaufbewahrung läuft weiter (Hersteller und Einführer: 10 Jahre oder die Dauer des Supportzeitraums). Die Supportpflichten des Herstellers gelten für mindestens 5 Jahre ab der letzten in Verkehr gebrachten Einheit, oder die Dauer des Supportzeitraums, wenn dieser länger zugesagt wurde. Wenn der Hersteller ebenfalls den Betrieb einstellt, läuft die Anzeigepflicht über Einführer und Händler in der Kette.

Geschäftskontinuität bei Betriebseinstellung der Multi-Rollen-Organisation

Der CRA kennt eine gesetzliche Selbstbetriebseinstellungsanzeige: die des Herstellers. Wenn ein Hersteller den Betrieb einstellt und die Pflichten nicht mehr erfüllen kann, muss er die zuständigen Marktüberwachungsbehörden und die Nutzer bereits in Verkehr gebrachter Produkte informieren, bevor die Einstellung wirksam wird. Eine entsprechende Selbstbetriebseinstellungsanzeige für die Einführer- oder Händlerrolle gibt es im CRA nicht. Die Betriebseinstellungspflichten von Einführer und Händler im CRA lösen nur dann aus, wenn der Hersteller eines von ihnen gehandelten Produkts den Betrieb einstellt, nicht wenn der Einführer oder Händler selbst den Betrieb einstellt.

Für eine Multi-Rollen-Organisation, die sich auflöst, bedeutet das:

Kohorte der scheiternden Einheit Was der CRA verlangt Operative Kontinuitätsarbeit
Hergestellte Produkte Gesetzliche Selbstbetriebseinstellungsanzeige an die Marktüberwachungsbehörden und, mit allen verfügbaren Mitteln, an die Nutzer. Kommunizieren Sie etwaige Nachfolge-Supportregelungen. Dokumentieren Sie die Anzeige, das Datum, die Empfänger und die Supportzeitraum-Implikationen. Bewahren Sie die technische Dokumentation und die DoC mindestens bis zur Aufbewahrungsuntergrenze auf (10 Jahre oder die Dauer des Supportzeitraums).
Importierte Produkte Keine gesetzliche Selbstbetriebseinstellungsanzeige auf Einführerseite. Die DoC und der Verweis auf die technische Dokumentation lagen bereits bei der Aufnahme vor und verbleiben im Nachweisarchiv. Planen Sie die Nachweiskontinuität. Bestimmen Sie, welche Einheit die einführerseitige DoC-Aufbewahrung übernimmt. Kommunizieren Sie Kanaländerungen an Handelspartner.
Vertriebene Produkte Keine gesetzliche Selbstbetriebseinstellungsanzeige auf Händlerseite. Stellen Sie die Bereitstellung von Produkten ein. Kommunizieren Sie Handelspartnern, dass sie sich anderweitig versorgen müssen. Eine gesetzliche Nutzeranzeige ist vom Händler für den Akt des Einstellens des Vertriebs nicht erforderlich.
Bevollmächtigter-Vertreter-Mandate für Nicht-EU-Hersteller Keine gesetzliche Selbstbetriebseinstellungsanzeige für den Bevollmächtigten Vertreter. Die Mandatsdokumentation besteht weiter, und die Rolle des Bevollmächtigten Vertreters ist Dokumentationsverwaltung und Kooperation. Koordinieren Sie mit jedem vertretenen Hersteller, um das Mandat entweder auf einen Nachfolger zu übertragen oder sauber zu beenden. Bewahren Sie die Dokumentationsakte auf.

Behandeln Sie die Hersteller-Selbstbetriebseinstellungsanzeige als das regulierte Ereignis. Behandeln Sie die Übergänge bei Einführer, Händler und Bevollmächtigtem Vertreter als operative Nachweiskontinuitätsplanung, nicht als weitere gesetzliche Anzeigeströme. Multi-Rollen-Unternehmen, die die vier Verpflichtungen gleichsetzen (und annehmen, dass Einführer und Händler eigene Selbstbetriebseinstellungsanzeigepflichten haben), überbauen ihr Handbuch und können die eine gesetzliche Anzeige verzögern, auf die es wirklich ankommt.

Häufig gestellte Fragen

Was gilt nach dem CRA, wenn ein Unternehmen sowohl Hersteller als auch Einführer ist?

Der CRA wendet Rollenpflichten pro Produkt an, nicht pro Organisation. Wenn Sie ein Produkt herstellen und ein anderes importieren, tragen Sie Herstellerpflichten für das erste und Einführerpflichten für das zweite, parallel. Wenn dasselbe Produkt eines ist, das Sie nach dem Import unter Ihrer eigenen Marke in Verkehr bringen oder wesentlich verändern, greift die Umkennzeichnungsbrücke und Sie werden für dieses spezifische Produkt zum Hersteller. Die Grenze läuft produkt- nicht unternehmensweise.

Kann ich eine CRA-Rolle an ein anderes Unternehmen auslagern?

Aufgaben lassen sich auslagern. Die rechtliche Rolle lässt sich nicht auslagern. Das Unternehmen, das das Produkt unter seinem Namen in Verkehr bringt, es in die Union einführt oder es nachgelagert bereitstellt, bleibt der Träger der Rolle und ihrer Pflichten. Ein externer Compliance-Dienstleister kann Konformitätsbewertungstests, Lieferantenaudits oder Dokumentationspflege vertraglich übernehmen, aber die regulatorische Verantwortung verbleibt bei Ihnen.

Wie stapeln sich Meldepflichten, wenn ich mehrere Rollen innehabe?

Der herstellerseitige Meldestrom (ENISA Single Reporting Platform, koordinierender CSIRT, betroffene Nutzer) ist der primäre regulatorische Kanal. Einführer- und Händlerpflichten laufen daneben als Eskalation: den Hersteller unverzüglich über Schwachstellen informieren und die Marktüberwachung jedes Mitgliedstaats der Bereitstellung informieren, wenn das Produkt ein erhebliches Cybersicherheitsrisiko darstellt. Ein Multi-Rollen-Unternehmen betreibt beide Ströme parallel und zeichnet diese unter verschiedenen Rollenleitungen mit separaten Nachweispfaden.

Wann sollte ein Multi-Rollen-Unternehmen in separate juristische Tochtergesellschaften aufteilen?

Die Entscheidung wird in der Regel durch Strafexpositionsmodellierung ausgelöst, nicht durch operative Komplexität. Wenn die Herstellerstufen-Obergrenze (15 Mio. EUR oder 2,5 % des weltweiten Umsatzes) für Ihre hergestellte Produktlinie Ihre Einführer- und Händlerumsätze bei weitem übersteigt, kann eine Ausgliederung der Herstellertätigkeit in eine separate Tochtergesellschaft die Einführer- und Händlerumsätze vor einem herstellerseitigen Vorfall schützen. Eine Ausgliederung ist außerdem prüfenswert, wenn Doppelaudits bei Lieferanten oder regulatorischer Meldeaufwand zu einer messbaren Kostenposition werden. Der CRA schreibt keine bestimmte Rechtsstruktur vor. Er knüpft Rollenpflichten an die juristische Person, die das Produkt in Verkehr bringt.

Deckt die ENISA-SRP-Registrierung alle meine Rollen ab?

Die Single Reporting Platform ist der Herstellermeldungskanal. Ein Multi-Rollen-Unternehmen registriert sich bei SRP für seine Herstellerrolle und nutzt die Plattform für Produkte, die es herstellt. Bei Produkten, die Sie nur importieren oder vertreiben, ist der Originalhersteller die meldende Einheit bei SRP. Ihre Rolle bei diesen Produkten ist es, den Hersteller über Schwachstellen zu informieren und die Marktüberwachungsbehörden direkt zu benachrichtigen, wenn ein erhebliches Cybersicherheitsrisiko bei Produkten vorliegt, die Sie in Verkehr gebracht oder bereitgestellt haben.

Kann ein einziger Lieferantenaudit sowohl meinen Einführer-Prüfbedarf als auch meine Hersteller-Komponenten-Due-Diligence abdecken?

Ja, wenn der Audit für den Doppelzweck ausgelegt ist und die Produkt-Rollen-Zuordnung explizit ist. Der Auditumfang muss sowohl die Vorabprüfungsanforderungen des Einführers für Fertigprodukte als auch die Komponenten-Due-Diligence-Anforderungen des Herstellers für in eigene Produkte integrierte Komponenten abdecken. Dokumentieren Sie den Doppelzweck im Auditmandat. Ein einziger Lieferantenbesuch, der zwei rollenspezifische Nachweispakete erzeugt, ist akzeptabel. Ein einziges Paket, das beide Rollen vermengt, ist schwerer zu verteidigen, wenn eine Marktüberwachungsbehörde fragt, welche Rollennachweise gezeigt werden.

Kann ein einzelner Ansprechpartner die Rollen Hersteller, Einführer und Händler abdecken?

Ein einziger Posteingang kann Schwachstellenmeldungen über alle Rollen hinweg aufnehmen, aber die Weiterleitung muss rollengebunden aufgeteilt werden. Der herstellerseitige Einzelansprechpartner muss nicht automatisiert sein und Nutzern die Wahl des bevorzugten Kommunikationsmittels lassen. Bei importierten und vertriebenen Produkten erwarten die Meldenden den Kontakt des Originalherstellers. Ein Multi-Rollen-Unternehmen, das einen einzigen Posteingang veröffentlicht, muss sicherstellen, dass Meldungen dahinter mit der Produktrolle getaggt und noch am selben Geschäftstag an die richtige Leitung weitergeleitet werden. Warteschlangen ohne interne Weiterleitung zu vermischen, lässt herstellerseitige Meldungen in einem Händler-Ticketfluss versinken und verletzt den Unverzüglichkeitsstandard.

Was vor dem Auftreten von Rollenkomplexität einzurichten ist

  1. Bauen Sie die Produkt-Rollen-Zuordnung auf. Jedes Produkt erhält einen Rollentag (Hersteller / Einführer / Händler, zuzüglich Bevollmächtigter Vertreter oder Steward wo zutreffend). Dies ist das Fundament, von dem alle anderen Multi-Rollen-Prozesse abhängen.
  2. Bauen Sie die Rollen-Nachweis-Zuordnung pro Produkt auf. Hergestellte Produkte verweisen auf die vollständige Nachweis-Kette (technische Dokumentation, Konformitätsbewertungsweg, EU-DoC). Importierte Produkte verweisen auf das Prüfungsprotokoll und den DoC-Aufbewahrungsverweis. Vertriebene Produkte verweisen auf das Aufnahmeprüfungsprotokoll. Bereiten Sie die Zuordnung vor, damit eine begründete Marktüberwachungsanfrage eine Antwort noch am selben Tag auslöst.
  3. Richten Sie das kohortenspezifische Behördenkontakt-Verzeichnis ein. Koordinierender CSIRT und Marktüberwachungskontakte für den Herstellermeldestrom. Marktüberwachungskontakte in jedem Mitgliedstaat, in dem Sie importierte und vertriebene Produkte in Verkehr bringen oder bereitstellen. Grenzüberschreitende Multi-Rollen-Unternehmen benötigen dies, bevor die erste Schwachstelle eintrifft.
  4. Modellieren Sie die zweistufige Strafexposition auf Vorstandsebene. Die Herstellerstufe (15 Mio. EUR / 2,5 %) und die Einführer-/Händlerstufe (10 Mio. EUR / 2 %) können sich bei einem einzigen Vorfall stapeln. Behandeln Sie das als Risikomanagement-Position, nicht als Compliance-Fußnote.
  5. Benennen Sie namentlich Verantwortliche für Kern-Compliance, Hersteller-Compliance und Lieferanten-/Partner-Compliance. Tragen Sie den Verantwortlichen neben jeder Produktkohorte in die Produkt-Rollen-Zuordnung ein.
  6. Bereiten Sie die Vorlage für die Hersteller-Selbstbetriebseinstellungsanzeige sowie operative Übergangspläne für Einführer-, Händler- und Bevollmächtigter-Vertreter-Nachweise vor. Die Herstelleranzeige ist die einzige gesetzliche Betriebseinstellungspflicht. Die anderen Rollen erfordern Nachweiskontinuitätsplanung, keine weiteren Anzeigeströme.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Anleitung konsultieren Sie qualifizierte Rechtsberater.

CRA Hersteller Importeure Vertriebspartner
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
View full CRA compliance guide