White-Label- und OEM-Produkte unter CRA: Wer ist der Hersteller?

Sie verkaufen Tablets unter Ihrer Marke, aber eine Fabrik in Asien stellt sie her. Nach CRA sind Sie der Hersteller mit allen damit verbundenen Pflichten. Das Verständnis der White-Label-Produkt-Compliance ist essenziell, bevor Sie Ihr Logo auf fremde Hardware setzen.

Dieser Leitfaden behandelt CRA-Pflichten für White-Label-, OEM- und Eigenmarken-Vereinbarungen.

White-Label unter CRA verstehen

Die Kernregel

Artikel 3 des CRA definiert "Hersteller" als:

"jede natürliche oder juristische Person, die ein Produkt mit digitalen Elementen herstellt oder entwerfen oder herstellen lässt und es unter ihrem Namen oder ihrer Marke vermarktet"

Die Schlüsselphrase ist "vermarktet es unter ihrem Namen oder ihrer Marke."

Wenn Ihre Marke auf dem Produkt ist, sind Sie der Hersteller, selbst wenn Sie nie einen Lötkolben angefasst oder eine Zeile Code geschrieben haben.

Begriffserklärung

Verschiedene Begriffe, gleiches CRA-Ergebnis:

Der Unterschied, der zählt: Wessen Marke ist auf dem Produkt?

Was das in der Praxis bedeutet

Sie sind Hersteller, also...

Als White-Label-Hersteller unter CRA müssen Sie:

Vor Marktplatzierung:

1. Konformitätsbewertung durchführen (Modul A, B+C oder H)
2. Technische Dokumentation vorbereiten (Anhang VII)
3. Sicherstellen, dass Produkt wesentliche Anforderungen nach Anhang I erfüllt
4. EU-Konformitätserklärung unterzeichnen
5. CE-Kennzeichnung anbringen
6. SBOM erstellen/pflegen

Während des Supportzeitraums:

1. Schwachstellenmeldungen behandeln
2. Sicherheitsupdates für 5+ Jahre bereitstellen
3. An ENISA melden (bei aktiver Ausnutzung)
4. Kunden über Sicherheitsprobleme informieren
5. Dokumentation pflegen

Fortlaufend:

1. Nachmarktüberwachung
2. Kooperation mit Behörden
3. Nicht-Konformitätsreaktion

Ihr Lieferant wird Ihr Lieferant

Der tatsächliche Hersteller (Fabrik, ODM, etc.) ist jetzt Ihr Lieferant, nicht der rechtliche Hersteller für CRA-Zwecke. Das verändert die Beziehung:

VOR CRA:
ODM-Fabrik → "Hersteller" (deren Produkt, deren Compliance)
     ↓
Ihre Marke → "Wiederverkäufer/Händler"

UNTER CRA:
ODM-Fabrik → "Lieferant" (baut nach Spezifikation)
     ↓
Ihre Marke → "Hersteller" (Ihr Produkt, Ihre Compliance)

Die White-Label-Compliance-Lücke

Viele White-Label-Vereinbarungen wurden nicht dafür konzipiert. Häufige Probleme:

Lücke 1: Kein Zugang zur technischen Dokumentation

Ihr ODM hat die technische Datei, aber Sie müssen sie jetzt pflegen.

Problem:

• Fabrik betrachtet Designs als proprietär
• Dokumentation kann unvollständig sein
• Entspricht möglicherweise nicht CRA-Formatanforderungen

Lösung:

• Dokumentationszugang vertraglich regeln
• Anhang-VII-konforme technische Datei verlangen
• Vor Vertragsunterzeichnung verifizieren

Lücke 2: Schwachstellenbehandlung undefiniert

Wer behandelt Sicherheitsprobleme, wenn Ihr gebrandes Produkt eine Schwachstelle hat?

Problem:

• Fabrik entdeckt Schwachstelle, informieren sie Sie?
• Kunde meldet an Sie, kann Fabrik es beheben?
• Zeitpläne nicht abgestimmt

Lösung:

• Schwachstellenreaktion im Vertrag definieren
• Benachrichtigungsfristen festlegen
• Update-Entwicklungsverantwortlichkeiten klären
• ENISA-Meldung klären (Ihre Pflicht)

Lücke 3: Supportzeitraum-Missverhältnis

Sie haben 5-Jahres-Support versprochen, aber Ihre Lieferantenbeziehung ist auf 2 Jahre angelegt.

Problem:

• Fabrik stellt Produkt ein
• Fabrik geht aus dem Geschäft
• Keine Quelle für Updates nach Vertragsende

Lösung:

• Supportzeitraum-Dauer vertraglich regeln
• Escrow-Vereinbarungen für Quellcode
• Notfallplanung für Lieferantenwechsel
• Mehrfache Lieferantenqualifizierung erwägen

Lücke 4: Kein SBOM

Sie brauchen ein SBOM. Ihr Lieferant hat nie eines erstellt.

Problem:

• Kann SBOM nicht an Regulierungsbehörden oder Kunden liefern
• Kann Schwachstellen in Komponenten nicht verfolgen
• Kann Lieferkettentransparenz nicht demonstrieren

Lösung:

• SBOM in Beschaffung verlangen
• Format spezifizieren (CycloneDX, SPDX)
• Aktualisierungshäufigkeit definieren

White-Label-Vereinbarungen für CRA strukturieren

Wesentliche Vertragsbedingungen

Ihre White-Label/OEM-Vereinbarung sollte enthalten:

1. CRA-Compliance-Anerkennung

Der Lieferant erkennt an, dass der Käufer das Produkt
unter der Marke des Käufers auf dem EU-Markt platzieren
wird und dass der Käufer nach Verordnung (EU) 2024/2847
(Cyber Resilience Act) als "Hersteller" gilt. Der Lieferant
stimmt zu, die Compliance-Pflichten des Käufers gemäß
dieser Vereinbarung zu unterstützen.

2. Technische Dokumentation

Der Lieferant stellt dem Käufer bereit:
(a) Vollständige technische Dokumentation, die den
    Anforderungen des Anhangs VII der Verordnung (EU)
    2024/2847 entspricht
(b) Alle Dokumentation, die der Käufer benötigt für:
    - Konformitätsbewertung durchführen
    - EU-Konformitätserklärung vorbereiten
    - Auf Marktüberwachungsanfragen reagieren
(c) Aktualisierungen der Dokumentation innerhalb von [10]
    Tagen nach jeder Änderung, die den Compliance-Status
    betrifft

Der Lieferant gewährt dem Käufer eine unbefristete,
unwiderrufliche Lizenz zur Nutzung dieser Dokumentation
für Compliance-Zwecke.

3. SBOM-Bereitstellung

Der Lieferant stellt bereit:
(a) Software Bill of Materials im [CycloneDX/SPDX]-Format
(b) Aktualisiertes SBOM innerhalb von [5] Tagen nach jedem
    Firmware-/Software-Release
(c) SBOM einschließlich aller Drittanbieter-Komponenten mit:
    - Komponentenname und -version
    - Lieferanteninformationen
    - Lizenzinformationen
    - Bekannte Schwachstellen zum Zeitpunkt der Lieferung

4. Schwachstellenmanagement

Schwachstellen-Benachrichtigung:
Der Lieferant benachrichtigt den Käufer innerhalb von [24
Stunden] nach Kenntniserlangung von jeder Sicherheits-
schwachstelle im Produkt, unabhängig von der Entdeckungsquelle.

Patch-Entwicklung:
Bei Benachrichtigung über eine Schwachstelle wird der Lieferant:
(a) Innerhalb von [24 Stunden] bestätigen
(b) Schweregradbeurteilung innerhalb von [72 Stunden] liefern
(c) Patch liefern innerhalb von:
    - [7 Tagen] für kritischen Schweregrad
    - [30 Tagen] für hohen Schweregrad
    - [90 Tagen] für mittleren/niedrigen Schweregrad

Der Käufer behält die endgültige Autorität über Kunden-
kommunikation und Update-Release-Zeitpunkt.

5. Supportzeitraum-Verpflichtung

Der Lieferant verpflichtet sich zu:
(a) Sicherheitsupdates für das Produkt für einen
    Mindestzeitraum von [5 Jahren] ab Datum der ersten
    Lieferung an den Käufer bereitzustellen
(b) Fähigkeit zur Erstellung von Updates während dieses
    Zeitraums aufrechtzuerhalten
(c) [90 Tage] Vorankündigung vor jeder geplanten
    Einstellung
(d) [Quellcode-Escrow / Übergangshilfe] falls der
    Lieferant diese Verpflichtung nicht erfüllen kann

6. Konformitätsunterstützung

Der Lieferant wird:
(a) Die Konformitätsbewertungsaktivitäten des Käufers
    unterstützen
(b) Testberichte, Zertifikate und Nachweise auf
    angemessene Anfrage bereitstellen
(c) Dem Käufer oder der vom Käufer benannten Benannten
    Stelle die Prüfung der Produktionsstätten erlauben
(d) Qualitätskontrollen aufrechterhalten, die mit dem
    bewerteten Produkttyp übereinstimmen

7. Unterkomponenten-Management

Der Lieferant wird:
(a) Liste aller Unterkomponenten-Lieferanten bereitstellen
(b) Relevante CRA-Anforderungen an Unterkomponenten
    weiterleiten
(c) Den Käufer über alle Unterkomponentenänderungen
    informieren, die Sicherheit oder Compliance betreffen
(d) Unterkomponenten-Lieferantenqualifizierungsunterlagen
    pflegen

Risikoverteilung

Praktischer Workflow

Vor Unterzeichnung der White-Label-Vereinbarung

DUE DILIGENCE VOR VEREINBARUNG

1. TECHNISCHE BEWERTUNG
   [ ] Produktarchitektur prüfen
   [ ] Sicherheitsfunktionen gegen Anhang I bewerten
   [ ] Lücken identifizieren, die Sanierung erfordern
   [ ] Update-Mechanismus-Fähigkeit evaluieren

2. DOKUMENTATIONSBEWERTUNG
   [ ] Muster technischer Dokumentation anfordern
   [ ] Vollständigkeit gegen Anhang VII verifizieren
   [ ] SBOM-Verfügbarkeit und -Qualität prüfen
   [ ] Risikobewertungsdokumentation prüfen

3. LIEFERANTENFÄHIGKEIT
   [ ] Sicherheitsentwicklungspraktiken evaluieren
   [ ] Schwachstellenbehandlungshistorie prüfen
   [ ] Support-Infrastruktur bewerten
   [ ] Update-Entwicklungsfähigkeit verifizieren
   [ ] Finanzielle Stabilität für 5-Jahres-Verpflichtung prüfen

4. VERTRAGSVERHANDLUNG
   [ ] Alle CRA-spezifischen Bedingungen aufnehmen
   [ ] Dokumentationslieferungen definieren
   [ ] Schwachstellenreaktions-SLAs festlegen
   [ ] Supportzeitraum-Verpflichtung sichern
   [ ] Quellcode-Escrow regeln

5. KONFORMITÄTSBEWERTUNGSPLANUNG
   [ ] Produktklassifizierung bestimmen
   [ ] Konformitätsbewertungsmodul auswählen
   [ ] Benannte Stelle identifizieren (falls erforderlich)
   [ ] Technische-Datei-Vorbereitung planen

Nach Unterzeichnung: Laufendes Management

WHITE-LABEL-PRODUKT COMPLIANCE-MANAGEMENT

Monatlich:
[ ] Lieferanten-Schwachstellenbenachrichtigungen prüfen
[ ] SBOM-Updates erhalten prüfen
[ ] Lieferanten-Sicherheitshinweise überwachen
[ ] Update-Bereitstellungsfähigkeiten verifizieren

Vierteljährlich:
[ ] Technische Dokumentation prüfen
[ ] Lieferantenfähigkeitsbewertung
[ ] Vertrags-Compliance-Verifizierung
[ ] Supportzeitraum-Tracking

Jährlich:
[ ] Vollständiges Compliance-Audit
[ ] Vertragsprüfung und -aktualisierung
[ ] Lieferanten-Geschäftsgesundheitsprüfung
[ ] Dokumentationsvollständigkeitsprüfung

Pro Release:
[ ] Aktualisiertes SBOM erhalten
[ ] Technische Datei aktualisiert
[ ] Tests abgeschlossen
[ ] Konformität aufrechterhalten

Häufige White-Label-Szenarien

Szenario 1: Einfaches Rebranding

Situation: Sie kaufen fertige Tablets, setzen Ihr Logo drauf, verkaufen unter Ihrer Marke.

Ihre Pflichten:

• Voller Herstellerstatus
• Muss alle Dokumentation vom Lieferanten erhalten
• Muss Konformitätsbewertung durchführen (oder verifizieren, dass die des Lieferanten für Sie gilt)
• Muss alle Nachmarktpflichten behandeln

Kernrisiken:

• Lieferanten-Konformitätsbewertung überträgt sich möglicherweise nicht auf Sie
• Sie brauchen Ihre eigene Konformitätserklärung
• Updates hängen vollständig vom Lieferanten ab

Szenario 2: Kundenspezifisches ODM-Produkt

Situation: ODM entwirft Produkt nach Ihren Spezifikationen, Sie branden und verkaufen es.

Ihre Pflichten:

• Voller Herstellerstatus
• Konformitätsbewertung ist definitiv Ihre Verantwortung (kundenspezifisches Design)
• Technische Datei muss Ihre Anpassungen reflektieren
• Schwachstellenbehandlung für Ihre Version

Kernrisiken:

• Anpassungen können Schwachstellen einführen
• Ihre Änderungen können Lieferantentests ungültig machen
• Supportzeitraum für kundenspezifische Version

Szenario 3: Mehrere Markenversionen

Situation: Gleiches Produkt unter verschiedenen Marken verkauft (Ihre und andere).

Pflichten jedes Markeninhabers:

• Jeder ist Hersteller für seine gebrandes Version
• Jeder braucht eigene Konformitätserklärung und CE-Kennzeichnung
• Schwachstellen betreffen alle, Koordination erforderlich

Kernrisiken:

• Schwachstellen-Offenlegungskoordination
• Wer meldet an ENISA?
• Kundenverwirrung, wenn Updates unterschiedlich

Szenario 4: Teilweises White-Label (Komponenten)

Situation: Sie entwerfen das Gesamtprodukt, beziehen White-Label-Komponentenmodule.

Ihre Pflichten:

• Sie sind Hersteller des Gesamtprodukts
• Komponentenlieferant ist Ihr Lieferant
• Sie müssen Komponentensicherheit bewerten
• Komponentenschwachstellen sind Ihr Problem

Kernrisiken:

• Komponentenlieferant stellt möglicherweise keine ausreichende Dokumentation bereit
• Schwachstelle in Komponente = Ihre Haftung
• Mehrere Komponentenlieferanten = komplexes Tracking

Wenn White-Label nicht funktioniert

Einige Situationen machen White-Label-Compliance sehr schwierig:

Fabrik stellt keine Dokumentation bereit

Wenn Lieferant Zugang zur technischen Dokumentation verweigert, können Sie nicht:

• Konformitätsbewertung abschließen
• Konforme technische Datei erstellen
• Compliance gegenüber Behörden nachweisen

Optionen:

• Anderen Lieferanten finden
• Härter verhandeln (Compliance ist nicht verhandelbar)
• Unabhängige Tests beauftragen (teuer, unvollständig)

Supportzeitraum kann nicht garantiert werden

Wenn Lieferant sich nicht auf 5-Jahres-Support verpflichten will:

Optionen:

• Quellcode-Escrow verhandeln
• Backup-Entwicklungsfähigkeit identifizieren
• Ihren Supportzeitraum verkürzen (aber mindestens 5 Jahre sind erforderlich)
• Nicht fortfahren

Produkt erfüllt Anforderungen nicht

Wenn das White-Label-Produkt grundlegende Sicherheitslücken hat:

Optionen:

• Lieferant zur Sanierung auffordern (bevor Sie abnehmen)
• Sicherheitsschicht selbst hinzufügen (und stärker involviert werden)
• Nicht fortfahren

Niemals: Nicht-konformes Produkt auf den Markt bringen mit der Annahme, Sie "beheben es später."

Kostenüberlegungen

White-Label-CRA-Compliance fügt Kosten über die Produktbeschaffung hinaus hinzu:

Faustregel: 15-25% zu den Produktkosten für CRA-Compliance-Overhead hinzufügen.

White-Label-Compliance-Checkliste

WHITE-LABEL CRA-COMPLIANCE-CHECKLISTE

VOR VEREINBARUNG:
[ ] Produktsicherheitsbewertung abgeschlossen
[ ] Lieferantenfähigkeit verifiziert
[ ] Dokumentationsverfügbarkeit bestätigt
[ ] Supportzeitraum-Verpflichtung gesichert
[ ] Vertrag enthält CRA-Bedingungen

DOKUMENTATION:
[ ] Technische Datei erhalten und geprüft
[ ] SBOM im richtigen Format erhalten
[ ] Risikobewertungsdokumentation verfügbar
[ ] Testberichte erhalten
[ ] Konstruktionsdokumentation zugänglich

KONFORMITÄTSBEWERTUNG:
[ ] Produktklassifizierung bestimmt
[ ] Bewertungsmodul ausgewählt
[ ] Konformitätsbewertung abgeschlossen
[ ] Konformitätserklärung unterzeichnet (von Ihnen, dem Markeninhaber)
[ ] CE-Kennzeichnung angebracht

SCHWACHSTELLENMANAGEMENT:
[ ] Sicherheitskontakt etabliert
[ ] CVD-Richtlinie veröffentlicht
[ ] Lieferanten-Benachrichtigungsprozess vereinbart
[ ] Update-Testfähigkeit
[ ] Kunden-Benachrichtigungsprozess

LAUFEND:
[ ] SBOM-Updates erhalten
[ ] Schwachstellenüberwachung aktiv
[ ] Lieferantenbeziehung gemanagt
[ ] Supportzeitraum verfolgt
[ ] Dokumentation gepflegt

NACH EOL:
[ ] Dokumentenaufbewahrung (10 Jahre)
[ ] Bekannte Schwachstellen-Offenlegung (falls erforderlich)
[ ] Kundenübergang gemanagt

Wie CRA Evidence hilft

CRA Evidence unterstützt White-Label-Hersteller:

• Lieferantenmanagement: White-Label-Lieferanten-Compliance verfolgen
• Dokumentationsrepository: Lieferantendokumentation speichern und verwalten
• SBOM-Aggregation: Komponenten-SBOMs kombinieren
• Technische-Datei-Zusammenstellung: Dokumentation für Ihr gebrandetes Produkt strukturieren
• Schwachstellen-Workflow: Zwischen Lieferant und kundenorientierter Reaktion koordinieren

Verwalten Sie Ihre White-Label-Compliance unter app.craevidence.com.

Verwandte Leitfäden

• Wann Importeure unter dem CRA zu Herstellern werden: Rolleneskalation erklärt
• CRA Lieferanten-Due-Diligence: Fragebogenvorlage und Verifizierungsprozess
• CRA Konformitätsbewertung: Modul A vs B+C vs H Entscheidungsleitfaden

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Anleitung konsultieren Sie qualifizierten Rechtsberater, der mit EU-Produktvorschriften vertraut ist.