Ein CRA-Bevollmächtigter (AR) ist eine in der EU ansässige natürliche oder juristische Person, die ein Hersteller durch schriftlichen Auftrag benennen kann, um Compliance-Unterlagen zu verwahren, begründete Behördenanfragen zu beantworten und mit der Marktüberwachung zusammenzuarbeiten. Die Benennung ist nach dem Cyber Resilience Act freiwillig, auch für Hersteller außerhalb der EU. Die Rolle ist nützlich, wenn ein Hersteller einen regulatorischen Ansprechpartner in der Union haben möchte, überträgt aber weder Cybersicherheits-Engineering, Schwachstellenbehandlung, Konformitätsbewertung noch Einführerpflichten vom Hersteller oder Einführer weg.
Zusammenfassung
- Die Benennung ist freiwillig. CRA-Hersteller dürfen einen Bevollmächtigten benennen, doch der CRA verlangt dies nicht als Voraussetzung für den EU-Marktzugang.
- Der Auftrag ist eng gefasst. Der Bevollmächtigte kann die EU-Konformitätserklärung und die technische Dokumentation verwahren, sie Behörden auf begründetes Verlangen bereitstellen und bei Maßnahmen zur Risikobeseitigung kooperieren.
- Kern-Herstellerpflichten bleiben verankert. Produkt-Cybersicherheit, Risikobewertung, Schwachstellenbehandlung, Erstellung der technischen Dokumentation, Konformitätsbewertung und Produktionskontrollen bleiben beim Hersteller.
- Einführerpflichten sind getrennt. Ein Einführer entsteht durch den Lieferweg; ein Bevollmächtigter nur durch schriftlichen Auftrag. Eine EU-Stelle kann beide Rollen halten, die Unterlagen und Pflichten bleiben jedoch verschieden.
- Das Bußgeldrisiko folgt der verletzten Pflicht. Verstöße gegen Herstellerpflichten liegen in der höchsten Bußgeldstufe; Verstöße gegen Bevollmächtigtenpflichten liegen in der Einführer-/Händlerstufe.
- Fristen zählen. Die Herstellerberichterstattung beginnt am 11. September 2026; die meisten operativen Vorkehrungen rund um den Bevollmächtigten gehören zum Beginn des Regimes am 11. Dezember 2027.
Sollten Sie einen Bevollmächtigten benennen?
Die Wahl eines Bevollmächtigten ist eine operative Entscheidung, keine Voraussetzung für den Marktzugang nach dem CRA. Die folgenden Faktoren decken die typische Abwägung ab. Keiner davon begründet eine gesetzliche Pflicht; der CRA ahndet das Fehlen eines Bevollmächtigten nicht.
| Faktor | Spricht für Benennung | Spricht gegen Benennung |
|---|---|---|
| EU-Präsenz des Herstellers | Der Hersteller ist außerhalb der Union ansässig und verfügt über keine EU-Stelle, die glaubhaft Korrespondenz mit der Marktüberwachung übernehmen kann. | Der Hersteller ist in der EU ansässig oder besitzt eine EU-Tochter, die bereits regulatorische Korrespondenz führt. |
| Andere EU-Regelungen | Das Produkt fällt zusätzlich unter die MDR, die für Nicht-EU-Hersteller von Medizinprodukten einen Bevollmächtigten verlangt, oder Sie nutzen bereits einen RED-Compliance-Vertreter oder Dienstleister. Dieselbe Kanzlei auch für den CRA zu nutzen kann den Betrieb vereinfachen. | Das Produkt fällt nur unter den CRA, ohne parallele MDR-Pflicht für einen Bevollmächtigten und ohne bestehende RED-Vertretervereinbarung. |
| Behördenkorrespondenz | Sie möchten, dass die Korrespondenz mit den Marktüberwachungsbehörden über einen lokalen EU-Kontakt in der Sprache und Zeitzone des betreffenden Mitgliedstaats läuft. | Sie sind damit einverstanden, begründete Anfragen direkt aus der Herstellerzentrale zu beantworten. |
| Dokumentenverwahrung | Sie möchten die zehnjährige Aufbewahrung der DoC und der technischen Dokumentation bei einem in der EU ansässigen Verwahrer ablegen. | Sie betreiben bereits eine interne Evidenzplattform, die die Unterlagen für Behörden auf Anfrage bereithält. |
| Einführerroute | Mehrere EU-Einführer und Händler im Vertriebsweg; Sie wollen einen einzigen benannten Bevollmächtigten über den Kanal hinweg, statt die Verantwortlichkeit aufzuteilen. | Ein einzelner vertrauenswürdiger EU-Einführer übernimmt bereits Einführerverifizierung und Dokumentenhaltung. |
Die meisten Nicht-EU-Hersteller in regulierten Sektoren benennen am Ende einen Bevollmächtigten, weil die operative Vereinfachung mehr wert ist als die Mandatsgebühr, nicht weil der CRA sie dazu zwingt.
Was der Auftrag abdecken kann
Der schriftliche Auftrag macht den Bevollmächtigten zum Dokumentenverwahrer und zur Schnittstelle gegenüber Behörden. Er kann vertraglich enger oder breiter gefasst sein, muss für CRA-Zwecke jedoch mindestens die drei nachstehenden Aufgaben ermöglichen.
| Aufgabe | Was der Bevollmächtigte tut |
|---|---|
| Dokumentenverwahrung | EU-Konformitätserklärung und technische Dokumentation mindestens 10 Jahre ab dem Inverkehrbringen oder für den Unterstützungszeitraum bereithalten, je nachdem welcher Zeitraum länger ist. |
| Behördenanfragen | Die Informationen und Unterlagen bereitstellen, die zum Nachweis der Konformität erforderlich sind, wenn eine Marktüberwachungsbehörde ein begründetes Verlangen stellt. |
| Risikokooperation | Auf Verlangen der Marktüberwachungsbehörden bei Maßnahmen zur Beseitigung von Produktrisiken zusammenarbeiten. |
Der Auftrag selbst ist ebenfalls ein kontrolliertes Dokument: Der Bevollmächtigte muss den Marktüberwachungsbehörden auf Verlangen eine Kopie davon vorlegen.
Was nicht delegiert werden kann
Der schriftliche Auftrag kann die eigentliche CRA-Arbeit des Herstellers nicht verschieben. Folgende Pflichten sind nicht delegierbar, unabhängig vom Wortlaut des Auftrags.
| Ausgenommener Pflichtblock | Was er umfasst |
|---|---|
| Produkt- und Schwachstellenpflichten | Produkt-Cybersicherheit, Cybersicherheits-Risikobewertung, Sorgfaltspflichten für Komponenten, Festlegung des Unterstützungszeitraums, Verfügbarkeit von Sicherheitsupdates und Regeln für wesentlich geänderte Software. |
| Erstellung der technischen Dokumentation und Konformitätsbewertung | Die Erstellung der technischen Dokumentation bleibt Herstellerverantwortung. Der Bevollmächtigte darf die resultierende Akte im Rahmen des Auftrags verwahren, kann sie aber nicht erstellen und die Konformitätsbewertung nicht übernehmen. |
| Kontrollen der Serienproduktion | Der Hersteller bleibt für die fortlaufende Konformität der Produkte verantwortlich, die er in Verkehr bringt. |
Die praktische Grenze ist scharf: Engineering, Risikobewertung, Schwachstellenbehandlung, Konformitätsbewertung und Serienproduktionskontrollen bleiben beim Hersteller. Der Bevollmächtigte ist Dokumentenverwahrer und Schnittstelle zu Behörden, kein Ersatzhersteller.
Bevollmächtigter vs. Einführer
Die Rolle des Bevollmächtigten entsteht durch einen schriftlichen Auftrag. Die Rolle des Einführers entsteht durch den kommerziellen Lieferweg, wenn eine in der EU ansässige Person das Produkt eines Nicht-EU-Herstellers auf dem Unionsmarkt in Verkehr bringt. Sie ersetzen einander in keine Richtung.
| Bevollmächtigter | EU-Einführer | |
|---|---|---|
| Auslöser | Freiwillig. Ein Hersteller kann einen Bevollmächtigten durch schriftlichen Auftrag benennen. | Status kraft Definition. Wer in der Union ansässig ist und ein Produkt unter dem Namen oder der Marke eines Nicht-EU-Herstellers auf dem Markt in Verkehr bringt, ist Einführer. |
| Entsteht durch | Schriftlicher Auftrag des Herstellers an eine in der EU ansässige natürliche oder juristische Person. | Den kommerziellen Lieferweg. Keine Benennung, kein Auftrag. |
| Maximaler Umfang | DoC und technische Dokumentation 10 Jahre oder länger verwahren; auf begründetes Verlangen der Marktüberwachung bereitstellen; bei Korrekturmaßnahmen kooperieren. Die materiellen Herstellerpflichten sind aus dem Auftrag ausgenommen. | Konformitätsbewertung, CE-Kennzeichnung, DoC und Nutzeranleitungen verifizieren; Unterlagen 10 Jahre oder länger aufbewahren; mit Behörden kooperieren; bei vermuteter Nichtkonformität und bei Kenntnis von Schwachstellen benachrichtigen. |
| Ersetzt die andere Rolle? | Nein. Die Benennung eines Bevollmächtigten nimmt demjenigen, der das Produkt auf dem EU-Markt in Verkehr bringt, keine Einführerpflichten ab. | Nein. Einführerpflichten bestehen eigenständig. Sie begründen oder beenden keine Benennung eines Bevollmächtigten. |
| Dieselbe Stelle erlaubt? | Ja. Eine in der EU ansässige Firma kann sowohl den AR-Auftrag als auch die Einführerrolle halten, mit getrennten schriftlichen Unterlagen und einer beide Funktionen abdeckenden Haftungsregelung. | Ebenso. |
Praktische Folge: Die Wahl eines Bevollmächtigten ist unabhängig davon, wer das Produkt einführt. Ein EU-Einführer entbindet den Hersteller nicht von einer Cybersicherheitspflicht, und ein Bevollmächtigter entbindet den Einführer nicht von einer Einführerpflicht. Wer einen EU-Partner für beide Funktionen einsetzen möchte, darf das tun; benötigt wird ein schriftlicher AR-Auftrag getrennt vom kommerziellen Liefervertrag sowie eine Haftpflicht, die beide Funktionen abdeckt.
Worauf bei der Auswahl eines Bevollmächtigten zu achten ist
Wenn Ihr Lieferantenumfeld bereits MDR-, RED- oder RoHS-Stellen umfasst, ist das ein vernünftiger Ausgangspunkt. Die folgenden CRA-spezifischen Prüfungen trennen einen tauglichen Bevollmächtigten von einem, der beim ersten Behördenschreiben ins Straucheln gerät.
| Prüfung | So sieht „gut" aus |
|---|---|
| Sitz | In der EU ansässige Rechtsperson in einem Mitgliedstaat, mit eingetragenem Sitz und lokalem Ansprechpartner. |
| Versicherung | Berufshaftpflicht, deren Deckung ausdrücklich auf den CRA-Umfang und die Produktklassifizierungen nach CRA erstreckt ist. |
| Sektorerfahrung | Belegbarer Track Record unter MDR, der RED-Cybersicherheits-Delegierten oder RoHS. Aus diesen Sektoren kommen die Firmen, die heute glaubhaft in CRA-Arbeit hineinwachsen. |
| Dokumentenverwahrung | Plattform, die die im Auftrag vorgesehene zehnjährige Aufbewahrungspflicht erfüllt, mit manipulationssicherem Audit-Trail und behördenfertigen Exporten. |
| Verantwortlichkeit | Eine benannte natürliche Person, die gegenüber Behörden Rechenschaft ablegt, kein generisches Rechtsabteilungs-Postfach. |
| Sprache | Fähigkeit, die Zusammenarbeit bei Korrekturmaßnahmen in der Sprache der zuständigen Marktüberwachungsbehörde zu führen. |
Der Auftrag selbst sollte die CRA-Aufgaben vollständig benennen, die nicht delegierbaren Herstellerpflichten wiederholen, Mitteilungs- und Kündigungsfristen festlegen und die Übergabe regeln, falls der Hersteller den Bevollmächtigten wechselt. Lassen Sie ihn von einer im EU-Produktrecht erfahrenen Kanzlei prüfen.
Häufige Fallstricke
| Behauptung | Warum sie scheitert |
|---|---|
| „Wir sind nicht in der EU ansässig, also müssen wir einen Bevollmächtigten benennen." | Die Benennung nach dem CRA ist auch für Nicht-EU-Hersteller freiwillig. MDR kann für Nicht-EU-Hersteller von Medizinprodukten einen Bevollmächtigten verlangen; RED hat eigene Wirtschaftsakteur-Regeln, macht die CRA-Benennung aber nicht zur Pflicht. |
| „Unser EU-Einführer ist zugleich unser Bevollmächtigter; ein Vertrag deckt beides ab." | Die Rollen sind rechtlich getrennt. Einführerpflichten knüpfen an denjenigen an, der das Produkt in Verkehr bringt; Pflichten des Bevollmächtigten an denjenigen, der den schriftlichen Auftrag hält. Eine Stelle für beide zu nutzen ist möglich, doch papieren Sie die zwei Funktionen separat. |
| „Der Bevollmächtigte unterzeichnet unsere EU-Konformitätserklärung." | Der Hersteller stellt die DoC aus und unterzeichnet sie. Der Bevollmächtigte darf sie für die Marktüberwachung bereithalten, doch die Konformitätserklärung bleibt eine Herstellerhandlung. |
| „Schwachstellenbehandlung haben wir an den Bevollmächtigten delegiert." | Schwachstellenbehandlung bleibt beim Hersteller. Der AR-Auftrag kann die Kern-Herstellerpflichten, die aus dem Auftrag ausgenommen sind, nicht einschließen. |
| „Vorfallsmeldungen haben wir an den Bevollmächtigten ausgelagert." | Die Meldepflicht liegt beim Hersteller. Der Bevollmächtigte kann die Kommunikation unterstützen, doch die Meldepflicht verbleibt beim Hersteller. |
| „Der Auftrag deckt alle unsere Produkte für immer ab." | Aufträge sind schriftlich, befristet und produktbezogen. Aktualisieren Sie sie bei jeder neuen Produktlinie, bei jeder wesentlichen Änderung und beim Wechsel des Bevollmächtigten. |
| „Wir brauchen keinen CRA-Auftrag; unser MDR-Auftrag reicht." | Der Umfang eines MDR-Auftrags ist medizinspezifisch und erstreckt sich nicht automatisch auf CRA-Pflichten. Papieren Sie einen CRA-spezifischen Auftrag, der die CRA-Aufgaben zu Dokumentenverwahrung und Behördenkooperation sowie die nicht delegierbaren Herstellerpflichten benennt. |
| „Der Bevollmächtigte haftet für Produktmängel." | Der Bevollmächtigte verantwortet die im Auftrag aufgeführten Pflichten. Die Haftung für Produktmängel und die zugrunde liegenden Cybersicherheitspflichten verbleiben beim Hersteller, vorbehaltlich gesonderter Risiken nach nationalem Recht. |
Häufig gestellte Fragen
Ist die Benennung eines Bevollmächtigten nach dem CRA Pflicht?
Nein. Der CRA macht die Benennung freiwillig, auch für außerhalb der Union ansässige Hersteller. Die einschlägige Formulierung ist gestattend: Ein Hersteller kann einen Bevollmächtigten durch schriftlichen Auftrag benennen. Die MDR kann für Nicht-EU-Hersteller von Medizinprodukten weiterhin einen Bevollmächtigten verlangen; RED kann einen Bevollmächtigten durch Auftrag einbeziehen, ist aber keine CRA-Benennungspflicht.
Warum würde ein Nicht-EU-Hersteller dennoch einen Bevollmächtigten unter dem CRA benennen?
Operative Vereinfachung, nicht rechtlicher Zwang. Ein einziger in der EU ansässiger juristischer Kontaktpunkt verringert Reibung mit den Marktüberwachungsbehörden, die häufig Korrespondenz mit einer Stelle in ihrem Hoheitsgebiet und ihrer Sprache bevorzugen. Der Bevollmächtigte kann die Konformitätserklärung und die technische Dokumentation lokal für den geforderten Aufbewahrungszeitraum bereithalten. Viele Nicht-EU-Hersteller nutzen bereits einen MDR-Bevollmächtigten oder RED-Compliance-Vertreter und finden es einfacher, diese Vereinbarung auf den CRA-Umfang zu erweitern. Ein benannter EU-Bevollmächtigter verkürzt zudem die Reaktionszeiten gegenüber Behörden, wenn ein begründetes Verlangen eintrifft.
Was kann und was kann nicht an einen CRA-Bevollmächtigten delegiert werden?
Die materiellen Cybersicherheitspflichten sind nicht delegierbar; delegieren lassen sich nur Dokumentenverwahrung und Behördenkooperation. Grundlegende Anforderungen, Schwachstellenbehandlung, Konformitätsbewertung und Serienproduktionskontrollen bleiben beim Hersteller. Der AR-Auftrag muss mindestens drei Punkte abdecken: Verwahrung der DoC und der technischen Dokumentation für mindestens 10 Jahre oder den Unterstützungszeitraum, je nachdem welcher länger ist, Bereitstellung von Informationen und Unterlagen an Behörden auf begründetes Verlangen sowie Mitwirkung an Maßnahmen zur Abwendung von Risiken.
Wo liegt der Unterschied zwischen einem CRA-Bevollmächtigten und einem EU-Einführer?
Es sind unabhängige Rollen. Ein Einführer ist eine in der EU ansässige Person, die ein Produkt unter dem Namen oder der Marke eines Nicht-EU-Herstellers auf dem EU-Markt in Verkehr bringt und Einführerpflichten unabhängig davon trägt, ob ein Bevollmächtigter existiert. Ein Bevollmächtigter übernimmt, sobald benannt, die im Auftrag aufgeführten Aufgaben. Sie ersetzen einander nicht: Die Einführerrolle wird durch den kommerziellen Lieferweg ausgelöst, die Rolle des Bevollmächtigten durch einen schriftlichen Auftrag. Eine EU-Stelle kann beide halten, mit getrennten Unterlagen.
Können mein EU-Einführer oder Händler als Bevollmächtigter handeln?
Ja. Der CRA verbietet nicht, dass eine in der EU ansässige Stelle zugleich eine kommerzielle Einführer- oder Händlerrolle und einen AR-Auftrag hält. Die Funktionen bleiben rechtlich getrennt: Der Einführer oder Händler trägt Pflichten aus der kommerziellen Lieferbeziehung, während der Bevollmächtigte Pflichten aus einem schriftlichen Auftrag trägt. Wer beides verbinden möchte, sollte einen gesonderten CRA-Auftrag papieren, eine für beide Rollen ausreichende Berufshaftpflicht abschließen und eine klare vertragliche Trennlinie zwischen den Funktionen ziehen.
Haftet der Bevollmächtigte für Produktmängel oder nur für Dokumentationspflichten?
Der Bevollmächtigte verantwortet die im Auftrag genannten Dokumentations- und Kooperationspflichten; die Haftung für Produktmängel und die materielle Cybersicherheitshaftung verbleiben beim Hersteller. Der Auftragsumfang ist auf Dokumentenverwahrung, Behördenreaktionsbereitschaft und Mitwirkung an Korrekturmaßnahmen begrenzt. Die materiellen Herstellerpflichten lassen sich nicht in den Auftrag aufnehmen. Nationales Recht einzelner Mitgliedstaaten kann die Haftung des Bevollmächtigten weiter ausdehnen, weshalb der Auftrag sorgfältig zu entwerfen ist.
Ist ein CRA-Bevollmächtigter dasselbe wie ein MDR- oder RED-Bevollmächtigter?
Nein, die Regime überschneiden sich, sind aber nicht austauschbar. MDR macht die Benennung für Nicht-EU-Hersteller von Medizinprodukten zur Pflicht und legt breitere medizinspezifische Pflichten einschließlich Vigilanzmeldung auf. RED nutzt einen eigenen Rahmen für Bevollmächtigte und Wirtschaftsakteure, macht die CRA-Benennung aber nicht zur Pflicht. Der CRA hält die Benennung freiwillig und engt die Pflichten auf Dokumentation, Behördenanfragen und Mitwirkung bei Korrekturmaßnahmen ein. Ein bestehender MDR-Bevollmächtigter oder RED-Compliance-Vertreter kann ein starker Ausgangspunkt sein, doch der Auftrag muss für den CRA-Umfang und die Nicht-Delegations-Regeln neu papiert werden.
Unterzeichnet der Bevollmächtigte die EU-Konformitätserklärung?
Nein. Der Hersteller stellt die EU-Konformitätserklärung aus und unterzeichnet sie. Der Bevollmächtigte hält, sobald benannt, die unterzeichnete DoC und die technische Dokumentation für die Marktüberwachungsbehörden bereit, doch der Akt der Konformitätserklärung ist eine Herstellerverantwortung, die außerhalb des AR-Auftrags bleibt.
Kann ich meinen Bevollmächtigten nach der Benennung wechseln?
Ja. Der Auftrag ist ein Vertrag zwischen dem Hersteller und dem Bevollmächtigten, und jede Partei kann ihn nach seinen Bedingungen kündigen. Bei einem Wechsel übernimmt der neue Bevollmächtigte die Verwahrung der technischen Dokumentation und der Konformitätserklärung, und der Hersteller sollte die an die Marktüberwachungsbehörden kommunizierten Kontaktdaten aktualisieren. Planen Sie im Mustervertrag einen expliziten Übergabeschritt ein.