Wenn Ihr Unternehmen ein Produkt mit digitalen Elementen auf dem EU-Markt nach dem Hersteller oder Einführer weiterverkauft oder liefert und das Produkt nicht verändert, behandelt die Cyberresilienz-Verordnung Sie in der Regel als Händler. Händler führen die Konformitätsbewertung nicht erneut durch, müssen aber vor der Bereitstellung prüfen, ob die sichtbaren Compliance-Artefakte vorhanden sind, den Verkauf stoppen, wenn etwas fehlt oder nicht konform ist, Schwachstelleninformationen vorgelagert weitergeben, mit der Marktüberwachung kooperieren und Behörden sowie Nutzer informieren, wenn der Hersteller seine Tätigkeit einstellt.
Zusammenfassung
- Sind Sie der Händler? Sie sind in der Regel Händler, wenn Sie das Produkt nach dem Einführer oder einem anderen Händler bereitstellen und dessen Eigenschaften nicht beeinflussen.
- Was ist vor Verkauf oder Lieferung zu prüfen? CE-Kennzeichnung, Produkt-ID, Herstellerangaben, Nutzerinformationen, Enddatum des Unterstützungszeitraums, Zugang zur EU-Konformitätserklärung, Einführeridentifikation und erforderliche Unterlagen.
- Wann müssen Sie stoppen? Stellen Sie das Produkt nicht bereit, wenn das Produkt oder die Prozesse des Herstellers nicht konform erscheinen. Bei erheblichem Cybersicherheitsrisiko informieren Sie Hersteller und Marktüberwachung.
- Was läuft nach dem Verkauf weiter? Nachverfolgung von Korrekturmaßnahmen, Rücknahme oder Rückruf, soweit angemessen, Schwachstelleninformationen an den Hersteller und Meldung an die Marktüberwachung bei erheblichem Risiko.
- Welche Unterlagen müssen bereitstehen? Der Händler muss auf begründetes Verlangen Konformitätsinformationen und Unterlagen bereitstellen können; eine händlerspezifische 10-Jahres-Aufbewahrungspflicht für die EU-Konformitätserklärung gibt es nicht.
- Ab wann gelten die Pflichten? Die wesentlichen Händlerpflichten gelten ab dem 11. Dezember 2027.
Händler-Compliance in vier Zahlen: sechs Pflichtenblöcke, sieben Punkte vor der Lieferung, das Bußgeld der zweiten Stufe und das Startdatum.
Wer ist Händler im Sinne des CRA?
Praktisch ist der CRA-Händler das Glied der Lieferkette, das ein Produkt mit digitalen Elementen nach dem Hersteller, Einführer oder einem anderen Händler auf dem Unionsmarkt bereitstellt, ohne dessen Eigenschaften zu verändern. Der Test hat drei Teile: Sie sind in der Lieferkette, Sie sind nicht Hersteller oder Einführer, und Sie stellen das Produkt unverändert bereit.
Sind Sie das erste EU-Unternehmen, das ein Produkt ohne EU-Marke auf dem Unionsmarkt in Verkehr bringt, sind Sie der Einführer. Bringen Sie das Produkt unter Ihrem eigenen Namen oder Ihrer eigenen Marke in Verkehr oder verändern Sie ein bereits in Verkehr gebrachtes Produkt wesentlich, gelten für Sie Herstellerpflichten über die Rebranding-Brücke. Das vollständige Herstellerpflichtenpaket, das dann gilt, finden Sie im Hersteller-Cluster-Leitfaden. Eine separate Auffangregel betrifft andere Dritte, die nicht Hersteller, Einführer oder Händler sind. Die vollständige Rollenmatrix finden Sie unter Wer muss den CRA einhalten.
Kernpflichten des Händlers
| Pflicht | Kernpunkt | Quelle |
|---|---|---|
| Sorgfaltspflicht | Der allgemeine Maßstab. Gilt für jeden Akt der Bereitstellung, vor und nach Inverkehrbringen. | Artikel 20 Absatz 1 |
| Verifizierung vor dem Markt | CE-Kennzeichnung vorhanden, Erfüllung der Produktinformationspflichten des Herstellers, Einführeridentifikation vorhanden und erforderliche Unterlagen bereitgestellt bestätigen. | Artikel 20 Absatz 2 |
| Verweigerung und Information | Bei Verdacht auf Nichtkonformität mit the essential cybersecurity requirements das Produkt nicht bereitstellen. Bei erheblichem Cybersicherheitsrisiko Hersteller und Marktüberwachungsbehörden unverzüglich unterrichten. | Artikel 20 Absatz 3 |
| Korrektur und Schwachstellenkenntnis | Korrekturmaßnahmen sicherstellen, gegebenenfalls Rücknahme oder Rückruf. Hersteller über Schwachstellen unverzüglich unterrichten. Bei erheblichem Cybersicherheitsrisiko unverzüglich Marktüberwachungsbehörden jedes Liefer-Mitgliedstaats unterrichten. | Artikel 20 Absatz 4 |
| Zusammenarbeit mit der Marktüberwachung | Auf begründetes Verlangen alle zum Konformitätsnachweis erforderlichen Informationen und Unterlagen in einer für die Behörde leicht verständlichen Sprache bereitstellen. | Artikel 20 Absatz 5 |
| Hersteller hat Geschäftstätigkeit eingestellt | Marktüberwachungsbehörden unverzüglich unterrichten und Nutzer mit allen verfügbaren Mitteln informieren. | Artikel 20 Absatz 6 |
Händler vs. Einführer
Der rechtliche Auslöser ist, welche Partei das Produkt erstmals auf dem Unionsmarkt in Verkehr bringt.
| Aspekt | Händler | Einführer |
|---|---|---|
| Position | Jede Person in der Lieferkette nach dem Einführer, mit Ausnahme des Herstellers | Erstes EU-Unternehmen, das ein Produkt ohne EU-Marke auf dem Unionsmarkt in Verkehr bringt |
| Verifizierung | Präsenzbasiert: CE, Produktinformationspflichten des Herstellers, Einführeridentifikation und erforderliche Unterlagen | Materiell: vollständige Einführer-Vorabprüfung, einschließlich durchgeführter Konformitätsbewertung und erstellter technischer Dokumentation |
| Verweigerungsauslöser | Nichtkonformität mit the essential cybersecurity requirements | Zuzüglich Versagen einer Vorab-Prüfung |
| Schwachstellenkenntnis | Hersteller unterrichten; bei erheblichem Risiko Marktüberwachungsbehörden in jedem Liefer-Mitgliedstaat unterrichten | Gleicher Umfang |
| Aufbewahrung | Keine spezifische mehrjährige Aufbewahrung; Zusammenarbeit auf begründetes Verlangen | EU-Konformitätserklärung 10 Jahre oder Unterstützungszeitraum, je nachdem was länger ist |
| Bußgeldstufe | 10.000.000 EUR oder 2 % | 10.000.000 EUR oder 2 % (gleiche Stufe) |
Die Einführer-Sicht derselben Grenze finden Sie unter Einführer vs. Händler auf der Einführerseite. Konformitätsbewertung, EU-Konformitätserklärung und technische Dokumentation liegen in der Verantwortung des Herstellers; der Händler verifiziert die sichtbaren Artefakte: CE-Kennzeichnung, DoC-Referenz, Nutzerinformationen und Fähigkeit zur Dokumentenvorlage.
Was Händler vor der Lieferung prüfen müssen
Ihre Aufgabe ist nicht, die Konformitätsbewertung erneut durchzuführen. Ihre Aufgabe ist, zu bestätigen, dass die sichtbaren Compliance-Artefakte vorhanden sind, und die Lieferung zu stoppen, wenn etwas fehlt, entfernt wurde, veraltet ist oder Zweifel an der Konformität auslöst.
Führen Sie diese Checkliste durch, bevor eine Einheit auf dem EU-Markt bereitgestellt wird.
- CE ist sichtbar, lesbar und dauerhaft auf Produkt oder Datenschild angebracht.
- CE nur auf der Verpackung wird nur dort eingesetzt, wo eine Produktkennzeichnung nicht möglich ist.
- Die Nummer der notifizierten Stelle folgt der CE-Kennzeichnung, wenn eine Stelle beteiligt war.
CE ist die Konformitätsbehauptung des Herstellers. Siehe den Leitfaden zur Konformitätsbewertung.
- Typ-, Chargen-, Seriennummer oder eine andere Produktkennung ist vorhanden.
- Kennung steht je nach Fall auf Produkt, Verpackung oder Begleitdokument.
- Kennung passt zur gelieferten Sendung, SKU oder Charge.
Ohne nachverfolgbare Kennung werden Rückruf und Korrekturmaßnahmen unmöglich.
- Name, Handelsname oder Marke des Herstellers ist vorhanden.
- Postanschrift und digitaler Kontakt sind vorhanden.
- Angaben erscheinen auch in den Nutzerinformationen, wo erforderlich.
Damit lassen sich Fragen, Mängel und Schwachstelleninformationen vorgelagert adressieren.
- Nutzerinformationen und Anleitungen begleiten das Produkt.
- Die Sprache passt für Nutzer und Marktüberwachung im Liefer-Mitgliedstaat.
- Sichere Konfiguration, Unterstützung und Schwachstellenmeldung sind abgedeckt.
Nur englische Anleitungen reichen nicht für jeden EU-Markt.
- Das Enddatum des Unterstützungszeitraums ist vor dem Kauf sichtbar.
- Das Enddatum enthält mindestens Monat und Jahr.
- Die vollständige EU-Konformitätserklärung liegt bei oder die vereinfachte Erklärung nennt die genaue URL der vollständigen Fassung.
Fehlender Monat/Jahr oder eine nicht erreichbare DoC blockiert die Lieferung.
- Name, Postanschrift und digitaler Kontakt des EU-Einführers sind vorhanden, wenn es einen Einführer gibt.
- Einführeridentifikation wurde nicht entfernt oder verdeckt.
- DoC-Referenz, Nutzerinformationen und Lieferkettenkontakte können Behörden vorgelegt werden.
Behörden erwarten diesen Satz bei der ersten Anfrage; fehlende Punkte lösen den Verweigerungsablauf aus.
Die Lieferung stoppt, bis die Lücke geschlossen ist. Ein Produkt ohne Nutzerinformationen in der lokalen Sprache, ohne erforderliche Einführeridentifikation, ohne erreichbare DoC oder ohne Support-Enddatum mit Monat und Jahr sollte nicht bereitgestellt werden.
Wenn die Verifizierung scheitert
Eine fehlgeschlagene Händlerprüfung bedeutet: Das Produkt bleibt vom Markt, bis die Konformität wiederhergestellt ist. Entsteht ein erhebliches Cybersicherheitsrisiko, muss der Händler den Hersteller und die Marktüberwachung unverzüglich informieren.
- Stoppen. Stellen Sie das Produkt nicht auf dem Unionsmarkt bereit, bis die Konformität wiederhergestellt ist. Lagerung und Rücksendung an den Lieferanten bleiben möglich; Verkauf an Endnutzer nicht.
- Dokumentieren. Halten Sie fest, welcher Checklistenpunkt gescheitert ist, ob er das Produkt oder die Prozesse des Herstellers betrifft, sowie Datum und Unterzeichner.
- Vorgelagert schriftlich benachrichtigen. Unterrichten Sie den Hersteller (und, soweit relevant, den Einführer) über die Lücke und die erforderlichen Unterlagen.
- Cybersicherheitsrisiko bewerten. Erhebliches Risiko geht unverzüglich an die Marktüberwachung. Nicht erhebliche Lücken laufen weiter über die vorgelagerte Klärung.
- Lösen oder zurückweisen. Stellen Sie das Produkt erst bereit, wenn alle Checklistenpunkte bestanden sind. Andernfalls senden Sie es an den Lieferanten zurück.
Nach der Lieferung: Korrekturmaßnahmen und Schwachstellenkenntnis
Zwei Pflichten laufen während des gesamten Zeitraums weiter, in dem das Produkt bereitgestellt wird:
Wenn Sie wissen oder Grund zu der Annahme haben, dass das Produkt oder die Prozesse des Herstellers nicht konform sind, eskalieren Sie vorgelagert und stellen Sie sicher, dass Korrekturmaßnahmen, Rücknahme oder Rückruf soweit angemessen erfolgen. Die technische Behebung bleibt beim Hersteller, aber die weitere Lieferung stoppt, bis das Problem behandelt ist.
Wenn Sie von einer Schwachstelle erfahren, informieren Sie den Hersteller unverzüglich. Stellt das Produkt ein erhebliches Cybersicherheitsrisiko dar, benachrichtigen Sie die Marktüberwachung in jedem Mitgliedstaat, in den Sie geliefert haben. Der Hersteller betreibt die ENISA-Meldung separat über den Ablauf zur Schwachstellenmeldung.
Behördenanfragen und Herstellerstillstand
Liefern Sie das Angefragte in der lokalen Sprache. Stellt eine Marktüberwachungsbehörde ein begründetes Verlangen, liefern Sie die Informationen und Unterlagen, die zum Nachweis der Konformität des Produkts und der Prozesse des Herstellers erforderlich sind, in Papierform oder elektronisch und in einer für die Behörde leicht verständlichen Sprache. Kooperieren Sie außerdem bei Maßnahmen zur Beseitigung von Cybersicherheitsrisiken, die von den von Ihnen gelieferten Produkten ausgehen.
Für Händler gilt keine 10-Jahres-Aufbewahrungspflicht. Es gibt keine händlerspezifische mehrjährige Aufbewahrungsregel analog zur Einführerregel zur DoC für 10 Jahre oder den Unterstützungszeitraum. Die praktische Untergrenze ist der oben unter „Einführer und Dokumentensatz" genannte Satz: vorgehalten, solange der Händler das Produkt bereitstellt, in diesem Zeitraum auf jedes begründete Verlangen abrufbar, plus angemessener Nachlauf für nachgelagerte Behördenanfragen.
Stellt der Hersteller seine Tätigkeit ein, benachrichtigen Sie Behörden und Nutzer. Stellt der Hersteller seine Geschäftstätigkeit ein und kann seine Pflichten nicht mehr erfüllen, informieren Sie die zuständigen Marktüberwachungsbehörden unverzüglich und informieren Sie Nutzer mit allen verfügbaren Mitteln und soweit möglich. Einführer haben dieselbe Meldepflicht. In der Praxis laufen Händler- und Einführermeldungen meist parallel.
Häufige Fallstricke
| Behauptung | Warum sie scheitert |
|---|---|
| „Unser Lieferant sitzt in der EU, also sind wir nicht der Einführer; damit sind wir automatisch Händler." | Der Händlerstatus setzt zusätzlich voraus, dass Sie die Eigenschaften des Produkts nicht beeinflussen. Umverpackung, Rebranding, Software-Vorinstallation oder Konfigurationsänderungen können Herstellerpflichten auslösen. |
| „Wir müssen nichts prüfen; der Einführer hat das schon getan." | Die Händlerprüfung ist eigenständig und präsenzbasiert: CE vorhanden, Produktinformationen des Herstellers vorhanden, Einführeridentifikation vorhanden und erforderliche Unterlagen bereitgestellt. Die Verifizierung durch den Einführer ersetzt die eigene Prüfung des Händlers nicht. |
| „Englische Nutzerinformationen reichen für die ganze EU." | Nutzerinformationen müssen in einer Sprache vorliegen, die Nutzer und Marktüberwachung des betroffenen Mitgliedstaats leicht verstehen. Wer nur Englisch in einen Mitgliedstaat liefert, dessen Behörden und Nutzer nicht auf Englisch arbeiten, besteht die Händlerprüfung nicht. |
| „Schwachstellenhinweise leiten wir monatlich mit anderen Updates weiter." | Schwachstelleninformationen müssen unverzüglich an den Hersteller gehen, und erhebliche Cybersicherheitsrisiken sofort an die Marktüberwachung. Monatliche Sammelmeldungen verstoßen gegen beide Standards. |
| „ENISA-Meldungen sind Sache des Herstellers, also ignorieren wir Schwachstellen." | Der ENISA-Meldestrang gehört dem Hersteller, aber die Pflicht zur Information des Herstellers und die Pflicht, erhebliche Risiken den Marktüberwachungsbehörden zu melden, gehören dem Händler. Schweigen verstößt gegen die nachgelagerte Pflicht. |
| „Bestandsware in unserem Lager können wir trotz erkannter Sprachlücke in den Nutzerinformationen weiterverkaufen; nur neue Sendungen stoppen." | Die weitere Bereitstellung des nicht konformen Produkts stoppt unabhängig vom physischen Lagerort. Bestand wird gehalten, nicht abverkauft. |
| „Das Entfernen des Einführerkontakts schützt unsere Vertriebspartner." | Die Einführeridentifikation muss auf Produkt, Verpackung oder Begleitdokument verbleiben. Wer sie entfernt, macht das Produkt für die Händlerlieferung nicht konform. |
| „Wir müssen keine Unterlagen vorhalten; wir sind nur Wiederverkäufer." | Der Händler muss den Dokumentensatz auf begründetes Verlangen in der Sprache der Behörde vorlegen können. Ein Händler, der DoC-Referenz, Nutzerinformationen oder Lieferketten-Kontaktstellen nicht vorlegen kann, verstößt selbst dann gegen seine Pflichten, wenn das Produkt konform ist. |
Häufig gestellte Fragen
Was ist ein Händler im Sinne des CRA?
Ein EU-Lieferkettenglied, das das Produkt unverändert weitergibt. Die Rolle wird durch die Position (nach dem Einführer, vor dem Endnutzer) und durch Produktneutralität definiert (kein Rebranding, keine Softwareänderung, keine Konfiguration, die den Verwendungszweck ändert). Wiederverkäufer, Value-added-Distributoren, die nur bündeln, und Channel-Partner, die nur versenden und fakturieren, fallen in diese Rolle, sofern sie das Produkt so belassen, wie der Hersteller es auf dem Markt bereitgestellt hat. Verkauft ein Einführer oder Händler unter eigenem Namen oder verändert er das Produkt wesentlich, greift der Wechsel zu den Herstellerpflichten.
Bin ich Händler oder Einführer?
Die Grenze ist das erstmalige Inverkehrbringen. Sie sind Einführer, wenn Sie als erstes EU-Unternehmen ein Produkt ohne EU-Marke auf den Unionsmarkt bringen. Sie sind Händler, wenn Sie das Produkt nach dem Einführer bereitstellen, ohne dessen Eigenschaften zu beeinflussen. Kaufen Sie ein Nicht-EU-Produkt von einem anderen EU-Unternehmen, das es bereits eingeführt hat, ist dieses andere Unternehmen der Einführer und Sie sind Händler. Kaufen Sie direkt beim Nicht-EU-Hersteller und bringen das Produkt selbst auf den EU-Markt, sind Sie Einführer, mit dem schwereren Verifizierungssatz und der 10-Jahres-Aufbewahrungspflicht.
Bin ich Händler oder Hersteller?
Der Artikel 21 ist die gesetzliche Brücke zwischen Händler (oder Einführer) und Hersteller. Er hat zwei Auslösetatbestände, und beide gelten sowohl für Einführer als auch für Händler:
"Ein Einführer oder Händler gilt für die Zwecke dieser Verordnung als Hersteller und unterliegt den in den Artikeln 13 und 14 genannten Pflichten, wenn dieser Einführer oder Händler ein Produkt mit digitalen Elementen unter seinem eigenen Namen oder seiner eigenen Marke in den Verkehr bringt oder eine wesentliche Änderung an einem bereits in den Verkehr gebrachten Produkt mit digitalen Elementen vornimmt."
Die beiden Tatbestände sind also: (a) das Inverkehrbringen des Produkts unter eigenem Namen oder eigener Marke oder (b) eine wesentliche Änderung an einem bereits in den Verkehr gebrachten Produkt. White-Label-Rebranding, das Vorinstallieren eigener Software, das Ändern der Sicherheitskonfiguration vor dem Weiterverkauf, das Umverpacken in einer Weise, die den Verwendungszweck ändert, oder das Modifizieren der Firmware brechen die Händlerrolle. Für Einführer und Händler ist die Umschaltung direkt: Sie werden Hersteller, und das vollständige Herstellerregime gilt für Sie. Für das vollständige Pflichtenpaket, das dann gilt, siehe den Hersteller-Cluster-Leitfaden.
Eine separate, engere Regel gilt für eine Person, die nicht Hersteller, Einführer oder Händler ist: ein Drittpartei-Rekonfigurator, Integrator oder Modifizierer, der ein in den Verkehr gebrachtes Produkt nimmt, es wesentlich ändert und dann auf dem Markt bereitstellt. Diese Person gilt als Hersteller. Nach Artikel 22 Absatz 2 gelten die Herstellerpflichten "für den Teil des Produkts mit digitalen Elementen, der von der wesentlichen Änderung betroffen ist, oder, wenn sich die wesentliche Änderung auf die Cybersicherheit des Produkts mit digitalen Elementen insgesamt auswirkt, für das gesamte Produkt." Diese Auffangregel ist nicht auf Sie anwendbar, wenn Sie bereits Einführer oder Händler sind. Die Einführer-Händler-Rebranding-Brücke deckt Ihren Fall ab.
Was genau muss der Händler vor der Bereitstellung prüfen?
Zwei Prüfungen: CE vorhanden und die vorgelagerten Unterlagen vorhanden. Der Hersteller muss Produktidentifikation, Herstellerangaben, Nutzerinformationen in einer Mitgliedstaatssprache, Support-Enddatum mit Monat und Jahr sowie DoC-Bereitstellung erfüllt haben. Der Einführer muss seine Identifikationspflicht erfüllt haben. Die erforderlichen Unterlagen müssen bereitgestellt worden sein. Die Prüfung ist präsenzbasiert, nicht eine erneute Konformitätsbewertung.
Muss der Händler die EU-Konformitätserklärung 10 Jahre aufbewahren?
Nein. Die 10-Jahres- bzw. Unterstützungszeitraum-Aufbewahrungspflicht der DoC liegt beim Einführer, nicht beim Händler. Die Dokumentationspflicht des Händlers besteht darin, auf begründetes Verlangen einer Marktüberwachungsbehörde die Informationen und Unterlagen zu liefern, die zum Nachweis der Konformität erforderlich sind, in einer für die Behörde leicht verständlichen Sprache. Die praktische Untergrenze ist der Dokumentensatz, den der Händler für seine eigene Eingangsprüfung nutzt: DoC-Referenz, Nutzerinformationen in der Sprache des Liefer-Mitgliedstaats sowie Hersteller- und Einführer-Kontaktstellen.
Was tut der Händler, wenn er von einer Schwachstelle in einem ausgelieferten Produkt erfährt?
Den Hersteller unverzüglich informieren, und die Marktüberwachung informieren, wenn das Risiko erheblich ist. Die erste Pflicht ist die vorgelagerte Benachrichtigung ohne unangemessene Verzögerung. Die zweite ist die parallele Benachrichtigung der Marktüberwachungsbehörden jedes Liefer-Mitgliedstaats, mit Angaben zur Nichtkonformität und zu allen ergriffenen Korrekturmaßnahmen. Der ENISA-Meldestrang bleibt Sache des Herstellers, nicht des Händlers.
Gibt es KMU-Ausnahmen für Händler?
Nein. Händlerpflichten gelten unabhängig von der Größe. Die einzige KMU-spezifische Erleichterung bei Verwaltungsgeldbußen im CRA betrifft Hersteller und Open-Source-Verwalter. Händler fallen nicht in diese Ausnahme. Behörden müssen außerdem die Größe des betroffenen Unternehmens bei der Festsetzung der Bußgeldhöhe im Einzelfall angemessen berücksichtigen; das ist ein Bemessungsfaktor im gesamten Regime, keine Befreiung von den Pflichten.
Ab wann gelten die CRA-Händlerpflichten?
Die Händlerpflichten gelten vollständig ab dem 11. Dezember 2027. Anders als Hersteller haben Händler keinen separaten früheren Stichtag; der ENISA-Meldestrang ist Pflicht des Herstellers, nicht des Händlers. Bis zu diesem Datum brauchen Händler, die Produkte auf dem Unionsmarkt bereitstellen, eine Eingangsprüfung, einen Verweigerungsablauf, einen Schwachstellen-Awareness-Ablauf und die Fähigkeit zur Vorlage von Unterlagen.