Der Hersteller trägt das umfangreichste Pflichtenpaket des CRA (Verordnung (EU) 2024/2847): Artikel 13 (Konzeption, technische Dokumentation, Konformitätsbewertung, Unterstützungszeitraum, Pflichten nach Inverkehrbringen), Artikel 14 (24h/72h-Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an ENISA und das als Koordinator benannte CSIRT) sowie Anhang I (13 Produktanforderungen in Teil I, 8 Anforderungen zur Schwachstellenbehandlung in Teil II). Diese Seite behandelt jede Pflicht im Einzelnen sowie die Prüfung nach Artikel 3 Nummer 13, die darüber entscheidet, ob Sie überhaupt Hersteller sind.
Zusammenfassung
- Einstufung nach Artikel 3 Nummer 13: Sie sind Hersteller, wenn Sie Produkte entwickeln oder entwerfen, entwickeln oder herstellen lassen und unter Ihrem eigenen Namen oder Ihrer Marke vermarkten. Maßgeblich ist die Marke, nicht der Liefervertrag.
- Pflichten nach Artikel 13: Cybersicherheits-Risikobewertung (13(2) bis (4)), Einhaltung von Anhang I Teil I + Teil II (13(1), 13(8)), Sorgfaltspflicht für Komponenten (13(5) bis (6)), technische Dokumentation (Artikel 31, Anhang VII), Konformitätsbewertung (Artikel 32), EU-Konformitätserklärung (13(20), Artikel 28, Anhang V), CE-Kennzeichnung (Artikel 30), Unterstützungszeitraum von mindestens 5 Jahren oder erwarteter Nutzungsdauer (13(8)) mit dokumentiertem Enddatum (13(19)), Aufbewahrung über 10 Jahre oder den Unterstützungszeitraum, je nachdem was länger ist (13(13)).
- Meldepflichten nach Artikel 14: zwei Meldeströme, beide gleichzeitig über die einheitliche Meldeplattform der ENISA nach Artikel 16 und an das als Koordinator benannte CSIRT. Schwachstellen: 24h-Frühwarnung, 72h-Meldung, Abschlussbericht 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme. Schwerwiegende Sicherheitsvorfälle: 24h-Frühwarnung, 72h-Meldung, Abschlussbericht innerhalb eines Monats nach der 72h-Meldung.
- Bußgeldrisiko (Artikel 64(2)): bis zu 15.000.000 EUR oder 2,5 % des gesamten weltweiten Jahresumsatzes, je nachdem was höher ist. Artikel 64(10) beschränkt die Bußgeldentlastung für Kleinst- und kleine Unternehmen ausschließlich auf die Fristen nach 14(2)(a) und 14(4)(a).
- Stichtage: Die Schwachstellen- und Vorfallsmeldung nach Artikel 14 beginnt am 11. September 2026. Das übrige Herstellerregime gilt ab dem 11. Dezember 2027 (Artikel 71).
Drei Zahlen, die das Risiko des Herstellers rahmen: 21 wesentliche Anforderungen über Anhang I, zwei Meldefristen je Strang, Höchststrafe.
Wer ist Hersteller im Sinne des CRA?
Artikel 3 Nummer 13 definiert den Hersteller wörtlich:
"Hersteller" bezeichnet eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder Produkte mit digitalen Elementen entwerfen, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es entgeltlich, mit Monetarisierung oder unentgeltlich.
Sie sind im Sinne des CRA Hersteller, wenn beide der folgenden Elemente zutreffen:
| Element | Prüfung |
|---|---|
| Entwickeln, herstellen oder Produkte entwerfen/entwickeln/herstellen lassen | Umfasst ausgelagertes Design oder Auftragsfertigung. Die Arbeit muss nicht in den eigenen Räumen erfolgen. |
| Unter eigenem Namen oder eigener Marke vermarkten | Das so in Verkehr gebrachte Produkt weist Ihr Unternehmen als Quelle aus, etwa durch Markenauftritt, Verpackung, Marketingmaterial oder begleitende Dokumentation. |
Beide Elemente müssen kumulativ vorliegen. Eine Fabrik, die ein Produkt fertigt, es aber unter der Marke eines anderen Unternehmens vermarktet, ist im Sinne des CRA nicht Hersteller; der Markeninhaber ist es. Umgekehrt ist ein Unternehmen, das seine eigene Marke auf ein von einer Drittfabrik entworfenes und gebautes Produkt anbringt, Hersteller, unabhängig davon, wer die Entwicklungsarbeit geleistet hat. Unentgeltlicher, monetarisierter und entgeltlicher Vertrieb zählen alle gleichermaßen; die Verordnung sagt ausdrücklich "sei es entgeltlich, mit Monetarisierung oder unentgeltlich".
Greift keines der beiden Elemente, sind Sie nicht Hersteller. Sie können Einführer nach Artikel 3 Nummer 16 sein (Sie bringen ein nicht in der EU markiertes Produkt auf den Unionsmarkt), Händler nach Artikel 3 Nummer 17 (Sie stellen das Produkt nach dem Einführer bereit, ohne dessen Eigenschaften zu verändern) oder Bevollmächtigter nach Artikel 3 Nummer 15 und Artikel 18 (Sie handeln auf Grundlage eines schriftlichen Mandats für den Hersteller). Ein Dritter, der ein Produkt nach Inverkehrbringen wesentlich verändert, gilt nach Artikel 22 als Hersteller der veränderten Fassung; dieselbe Bewertung greift über Artikel 3 Nummer 13, sobald der Modifizierende das veränderte Produkt unter eigenem Namen vermarktet. Die vollständige Rollenmatrix und der Entscheidungsbaum zum Vergleich aller fünf Rollen finden sich unter Wer muss den CRA einhalten.
Artikel 13 im Überblick
| Absatz | Pflicht | Kernpunkt |
|---|---|---|
| 13(1) | Konzeption und Herstellung gemäß Anhang I Teil I | Die wesentlichen Anforderungen sind verbindlich, moduliert durch die Cybersicherheits-Risikobewertung. |
| 13(2) bis (4) | Cybersicherheits-Risikobewertung | Dokumentiert, über den Unterstützungszeitraum aktualisiert, in der technischen Dokumentation nach Artikel 31 enthalten. |
| 13(5) bis (7) | Sorgfaltspflicht für Komponenten | Schließt freie und Open-Source-Komponenten ein. Schwachstellen, von denen der Hersteller Kenntnis erlangt, sind zu dokumentieren; an die Quelle melden und beheben. |
| 13(8) | Unterstützungszeitraum | Mindestens 5 Jahre oder erwartete Nutzungsdauer, sofern kürzer. In der technischen Dokumentation festgehalten. Umfasst Pflichten zur Schwachstellenbehandlung und zur CVD-Richtlinie. |
| 13(9) | Verfügbarkeit von Sicherheitsupdates | Jedes Sicherheitsupdate bleibt nach Veröffentlichung mindestens 10 Jahre verfügbar oder für den Rest des Unterstützungszeitraums, je nachdem was länger ist. |
| 13(10) bis (11) | Wesentlich veränderte Software-Versionen | Die Einhaltung von Anhang I Teil II Nummer 2 kann auf die jeweils neueste Version beschränkt werden, sofern Nutzer kostenfreien Zugang dazu haben; öffentliche Archive nicht mehr unterstützter Versionen sind mit Risikohinweisen zulässig. |
| 13(12) bis (14) | Vor-Markt-Dokumentation + Konformitätsbewertung + CE; Kontrolle der Serienfertigung | Erstellung der technischen Dokumentation nach Artikel 31; Durchführung der Konformitätsbewertung nach Artikel 32 oder Veranlassung; Erstellung der EU-Konformitätserklärung und Anbringung der CE-Kennzeichnung; Pflege der Verfahren, damit die Serienfertigung konform bleibt. |
| 13(13) | Aufbewahrung | Technische Dokumentation und EU-Konformitätserklärung stehen den Marktüberwachungsbehörden mindestens 10 Jahre lang oder über den Unterstützungszeitraum zur Verfügung, je nachdem was länger ist. |
| 13(15) bis (16) | Produktidentifikation + Herstellerangaben | Typ-, Chargen- oder Seriennummer; Name, Handelsname oder Marke des Herstellers, Postanschrift, digitaler Kontakt, ebenfalls in den Anhang-II-Informationen wiedergegeben. |
| 13(17) | Einheitliche Anlaufstelle | Lässt Nutzern die Wahl ihres bevorzugten Kommunikationsmittels. Darf nicht auf automatisierte Werkzeuge beschränkt sein. |
| 13(18) | Anhang-II-Begleitinformation | Information und Anleitungen in einer für Nutzer und Marktüberwachung leicht verständlichen Sprache, online zugänglich für denselben Aufbewahrungszeitraum. |
| 13(19) | Enddatum des Unterstützungszeitraums | Zum Kaufzeitpunkt anzugeben, mindestens Monat und Jahr. End-of-Support-Hinweis für Nutzer anzuzeigen, soweit technisch möglich. |
| 13(20) | Bereitstellung der EU-Konformitätserklärung | Entweder vollständige Konformitätserklärung oder vereinfachte Konformitätserklärung mit der genauen Internetadresse, unter der die vollständige Erklärung abrufbar ist. |
| 13(21) bis (22) | Korrekturmaßnahmen nach Inverkehrbringen + Zusammenarbeit | Bei Kenntnis einer Nichtkonformität zurücknehmen, zurückrufen oder wieder in Konformität bringen. Auf begründetes Verlangen der Marktüberwachung alle erforderlichen Informationen bereitstellen. |
| 13(23) | Einstellung der Geschäftstätigkeit | Marktüberwachung und mit allen verfügbaren Mitteln auch die Nutzer vor Wirksamwerden der Einstellung informieren. |
| 13(24) bis (25) | SBOM-Format + Abhängigkeitsbewertungen | Die Kommission kann das SBOM-Format durch Durchführungsrechtsakte festlegen. ADCO kann unionsweite Abhängigkeitsbewertungen durchführen. |
Anhang I: Die wesentlichen Cybersicherheitsanforderungen
Anhang I gliedert sich in zwei Teile. Teil I listet 13 Anforderungen an die Eigenschaften des Produkts auf, moduliert durch die Cybersicherheits-Risikobewertung des Herstellers nach Artikel 13(2). Teil II listet 8 Anforderungen an die Prozesse zur Schwachstellenbehandlung; diese sind nicht risikomoduliert und gelten unabhängig von Produktart oder -klasse.
Teil I: Produkteigenschaften (Artikel 13(1), Anhang I Teil I)
Produkte mit digitalen Elementen sind so zu konzipieren, zu entwickeln und herzustellen, dass ein angemessenes Cybersicherheitsniveau auf Grundlage der Risiken gewährleistet ist. Auf Grundlage der Cybersicherheits-Risikobewertung nach Artikel 13(2) gilt, soweit anwendbar, Folgendes:
| Code | Anforderung |
|---|---|
| (a) | Bereitstellung ohne bekannte ausnutzbare Schwachstellen |
| (b) | Sichere Standardkonfiguration; Rücksetzung in den Auslieferungszustand verfügbar (bei maßgeschneiderten Produkten für gewerbliche Nutzer können andere Vereinbarungen getroffen werden) |
| (c) | Schwachstellen durch Sicherheitsupdates behebbar; automatische Updates werden standardmäßig in einem angemessenen Zeitrahmen installiert, mit Opt-out- und Aufschiebe-Option, soweit anwendbar |
| (d) | Schutz vor unbefugtem Zugriff (Authentifizierung, Identitäts- oder Zugriffsmanagement, Berichterstattung über möglichen unbefugten Zugriff) |
| (e) | Vertraulichkeit gespeicherter, übertragener und verarbeiteter Daten, einschließlich Verschlüsselung im Ruhezustand oder bei der Übertragung mit Mechanismen nach dem Stand der Technik |
| (f) | Integritätsschutz von Daten, Befehlen, Programmen und Konfigurationen; Berichterstattung über Beschädigungen |
| (g) | Datenminimierung: nur Daten verarbeiten, die angemessen, relevant und auf den vorgesehenen Zweck beschränkt sind |
| (h) | Verfügbarkeit wesentlicher und grundlegender Funktionen, auch nach einem Sicherheitsvorfall; Widerstandsfähigkeit gegen Denial-of-Service |
| (i) | Negative Auswirkungen auf die Verfügbarkeit von Diensten anderer Geräte oder Netze minimieren |
| (j) | Angriffsflächen einschließlich externer Schnittstellen begrenzen |
| (k) | Folgen von Sicherheitsvorfällen durch Mechanismen und Techniken zur Minderung von Ausnutzung verringern |
| (l) | Sicherheitsinformationen durch Aufzeichnung und Überwachung relevanter interner Aktivität bereitstellen, mit Opt-out für Nutzer |
| (m) | Nutzern ermöglichen, alle Daten und Einstellungen sicher und einfach zu entfernen; sichere Datenübertragung gewährleisten, soweit anwendbar |
Der Vorbehalt "soweit anwendbar" in Anhang I Teil I Nummer 2 bedeutet, dass die Risikobewertung des Herstellers bestimmt, welche Anforderungen (a) bis (m) das Produkt binden. Wo eine Anforderung nicht anwendbar ist, muss die technische Dokumentation eine klare Begründung nach Artikel 13(4) enthalten.
Teil II: Schwachstellenbehandlung (Artikel 13(8), Anhang I Teil II)
Teil II ist unbedingt: er gilt über den gesamten Unterstützungszeitraum unabhängig von Produktklasse oder Risikoprofil.
| Code | Anforderung |
|---|---|
| (1) | Schwachstellen und Komponenten identifizieren und dokumentieren, einschließlich einer Software-Stückliste (SBOM) in einem weit verbreiteten, maschinenlesbaren Format, die mindestens die obersten Abhängigkeiten abdeckt |
| (2) | Schwachstellen unverzüglich durch Sicherheitsupdates beheben; soweit technisch möglich, Sicherheitsupdates von Funktionsupdates trennen |
| (3) | Wirksame und regelmäßige Tests und Überprüfungen der Produktsicherheit durchführen |
| (4) | Sobald ein Sicherheitsupdate verfügbar ist, Informationen zu behobenen Schwachstellen teilen und öffentlich offenlegen (Beschreibung, betroffene Produkte, Auswirkungen, Schweregrad, Behebungshinweise). Die öffentliche Offenlegung kann in hinreichend begründeten Fällen verzögert werden, bis Nutzer den Patch anwenden können |
| (5) | Eine Richtlinie zur koordinierten Schwachstellenoffenlegung (CVD) einführen und durchsetzen |
| (6) | Den Austausch von Informationen über potenzielle Schwachstellen (auch in Komponenten Dritter) durch Bereitstellung einer Kontaktadresse für Schwachstellenmeldungen erleichtern |
| (7) | Mechanismen zur sicheren Verteilung von Updates, damit Schwachstellen rechtzeitig und, soweit anwendbar, automatisch behoben werden |
| (8) | Sicherheitsupdates unverzüglich verbreiten; kostenlos, sofern bei maßgeschneiderten Produkten für gewerbliche Nutzer nichts anderes vereinbart wurde; mit Hinweistexten an die Nutzer |
Teil II läuft vom Inverkehrbringen bis zum Ende des Unterstützungszeitraums (Artikel 13(8)). Sicherheitsupdates bleiben nach Veröffentlichung mindestens 10 Jahre verfügbar oder über den Rest des Unterstützungszeitraums, je nachdem was länger ist (Artikel 13(9)).
Vor-Markt-Artefakte: Was vor Inverkehrbringen vorliegen muss
Vor Inverkehrbringen müssen vier Artefakte vorliegen. Jedes ist in einem konkreten CRA-Artikel verankert und führt zu einem konkreten Konformitätsakt: die Datei, die der Hersteller vorhält, die Bewertung, die er durchführt, die Erklärung, die er unterzeichnet, die Kennzeichnung, die er anbringt.
| Artefakt | Anker | Was es enthält oder verlangt |
|---|---|---|
| Technische Dokumentation | Artikel 31, Anhang VII (erstellt nach Artikel 13(12)) | Produktbeschreibung, Konzeptions- und Entwicklungsangaben, Cybersicherheits-Risikobewertung nach Artikel 13(2), angewandte harmonisierte Normen oder gemeinsame Spezifikationen, Weg und Ergebnis der Konformitätsbewertung, EU-Konformitätserklärung und Schwachstellenbehandlungsprozess. Aufbewahrung mindestens 10 Jahre oder über den Unterstützungszeitraum, je nachdem was länger ist (Artikel 13(13)). |
| Konformitätsbewertung | Artikel 32 | Modul A Selbstbewertung nur für Produkte der Standardklasse. Wichtige Klasse II standardmäßig sowie Kritische Produkte ohne europäisches Cybersicherheits-Zertifizierungsschema erfordern Modul B+C oder Modul H über eine notifizierte Stelle. Wichtige Klasse I darf Modul A nur nutzen, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Cybersicherheits-Zertifizierungsschema vollständig angewandt werden. |
| EU-Konformitätserklärung | Artikel 13(20), Artikel 28, Anhang V | Entweder die vollständige Konformitätserklärung mit dem Produkt geliefert oder eine vereinfachte Konformitätserklärung mit der genauen Internetadresse der vollständigen Erklärung. Anhang V legt die Inhalte fest: Name und Anschrift des Herstellers, Produktidentifikation, Konformitätsaussage zu Anhang I, angewandte Normen mit Referenznummern und Datum, Name und Nummer der notifizierten Stelle, soweit anwendbar, Bescheinigungs-Referenz, Datum, Unterschrift, Name und Funktion des Unterzeichners. |
| CE-Kennzeichnung | Artikel 30, Verordnung (EG) Nr. 765/2008 | Mindestens 5 mm hoch, sichtbar, lesbar, dauerhaft, am Produkt oder an dessen Datenschild. Wo dies nach Größe oder Beschaffenheit nicht möglich ist, an der Verpackung und in den Begleitunterlagen. Hat eine notifizierte Stelle in die Produktionskontrolle eingegriffen, folgt der CE-Kennzeichnung deren vierstellige Kennnummer. |
Die Wahl des Konformitätsbewertungsmoduls ist die folgenreichste Entscheidung in diesem Abschnitt. Die Tabelle und das Entscheidungsdiagramm unten geben die Details Zeile für Zeile.
| Modul | Wann |
|---|---|
| A Interne Fertigungskontrolle | Nur Produkte der Standardklasse |
| B + C EU-Baumusterprüfung + Fertigungskontrolle | Wichtige Klasse II standardmäßig; Klasse I, sofern keine einschlägige harmonisierte Norm, gemeinsame Spezifikation oder europäisches Cybersicherheits-Zertifizierungsschema angewandt wird |
| H Umfassende Qualitätssicherung | Alternative für Wichtige Produkte; erforderlich für Kritische Produkte ohne europäisches Cybersicherheits-Zertifizierungsschema, das die Anforderungen abdeckt |
Siehe Leitfaden zur technischen Dokumentation, Leitfaden zur Konformitätsbewertung, Leitfaden zur Produktklassifizierung und Leitfaden zur Konformitätserklärung für die Details jedes Artefakts.
Meldefristen für Hersteller (Artikel 14)
Artikel 14 sieht für Hersteller zwei Meldeströme vor, beide gleichzeitig an das als Koordinator benannte CSIRT und an ENISA über die einheitliche Meldeplattform nach Artikel 16. Die beiden Stränge teilen den 24h/72h-Takt, haben aber unterschiedliche Fristen für den Abschlussbericht, ein häufig missverstandener Punkt.
| Strang | 24h-Frühwarnung | 72h-Meldung | Abschlussbericht |
|---|---|---|---|
| Aktiv ausgenutzte Schwachstelle (14(1) bis (2)) | Innerhalb von 24h ab Kenntnis | Innerhalb von 72h ab Kenntnis | 14 Tage nach Verfügbarkeit einer Korrektur- oder Risikominderungsmaßnahme |
| Schwerwiegender Sicherheitsvorfall (14(3) bis (5)) | Innerhalb von 24h ab Kenntnis | Innerhalb von 72h ab Kenntnis | Einen Monat nach der 72h-Meldung |
Bei Schwachstellen startet die Uhr für den Abschlussbericht, wenn der Patch bereit ist, nicht zum Zeitpunkt der Kenntniserlangung; die Lücke kann Wochen oder Monate betragen. Bei schwerwiegenden Sicherheitsvorfällen ist die Uhr für den Abschlussbericht auf die 72h-Meldung fixiert, in der Praxis also Tag 33 ab Kenntnis. Siehe Cluster-Leitfaden zur Schwachstellenmeldung für den operativen Ablauf, das Routing zum Koordinator-CSIRT nach Artikel 14(7) (einschließlich der Auffangkaskade für Nicht-EU-Hersteller), die Pflicht zur Nutzerinformation nach Artikel 14(8) sowie die Mechanik der einheitlichen Meldeplattform nach Artikel 16.
Unterstützungszeitraum und Pflichten nach Inverkehrbringen
Artikel 13(8) setzt den Unterstützungszeitraum auf mindestens 5 Jahre, oder die erwartete Nutzungsdauer, sofern kürzer; Sicherheitsupdates bleiben nach Veröffentlichung mindestens 10 Jahre verfügbar nach Artikel 13(9). Das Enddatum (mindestens Monat und Jahr) ist nach Artikel 13(19) zum Kaufzeitpunkt offenzulegen. Siehe Cluster-Leitfaden zum Unterstützungszeitraum für Festlegungskriterien, die Regelungen zu wesentlich veränderten Software-Versionen in 13(10) und (11) sowie die Pflicht zum End-of-Support-Hinweis.
Zwei Pflichten des Herstellers nach Inverkehrbringen liegen neben dem Regime des Unterstützungszeitraums und haben keine eigene Cluster-Seite. Artikel 13(21) bis (22): Bei Kenntnis einer Nichtkonformität mit Anhang I ergreift der Hersteller unverzüglich Korrekturmaßnahmen, nimmt das Produkt zurück oder ruft es zurück, soweit angemessen, und stellt auf begründetes Verlangen einer Marktüberwachungsbehörde alle Informationen bereit, die zum Nachweis der Konformität erforderlich sind, in einer für die Behörde verständlichen Sprache. Artikel 13(23): Ein Hersteller, der seine Geschäftstätigkeit einstellt, informiert die zuständigen Marktüberwachungsbehörden vor Wirksamwerden der Einstellung und informiert die Nutzer mit allen verfügbaren Mitteln und soweit möglich.
Hersteller vs. wesentlicher Modifizierender nach Artikel 22
Artikel 22 erfasst einen anderen Fall als die Einstufung nach Artikel 3 Nummer 13. Wörtlich:
"Eine andere natürliche oder juristische Person als der Hersteller, der Einführer oder der Händler, die eine wesentliche Veränderung eines Produkts mit digitalen Elementen vornimmt und dieses Produkt auf dem Markt bereitstellt, gilt für die Zwecke dieser Verordnung als Hersteller."
Artikel 22 schließt Hersteller, Einführer und Händler ausdrücklich aus. Er gilt für Dritte außerhalb der Kette nach Artikel 3: Systemintegratoren, Mehrwertanbieter, Unternehmens-IT-Abteilungen, die Anbieterprodukte vor Weiterverteilung verändern. Der Anwendungsbereich nach Artikel 22(2) ist scharf umrissen: Der Modifizierende gilt für den Teil des Produkts, der von der wesentlichen Veränderung betroffen ist als Hersteller, oder für das gesamte Produkt, wenn die Veränderung sich auf die Cybersicherheit des Produkts insgesamt auswirkt. "Wesentliche Veränderung" ist in Artikel 3 Nummer 30 als Änderung nach Inverkehrbringen definiert, die die Konformität mit Anhang I Teil I beeinflusst oder den Verwendungszweck verändert, für den das Produkt bewertet wurde.
| Fall | Einstufung |
|---|---|
| Eigene Entwicklung, eigene Marke | Hersteller (Artikel 3 Nummer 13) |
| Eigene Marke, Dritter ergänzt nach Inverkehrbringen Firmware-Funktionen, die die Angriffsfläche verändern | Ursprünglicher Hersteller bleibt; der Dritte ist nach Artikel 22 ebenfalls Hersteller für den veränderten Teil |
| White-Label-Rebranding eines Nicht-EU-Produkts durch ein EU-Unternehmen | Das EU-Unternehmen ist Hersteller nach Artikel 3 Nummer 13; keine "Eskalation nach Artikel 22" |
| EU-Integrator bündelt kompatible Produkte ohne deren Innenleben zu verändern | Händler nach Artikel 3 Nummer 17, nicht Artikel 22 |
| Unternehmens-IT installiert ein eigenes Firmware-Build auf Anbietergeräten und verkauft weiter | Modifizierender nach Artikel 22; gilt als Hersteller des veränderten Produkts |
Die praktische Folge, wenn Artikel 22 einen Dritten erfasst: volle Pflichten nach Artikel 13 und Artikel 14 für den veränderten Teil oder das gesamte Produkt, einschließlich neuer technischer Akte, neuer Konformitätserklärung, neuer CE-Kennzeichnung in Verantwortung des Modifizierenden sowie des Meldetakts nach Artikel 14 wie oben.
Umsetzungsfahrplan
Häufige Fallstricke
| Behauptung | Warum sie scheitert |
|---|---|
| "Wir sind nicht wirklich Hersteller; ein OEM in einem anderen Land baut es." | Artikel 3 Nummer 13 erfasst den Markeninhaber. Auslagerung der Fertigung verlagert die Pflicht nicht. |
| "Unsere Sicherheitspolitik reicht aus; wir brauchen keine Bewertung nach Anhang I Teil I." | Artikel 13(2) macht die Cybersicherheits-Risikobewertung verbindlich. Die technische Dokumentation muss die Bewertung nach Artikel 13(4) enthalten. |
| "Unsere Kunden fragen nicht nach einer SBOM, also erstellen wir keine." | Anhang I Teil II Nummer 1 verlangt die Identifikation von Schwachstellen und Komponenten einschließlich einer SBOM in einem weit verbreiteten maschinenlesbaren Format. Das Interesse des Kunden ist unerheblich. |
| "Unser Chatbot ist die einheitliche Anlaufstelle." | Artikel 13(17) verlangt, dass der Nutzer sein bevorzugtes Kommunikationsmittel wählen kann. Die Mittel dürfen nicht auf automatisierte Werkzeuge beschränkt sein. |
| "Fünf Jahre ab Produktstart sind genug für den Unterstützungszeitraum." | Artikel 13(8) lässt den Unterstützungszeitraum ab dem Inverkehrbringen jeder Einheit laufen, nicht ab Produktstart. Im 4. Jahr in Verkehr gebrachte Einheiten tragen Unterstützungspflichten bis ins Jahr 9. |
| "Die 14-Tage-Frist für den Abschlussbericht gilt auch für Sicherheitsvorfälle." | Nein. Schwachstellen: 14 Tage nach Verfügbarkeit der Korrekturmaßnahme. Schwerwiegende Sicherheitsvorfälle: ein Monat nach der 72h-Meldung (Artikel 14(2)(c) gegenüber 14(4)(c)). |
| "Unser SLA deckt Schwachstellen bereits ab; wir müssen nicht an ENISA melden." | Die Meldung nach Artikel 14 erfolgt gleichzeitig an das als Koordinator benannte CSIRT und an ENISA über die einheitliche Meldeplattform nach Artikel 16. Kunden-SLAs sind kein Ersatz. |
| "Wir haben eine Versicherung gegen Sicherheitsvorfälle." | Bußgelder nach Artikel 64 sind in den meisten Mitgliedstaaten nicht versicherbar. Risikotransfer ersetzt keine Konformität. |
| "Artikel 14 gilt erst, wenn wir eine EU-Niederlassung haben." | Artikel 14(7) Unterabsatz 3 leitet Nicht-EU-Hersteller über eine CSIRT-Kaskade nach Standort des Bevollmächtigten, des Einführers, des Händlers oder des Nutzers. Die Meldepflicht beginnt am 11. September 2026 unabhängig davon. |
| "Wir verzögern die öffentliche Offenlegung jeder Schwachstelle bis zum nächsten Quartalsrelease." | Anhang I Teil II Nummer 4 erlaubt eine Verzögerung nur in hinreichend begründeten Fällen, bis Nutzer den Patch anwenden können. Routinemäßige Quartalsbündelung ist kein "hinreichend begründeter Fall". |
Häufig gestellte Fragen
Was ist ein Hersteller im Sinne des CRA?
Der Markeninhaber. Hersteller ist die Einheit, die ein Produkt entwickelt oder in Auftrag gibt (auch über eine ausgelagerte Fabrik) und es dann unter eigenem Namen oder eigener Marke vermarktet, entgeltlich oder kostenlos. Über die Hersteller-Eigenschaft entscheidet die Marke auf dem Produkt, nicht der Standort der Fertigungslinie. Verwalter quelloffener Software sind eine eigene, leichtere Kategorie; reiner Verbraucher-Wiederverkauf ohne eigene Marke ist Vertrieb, keine Herstellung (Artikel 3(13); Verwalter-Regime in Artikel 3(14)).
Bin ich Hersteller oder Einführer?
Es kommt darauf an, wessen Marke auf dem Produkt steht. Ihr eigener Name oder Ihre eigene Marke macht Sie zum Hersteller, unabhängig davon, wo das Produkt gebaut wird. Die Marke einer Person außerhalb der EU auf einem Produkt, das Sie auf dem Unionsmarkt in Verkehr bringen, macht Sie zum Einführer. Bringen Sie Ihre eigene Marke auf einem außerhalb der EU gebauten Produkt an, tragen Sie das vollständige Hersteller-Pflichtenpaket; behalten Sie die ursprüngliche Marke bei und leiten das Produkt über Ihre EU-Einheit, tragen Sie nur das Prüfregime des Einführers (Artikel 3(13) und 3(16); Herstellerpflichten in Artikel 13 und 14; Einführerpflichten in Artikel 19).
Hersteller vs. Bevollmächtigter: worin liegt der Unterschied?
Der Bevollmächtigte ist eine Dokumenten-Stellvertretung, kein Ersatz-Hersteller. Per schriftlichem Mandat hält der Bevollmächtigte die EU-Konformitätserklärung und die technische Dokumentation für die Marktüberwachungsbehörden bereit, beantwortet begründete Anfragen und kooperiert bei Durchsetzungsmaßnahmen. Entwicklung, Risikobewertung, Schwachstellenbehandlung, Konformitätsbewertung und Pflichten zur Serienfertigung verbleiben beim Hersteller. Der Bevollmächtigte bringt das Produkt nicht in Verkehr; das tut der Hersteller oder sein Einführer. Die Bestellung eines Bevollmächtigten ist optional, nicht verpflichtend (Artikel 3(15) und 18(1) bis (3); Pflichten, die beim Hersteller verbleiben, sind in Artikel 13(1) bis (11), 13(12) Unterabsatz 1 und 13(14) aufgeführt).
Gibt es KMU-Ausnahmen für Hersteller?
Die materiellen Pflichten gelten unabhängig von der Größe. Die einzige KMU-spezifische Bußgeldentlastung im CRA schützt Kleinst- und kleine Unternehmen vor Geldbußen, die ausschließlich an die 24h-Frühwarnfristen geknüpft sind, und nichts sonst. Verwalter quelloffener Software haben eine weiter gefasste Befreiung von Verwaltungsgeldbußen, sind aber eine andere Kategorie. Behörden müssen bei der Festsetzung von Bußgeldhöhen im Einzelfall auch die Größe des Verursachers (einschließlich KMU und Start-ups) angemessen berücksichtigen; das ist ein Strafzumessungsfaktor über das gesamte Regime, keine Pflichtbefreiung (Artikel 13 und 14 gelten für alle Größen; KMU-Entlastung in Artikel 64(10)(a) für die Fristen nach 14(2)(a) und 14(4)(a); Strafzumessungsfaktor in Artikel 64(5)(c); weiter gefasste OSS-Verwalter-Befreiung in Artikel 3(14) und 64(10)(b)).
Wann gelten die CRA-Pflichten für Hersteller?
Zwei Daten. Die Schwachstellen- und Vorfallsmeldung nach Artikel 14 beginnt am 11. September 2026. Das übrige Herstellerregime (Artikel 13, Anhang I, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, technische Dokumentation) gilt ab dem 11. Dezember 2027. Hersteller, die Produkte auf dem EU-Markt in Verkehr bringen, brauchen bis September 2026 eine einsatzfähige Meldekapazität nach Artikel 14, auch wenn das vollständige Konformitätsprogramm nach Artikel 13 noch im Aufbau ist (Artikel 71 Anwendbarkeit; Meldung nach Artikel 14 ab 11. September 2026; Artikel 13, 30, 31, 32 und Anhang I ab 11. Dezember 2027).
Was ist der Unterstützungszeitraum und wie wird er bestimmt?
Mindestens 5 Jahre, oder die voraussichtliche Nutzungsdauer, falls kürzer. Der Hersteller bestimmt den Zeitraum unter Berücksichtigung angemessener Nutzererwartungen, der Art und des Verwendungszwecks des Produkts, einschlägigen Unionsrechts zu Produktlebensdauern, der Unterstützungszeiträume vergleichbarer Produkte auf dem Markt, der Verfügbarkeit der Betriebsumgebung, der Unterstützungszeiträume integrierter Drittanbieterkomponenten sowie der Leitlinien von ADCO und Kommission. Die berücksichtigten Informationen sind in der technischen Dokumentation festzuhalten. Das Enddatum (mindestens Monat und Jahr) ist zum Kaufzeitpunkt offenzulegen. Einmal veröffentlichte Sicherheitsupdates bleiben mindestens 10 Jahre verfügbar oder über den Rest des Unterstützungszeitraums, je nachdem was länger ist (Artikel 13(8), 13(9) und 13(19)).
Worin liegt der Unterschied zwischen einer "aktiv ausgenutzten Schwachstelle" und einem "schwerwiegenden Sicherheitsvorfall" für Artikel 14?
Unterschiedliche Definitionen, unterschiedliche Fristen für den Abschlussbericht. Eine aktiv ausgenutzte Schwachstelle ist eine Schwachstelle, für die belastbare Belege vorliegen, dass ein böswilliger Akteur sie ohne Erlaubnis des Systemeigentümers ausgenutzt hat. Ein schwerwiegender Sicherheitsvorfall ist einer, der die Fähigkeit des Produkts, Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit sensibler oder wichtiger Daten oder Funktionen zu schützen, beeinträchtigt (oder beeinträchtigen kann), oder der zur Einbringung oder Ausführung von Schadcode im Produkt oder im Netz eines Nutzers geführt hat (oder führen kann). Beide Stränge nutzen den Takt 24h-Frühwarnung + 72h-Meldung, doch die Abschlussberichte unterscheiden sich: Schwachstellen werden 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme gemeldet, Sicherheitsvorfälle innerhalb eines Monats nach der 72h-Meldung (aktiv ausgenutzte Schwachstelle in Artikel 3(42); schwerwiegender Sicherheitsvorfall in Artikel 14(5); Fristen in Artikel 14(2) und (4)).
Wirken sich Open-Source-Komponenten in unserem Produkt auf unsere Herstellerpflichten aus?
Ja. Der Hersteller muss bei der Integration von Komponenten Dritter Sorgfalt walten lassen, einschließlich freier und quelloffener Softwarekomponenten, die nicht im Rahmen einer gewerblichen Tätigkeit auf dem Markt bereitgestellt wurden. Wird eine Schwachstelle in einer Komponente identifiziert, meldet der Hersteller sie der die Komponente pflegenden Person oder Stelle und behebt sie gemäß Anhang I Teil II. Hat der Hersteller eine Korrektur entwickelt, teilt er den einschlägigen Code oder die Dokumentation, soweit angemessen, mit dem Komponenten-Maintainer, in maschinenlesbarem Format soweit anwendbar. Das Produkt benötigt eine SBOM, die mindestens die obersten Abhängigkeiten abdeckt. Verwalter quelloffener Software sind eine eigene Kategorie mit eigenem (leichterem) Regime (Artikel 13(5) bis (7); SBOM in Anhang I Teil II Nummer 1; Verwalter-Kategorie in Artikel 3(14)).