Steht Ihr Name oder Ihre Marke auf einem Produkt mit digitalen Elementen, das auf dem EU-Markt in Verkehr gebracht wird, behandelt Sie die Cyberresilienz-Verordnung in der Regel als Hersteller. Diese Seite erklärt die wichtigsten CRA-Herstellerpflichten: sichere Konzeption, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Pflichten im Unterstützungszeitraum, Schwachstellenbehandlung und verpflichtende Meldungen.
Zusammenfassung
- Sind Sie der Hersteller? Sie sind in der Regel Hersteller, wenn Sie das Produkt entwickeln, fertigen oder beauftragen und es unter Ihrem eigenen Namen oder Ihrer eigenen Marke vermarkten. Entscheidend ist die Marke; der Liefervertrag verschiebt die CRA-Rolle nicht von selbst.
- Was muss vor dem Inverkehrbringen vorliegen? Cybersicherheits-Risikobewertung, Zuordnung zu den grundlegenden Cybersicherheitsanforderungen, technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, Hersteller- und Kontaktangaben sowie Nutzerinformationen.
- Was läuft nach dem Inverkehrbringen weiter? Schwachstellenbehandlung, Sicherheitsupdates, Offenlegung des Unterstützungszeitraums, Korrekturmaßnahmen, Zusammenarbeit mit Marktüberwachungsbehörden und Aufbewahrung von Unterlagen. Sicherheitsupdates bleiben nach Veröffentlichung mindestens 10 Jahre verfügbar oder für den Rest des Unterstützungszeitraums, je nachdem welcher Zeitraum länger ist.
- Was muss gemeldet werden? Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle laufen über die einheitliche Meldeplattform der ENISA in einem Takt aus 24 Stunden, 72 Stunden und Abschlussbericht. Die beiden Stränge haben unterschiedliche Fristen für den Abschlussbericht, ausführlich im Meldeabschnitt unten.
- Ab wann gilt es? Die Schwachstellen- und Vorfallsmeldung beginnt am 11. September 2026; das übrige Herstellerregime folgt. Den vollständigen Meilenstein-Pfad finden Sie im Umsetzungsfahrplan unten.
- Bußgeldrisiko: Verstöße der obersten Stufe können bis zu 15 000 000 EUR oder 2,5 % des gesamten weltweiten Jahresumsatzes erreichen, je nachdem welcher Betrag höher ist. Kleinst- und kleine Unternehmen erhalten eine eng gefasste Entlastung ausschließlich bei den 24-Stunden-Frühwarnfristen. Die Bußgeldleiter Artikel für Artikel finden Sie unter Sanktionen und Durchsetzung.
Vier Zahlen, die das Herstellerrisiko rahmen: 21 grundlegende Anforderungen, aufgeteilt auf Produkt und Prozess, zwei Meldefristen je Strang, Höchststrafe.
Wer ist Hersteller im Sinne des CRA?
Praktisch ist der CRA-Hersteller der Markeninhaber oder Produktanbieter, der das Produkt unter seinem Namen oder seiner Marke in Verkehr bringt. Die Definition erfasst Stellen, die ein Produkt entwickeln, herstellen oder entwerfen, entwickeln oder herstellen lassen und es dann unter eigenem Namen oder eigener Marke vermarkten, entgeltlich, monetarisiert oder kostenlos.
Outsourcing verschiebt die Rolle nicht: Baut ein OEM oder Auftragnehmer das Produkt, Ihr Name steht aber darauf, bleiben Sie Hersteller. Steht das Produkt nicht unter Ihrem Namen oder Ihrer Marke, können Sie stattdessen Einführer, Händler, Bevollmächtigter oder wesentlicher Modifizierender sein. Den vollständigen Rollenentscheidungsbaum finden Sie unter Wer muss den CRA einhalten.
Zentrale Herstellerpflichten
Die Herstellerpflichten gliedern sich in vier Cluster: sichere Konzeption und risikobewertete Produkteigenschaften; Schwachstellenbehandlungs-Prozesse, die während des Unterstützungszeitraums zu betreiben sind; Vor-Markt-Artefakte, die vor Inverkehrbringen vorliegen müssen (technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung); sowie Pflichten nach Inverkehrbringen (Korrekturmaßnahmen, Zusammenarbeit mit der Marktüberwachung, Offenlegung des Unterstützungszeitraums, Mitteilung bei Geschäftsaufgabe). Die folgende Tabelle ordnet jede Pflicht dem konkreten Absatz von Artikel 13 zu, der sie verankert.
| Pflicht | Kernpunkt | Quelle |
|---|---|---|
| Konzeption und Herstellung gemäß wesentlichen Anforderungen | Die grundlegenden Anforderungen sind verbindlich, moduliert durch die Cybersicherheits-Risikobewertung. | Artikel 13 Absatz 1 |
| Cybersicherheits-Risikobewertung | Dokumentiert, über den Unterstützungszeitraum aktualisiert, in der technischen Dokumentation enthalten. | Artikel 13 Absatz 2 |
| Sorgfaltspflicht für Komponenten | Schließt freie und Open-Source-Komponenten ein. Bei der Integration von Komponenten Sorgfalt walten lassen; sobald der Hersteller eine Schwachstelle in einer Komponente kennt, diese dokumentieren, dem Komponenten-Maintainer upstream melden und im eigenen Produkt beheben. | Artikel 13 Absatz 5, Artikel 13 Absatz 6 |
| Unterstützungszeitraum | Mindestens 5 Jahre oder erwartete Nutzungsdauer, sofern kürzer. In der technischen Dokumentation festgehalten. Umfasst Pflichten zur Schwachstellenbehandlung und zur CVD-Richtlinie. | Artikel 13 Absatz 8 |
| Verfügbarkeit von Sicherheitsupdates | Jedes Sicherheitsupdate bleibt nach Veröffentlichung mindestens 10 Jahre verfügbar oder für den Rest des Unterstützungszeitraums, je nachdem welcher Zeitraum länger ist. | Artikel 13 Absatz 9 |
| Wesentlich veränderte Software-Versionen | Die Regel zur Schwachstellenbehebung kann auf die jeweils neueste Version beschränkt werden, sofern Nutzer kostenfreien Zugang dazu haben. Öffentliche Archive nicht mehr unterstützter Versionen sind mit Risikohinweisen zulässig. | Artikel 13 Absatz 10, Artikel 13 Absatz 11 |
| Vor-Markt-Dokumentation + Konformitätsbewertung + CE. Kontrolle der Serienfertigung | Die technische Dokumentation erstellen. Die Konformitätsbewertung durchführen oder veranlassen. EU-Konformitätserklärung erstellen und CE-Kennzeichnung anbringen. Verfahren pflegen, damit die Serienfertigung konform bleibt. | Artikel 13 Absatz 12 |
| Aufbewahrung | Technische Dokumentation und EU-Konformitätserklärung stehen den Marktüberwachungsbehörden mindestens 10 Jahre lang oder über den Unterstützungszeitraum zur Verfügung, je nachdem welcher Zeitraum länger ist. | Artikel 13 Absatz 13 |
| Produktidentifikation + Herstellerangaben | Typ-, Chargen- oder Seriennummer. Name, Handelsname oder Marke des Herstellers, Postanschrift, digitaler Kontakt, ebenfalls in den Begleitinformationen zum Produkt wiedergegeben. | Artikel 13 Absatz 15, Artikel 13 Absatz 16 |
| Einheitliche Anlaufstelle | Lässt Nutzern die Wahl ihres bevorzugten Kommunikationsmittels. Darf nicht auf automatisierte Werkzeuge beschränkt sein. | Artikel 13 Absatz 17 |
| Begleitinformationen für Nutzer | Informationen und Anleitungen in einer für Nutzer und Marktüberwachung leicht verständlichen Sprache, online zugänglich für denselben Aufbewahrungszeitraum. | Artikel 13 Absatz 18 |
| Enddatum des Unterstützungszeitraums | Zum Kaufzeitpunkt anzugeben, mindestens Monat und Jahr. End-of-Support-Hinweis für Nutzer anzeigen, soweit technisch möglich. | Artikel 13 Absatz 19 |
| Bereitstellung der EU-Konformitätserklärung | Entweder vollständige Konformitätserklärung oder vereinfachte Konformitätserklärung mit der genauen Internetadresse, unter der die vollständige Erklärung abrufbar ist. | Artikel 13 Absatz 20 |
| Korrekturmaßnahmen nach Inverkehrbringen + Zusammenarbeit | Bei Kenntnis einer Nichtkonformität zurücknehmen, zurückrufen oder wieder in Konformität bringen. Auf begründetes Verlangen der Marktüberwachung alle erforderlichen Informationen bereitstellen. | Artikel 13 Absatz 21, Artikel 13 Absatz 22 |
| Einstellung der Geschäftstätigkeit | Marktüberwachung und mit allen verfügbaren Mitteln auch die Nutzer vor Wirksamwerden der Einstellung informieren. | Artikel 13 Absatz 23 |
| SBOM-Format + Abhängigkeitsbewertungen | Die Kommission kann das SBOM-Format durch Durchführungsrechtsakte festlegen. ADCO kann unionsweite Abhängigkeitsbewertungen durchführen. | Artikel 13 Absatz 24, Artikel 13 Absatz 25 |
Grundlegende Cybersicherheitsanforderungen
Hersteller müssen zwei Gruppen grundlegender Cybersicherheitsanforderungen erfüllen: Produktsicherheitsanforderungen und Anforderungen zur Schwachstellenbehandlung. Die erste Gruppe betrifft die Konzeption, Entwicklung und Herstellung des Produkts. Die zweite betrifft die Prozesse, die der Hersteller während des Unterstützungszeitraums betreiben muss.
Cybersicherheits-Risikobewertung
Hersteller führen eine Cybersicherheits-Risikobewertung durch, um zu ermitteln, welche grundlegenden Cybersicherheitsanforderungen ihr konkretes Produkt binden. Die Bewertung wird einmal dokumentiert und über den Unterstützungszeitraum aktuell gehalten. Sie liegt innerhalb der technischen Dokumentation, und wo eine Anforderung nicht anwendbar ist, trägt die Bewertung die schriftliche Begründung.
Produktsicherheitsanforderungen
Vor dem Inverkehrbringen muss das Produkt so konzipiert, entwickelt und hergestellt sein, dass es ein angemessenes Cybersicherheitsniveau auf Grundlage des Risikos bietet. Die Cybersicherheits-Risikobewertung des Herstellers bestimmt, welche Kontrollen aus der nachfolgenden Liste gelten, und wo eine Kontrolle nicht anwendbar ist, muss die technische Dokumentation eine klare Begründung enthalten.
- (a) Bereitstellung ohne bekannte ausnutzbare Schwachstellen
- (b) Sichere Standardkonfiguration; Rücksetzung in den Auslieferungszustand verfügbar (bei maßgeschneiderten Produkten für gewerbliche Nutzer können andere Vereinbarungen getroffen werden)
- (c) Schwachstellen durch Sicherheitsupdates behebbar; automatische Updates werden standardmäßig in einem angemessenen Zeitrahmen installiert, mit Opt-out- und Aufschiebe-Option, soweit anwendbar
- (d) Schutz vor unbefugtem Zugriff (Authentifizierung, Identitäts- oder Zugriffsmanagement, Berichterstattung über möglichen unbefugten Zugriff)
- (e) Vertraulichkeit gespeicherter, übertragener und verarbeiteter Daten, einschließlich Verschlüsselung im Ruhezustand oder bei der Übertragung mit Mechanismen nach dem Stand der Technik
- (f) Integritätsschutz von Daten, Befehlen, Programmen und Konfigurationen; Berichterstattung über Beschädigungen
- (g) Datenminimierung: nur Daten verarbeiten, die angemessen, relevant und auf den vorgesehenen Zweck beschränkt sind
- (h) Verfügbarkeit wesentlicher und grundlegender Funktionen, auch nach einem Sicherheitsvorfall; Widerstandsfähigkeit gegen Denial-of-Service
- (i) Negative Auswirkungen auf die Verfügbarkeit von Diensten anderer Geräte oder Netze minimieren
- (j) Angriffsflächen einschließlich externer Schnittstellen begrenzen
- (k) Folgen von Sicherheitsvorfällen durch Mechanismen und Techniken zur Minderung von Ausnutzung verringern
- (l) Sicherheitsinformationen durch Aufzeichnung und Überwachung relevanter interner Aktivität bereitstellen, mit Opt-out für Nutzer
- (m) Nutzern ermöglichen, alle Daten und Einstellungen sicher und einfach zu entfernen; sichere Datenübertragung gewährleisten, soweit anwendbar
Der Vorbehalt „soweit anwendbar" bei mehreren der genannten Punkte richtet sich nach der Risikobewertung, nicht nach der Präferenz des Herstellers.
Anforderungen zur Schwachstellenbehandlung
Getrennt von den Produktsicherheitskontrollen muss der Hersteller während des Unterstützungszeitraums Prozesse zur Schwachstellenbehandlung betreiben: Komponentendokumentation, SBOM, Tests, Behebung, koordinierte Schwachstellenoffenlegung, Meldekanäle, sichere Update-Verteilung und Hinweise an Nutzer.
- (1) Schwachstellen und Komponenten identifizieren und dokumentieren, einschließlich einer Software-Stückliste (SBOM) in einem weit verbreiteten, maschinenlesbaren Format, die mindestens die obersten Abhängigkeiten abdeckt
- (2) Schwachstellen unverzüglich durch Sicherheitsupdates beheben. Soweit technisch möglich, Sicherheitsupdates von Funktionsupdates trennen
- (3) Wirksame und regelmäßige Tests und Überprüfungen der Produktsicherheit durchführen
- (4) Sobald ein Sicherheitsupdate verfügbar ist, Informationen zu behobenen Schwachstellen teilen und öffentlich offenlegen (Beschreibung, betroffene Produkte, Auswirkungen, Schweregrad, Behebungshinweise). Die öffentliche Offenlegung kann in hinreichend begründeten Fällen verzögert werden, bis Nutzer den Patch anwenden können
- (5) Eine Richtlinie zur koordinierten Schwachstellenoffenlegung (CVD) einführen und durchsetzen
- (6) Den Austausch von Informationen über potenzielle Schwachstellen (auch in Komponenten Dritter) durch Bereitstellung einer Kontaktadresse für Schwachstellenmeldungen erleichtern
- (7) Mechanismen zur sicheren Verteilung von Updates, damit Schwachstellen rechtzeitig und, soweit anwendbar, automatisch behoben werden
- (8) Sicherheitsupdates unverzüglich verbreiten. Kostenlos, sofern bei maßgeschneiderten Produkten für gewerbliche Nutzer nichts anderes vereinbart wurde. Mit Hinweistexten an die Nutzer
Die genannten Anforderungen zur Schwachstellenbehandlung gelten vom Inverkehrbringen bis zum Ende des Unterstützungszeitraums. Sicherheitsupdates bleiben nach Veröffentlichung mindestens 10 Jahre verfügbar oder für den Rest des Unterstützungszeitraums, je nachdem welcher Zeitraum länger ist.
Sorgfaltspflicht für Komponenten
Die Sorgfaltspflicht für Komponenten gilt unabhängig davon, ob die Komponente kommerziell oder frei und quelloffen ist. Der Hersteller dokumentiert die Komponentenschwachstellen, von denen er Kenntnis erlangt, behebt sie im eigenen Produkt und teilt einschlägige Informationen mit dem Komponenten-Maintainer (gegebenenfalls einschließlich des einschlägigen Codes oder der Dokumentation in maschinenlesbarem Format). Die Dokumentationsfläche sind die SBOM und die Datei zur technischen Dokumentation.
Vor-Markt-Artefakte: was vor Inverkehrbringen vorliegen muss
Vor dem Inverkehrbringen müssen vier Artefakte vorliegen. Jedes ist in einem konkreten CRA-Artikel verankert und führt zu einem konkreten Konformitätsakt: die Datei, die der Hersteller vorhält, die Bewertung, die er durchführt, die Erklärung, die er unterzeichnet, die Kennzeichnung, die er anbringt.
| Artefakt | Was es enthält oder verlangt |
|---|---|
| Technische Dokumentation | Produktbeschreibung, Konzeptions- und Entwicklungsangaben, Cybersicherheits-Risikobewertung, angewandte harmonisierte Normen oder gemeinsame Spezifikationen, Weg und Ergebnis der Konformitätsbewertung, EU-Konformitätserklärung und Schwachstellenbehandlungsprozess. Aufbewahrung mindestens 10 Jahre oder über den Unterstützungszeitraum, je nachdem welcher Zeitraum länger ist. |
| Konformitätsbewertung | Modul A Selbstbewertung für Produkte der Standardklasse und für Wichtige Klasse I, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Cybersicherheits-Zertifizierungsschema vollständig angewandt werden. Wichtige Klasse II nutzt die Routen über eine notifizierte Stelle (Module B+C oder H) oder ein europäisches Cybersicherheits-Zertifizierungsschema mit Vertrauensniveau mindestens „erheblich". Kritische Produkte nutzen ein europäisches Cybersicherheits-Zertifizierungsschema, wenn dieses anwendbar ist. Andernfalls nutzen sie die Routen über eine notifizierte Stelle. |
| EU-Konformitätserklärung | Entweder die vollständige Konformitätserklärung mit dem Produkt geliefert oder eine vereinfachte Konformitätserklärung mit der genauen Internetadresse der vollständigen Erklärung. Die Inhalte der Konformitätserklärung: Name und Anschrift des Herstellers, Produktidentifikation, Konformitätsaussage zu den grundlegenden Cybersicherheitsanforderungen, angewandte Normen mit Referenznummern und Datum, Name und Nummer der notifizierten Stelle, soweit anwendbar, Bescheinigungs-Referenz, Datum, Unterschrift, Name und Funktion des Unterzeichners. |
| CE-Kennzeichnung | Sichtbar, lesbar und dauerhaft am Produkt angebracht; aufgrund der Art des Produkts mit digitalen Elementen kann die Höhe des daran angebrachten CE-Kennzeichens kleiner als 5 mm sein, sofern es weiterhin sichtbar und lesbar ist. Wo die Art des Produkts dies nicht zulässt, an der Verpackung und in der EU-Konformitätserklärung. Ist eine notifizierte Stelle an der Konformitätsbewertung nach Modul H (umfassende Qualitätssicherung) beteiligt, folgt der CE-Kennzeichnung deren vierstellige Kennnummer. |
Die Wahl des Konformitätsbewertungsmoduls ist die folgenreichste Entscheidung in diesem Abschnitt. Die Tabelle und das Entscheidungsdiagramm unten geben die Details Zeile für Zeile.
| Modul | Wann |
|---|---|
| A Interne Fertigungskontrolle | Produkte der Standardklasse; Wichtige Klasse I, sofern harmonisierte Normen, gemeinsame Spezifikationen oder ein europäisches Cybersicherheits-Zertifizierungsschema mit Vertrauensniveau mindestens „erheblich" vorhanden sind und vollständig angewandt werden |
| B + C EU-Baumusterprüfung + Fertigungskontrolle | Route für Wichtige Klasse II. Klasse I, sofern keine einschlägige harmonisierte Norm, gemeinsame Spezifikation oder europäisches Cybersicherheits-Zertifizierungsschema angewandt wird. Kritische Produkte, wenn sie über eine Bewertung durch eine notifizierte Stelle laufen. |
| H Umfassende Qualitätssicherung | Alternative für Wichtige Produkte. Kritische Produkte, wenn sie über eine Bewertung durch eine notifizierte Stelle laufen. |
Siehe den Leitfaden zur technischen Dokumentation, den Leitfaden zur Konformitätsbewertung, den Leitfaden zur Produktklassifizierung und den Leitfaden zur Konformitätserklärung für die Details jedes Artefakts.
Schwachstellen und schwerwiegende Sicherheitsvorfälle melden
Hersteller haben zwei Meldeströme. Beide laufen gleichzeitig an das als Koordinator benannte CSIRT und an ENISA über die einheitliche Meldeplattform. Die beiden Stränge teilen den Takt aus 24 Stunden und 72 Stunden, haben aber unterschiedliche Fristen für den Abschlussbericht, ein häufig missverstandener Punkt.
Die 24-Stunden-Frühwarnpflicht gilt nur für aktiv ausgenutzte Schwachstellen. Der schwere Vorfall hat einen eigenen Auslösetatbestand und eine eigene 24h/72h/1-Monat-Kadenz.
| Strang | 24-Stunden-Frühwarnung | 72-Stunden-Meldung | Abschlussbericht |
|---|---|---|---|
| Aktiv ausgenutzte Schwachstelle | Innerhalb von 24 Stunden ab Kenntnis | Innerhalb von 72 Stunden ab Kenntnis | 14 Tage nach Verfügbarkeit einer Korrektur- oder Minderungsmaßnahme |
| Schwerer Vorfall | Innerhalb von 24 Stunden ab Kenntnis | Innerhalb von 72 Stunden ab Kenntnis | Einen Monat nach der 72-Stunden-Meldung |
Bei Schwachstellen startet die Uhr für den Abschlussbericht, wenn der Patch bereit ist, nicht zum Zeitpunkt der Kenntniserlangung; die Lücke kann Wochen oder Monate betragen. Bei schwerwiegenden Sicherheitsvorfällen ist die Uhr für den Abschlussbericht auf die 72-Stunden-Meldung fixiert, in der Praxis also Tag 33 ab Kenntnis. Den operativen Ablauf, die Routing-Regeln zum Koordinator-CSIRT (einschließlich der Auffangkaskade für Nicht-EU-Hersteller), die Pflicht zur Nutzerinformation sowie die Mechanik der einheitlichen Meldeplattform finden Sie im Cluster-Leitfaden zur Schwachstellenmeldung.
Unterstützungszeitraum und Pflichten nach Inverkehrbringen
Die Eckzahlen (mindestens 5 Jahre Unterstützungszeitraum, 10 Jahre Verfügbarkeit von Sicherheitsupdates) erscheinen in der Pflicht-Cluster-Tabelle oben. Festlegungskriterien, Offenlegung des Enddatums an der Verkaufsstelle, die End-of-Support-Pflicht sowie die Regelungen zu wesentlich veränderten Software-Versionen sind im Cluster-Leitfaden zum Unterstützungszeitraum abgedeckt.
Zwei Pflichten des Herstellers nach Inverkehrbringen liegen neben dem Regime des Unterstützungszeitraums und haben keine eigene Cluster-Seite. Bei Kenntnis, dass das Produkt nicht mehr den grundlegenden Cybersicherheitsanforderungen entspricht, ergreift der Hersteller unverzüglich Korrekturmaßnahmen, nimmt das Produkt zurück oder ruft es zurück, soweit angemessen, und stellt auf begründetes Verlangen einer Marktüberwachungsbehörde alle Informationen bereit, die zum Nachweis der Konformität erforderlich sind, in einer für die Behörde verständlichen Sprache. Ein Hersteller, der seine Geschäftstätigkeit einstellt, informiert die zuständigen Marktüberwachungsbehörden vor Wirksamwerden der Einstellung und informiert die Nutzer mit allen verfügbaren Mitteln und soweit möglich.
Hersteller oder wesentlicher Modifizierender?
Eine wesentliche Änderung ist ein anderer Weg in herstellerseitige Pflichten. Sie greift, wenn ein Dritter ein Produkt nach Inverkehrbringen verändert und das veränderte Produkt auf dem Markt bereitstellt. Artikel 22 lautet:
„Eine natürliche oder juristische Person, bei der es sich nicht um den Hersteller, Einführer oder Händler handelt und die eine wesentliche Änderung an dem Produkt mit digitalen Elementen vornimmt und dieses Produkt auf dem Markt bereitstellt, gilt für die Zwecke dieser Verordnung als Hersteller."
Das Regime der wesentlichen Änderung schließt Hersteller, Einführer und Händler ausdrücklich aus. Es gilt für Dritte außerhalb der Rollenkette: Systemintegratoren, Mehrwertanbieter, Unternehmens-IT-Abteilungen, die Anbieterprodukte vor Weiterverteilung verändern. Sein Anwendungsbereich ist scharf umrissen: Der Modifizierende gilt als Hersteller für den Teil des Produkts, der von der wesentlichen Änderung betroffen ist, oder für das gesamte Produkt, wenn die Änderung sich auf die Cybersicherheit des Produkts insgesamt auswirkt. Eine „wesentliche Änderung" ist eine Änderung nach Inverkehrbringen, die die Konformität mit den grundlegenden Cybersicherheitsanforderungen beeinflusst oder den Verwendungszweck verändert, für den das Produkt bewertet wurde.
| Fall | Einstufung |
|---|---|
| Eigene Entwicklung, eigene Marke | Hersteller |
| Eigene Marke, Dritter ergänzt nach Inverkehrbringen Firmware-Funktionen, die die Angriffsfläche verändern | Ursprünglicher Hersteller bleibt. Der Dritte ist als wesentlicher Modifizierender ebenfalls Hersteller für den veränderten Teil. |
| White-Label-Rebranding eines Nicht-EU-Produkts durch ein EU-Unternehmen | Das EU-Unternehmen ist Hersteller über die Rebrand-Brücke für Einführer und Händler. Dies ist kein Fall eines dritten wesentlichen Modifizierenden. Wenn Sie als EU-Einführer begonnen haben, finden Sie im Einführer-Cluster-Leitfaden die Änderungen beim Übergang in das Herstellerregime. |
| EU-Integrator bündelt kompatible Produkte, ohne deren Innenleben zu verändern | Händler, kein wesentlicher Modifizierender. Siehe den Händler-Cluster-Leitfaden für das Händlerpflichtenpaket. |
| Unternehmens-IT installiert ein eigenes Firmware-Build auf Anbietergeräten und verkauft weiter | Wesentlicher Modifizierender. Gilt als Hersteller des veränderten Produkts. |
Die praktische Folge, wenn das Regime der wesentlichen Änderung greift: volle Herstellerpflichten für den veränderten Teil oder das gesamte Produkt, einschließlich neuer technischer Akte, neuer Konformitätserklärung, neuer CE-Kennzeichnung in Verantwortung des Modifizierenden sowie des oben dargestellten Meldetakts.
Umsetzungsfahrplan
- Vergangener Meilenstein
- Bevorstehende Durchsetzung
- Endtermin
- Ökosystem-Meilenstein
Häufige Fallstricke
| Behauptung | Warum sie scheitert |
|---|---|
| „Wir sind nicht wirklich Hersteller; ein OEM in einem anderen Land baut es." | Der Markeninhaber ist der Hersteller, unabhängig davon, wer das Produkt baut. Auslagerung der Fertigung verlagert die Pflicht nicht. |
| „Unsere Sicherheitsrichtlinie reicht aus; wir brauchen keine Bewertung der wesentlichen Anforderungen." | Die Cybersicherheits-Risikobewertung ist verpflichtend und muss innerhalb der technischen Dokumentation liegen. |
| „Unsere Kunden fragen nicht nach einer SBOM, also erstellen wir keine." | Eine SBOM in einem weit verbreiteten, maschinenlesbaren Format ist erforderlich und deckt mindestens die obersten Abhängigkeiten ab. Das Kundeninteresse ist unerheblich. |
| „Unser Chatbot ist die einheitliche Anlaufstelle." | Nutzer müssen ihr bevorzugtes Kommunikationsmittel wählen können. Der Kanal darf nicht auf automatisierte Werkzeuge beschränkt sein. |
| „Fünf Jahre ab Produktstart sind genug für den Unterstützungszeitraum." | Der Unterstützungszeitraum läuft ab dem Inverkehrbringen jeder Einheit, nicht ab Produktstart. Im 4. Jahr in Verkehr gebrachte Einheiten tragen Unterstützungspflichten bis ins Jahr 9. |
| „Die 14-Tage-Frist für den Abschlussbericht gilt auch für Sicherheitsvorfälle." | Nein. Schwachstellen erhalten 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme; schwerwiegende Sicherheitsvorfälle erhalten einen Monat nach der 72-Stunden-Meldung. |
| „Unser SLA deckt Schwachstellen bereits ab; wir müssen nicht an ENISA melden." | Die Meldung erfolgt gleichzeitig an das Koordinator-CSIRT und an ENISA über die einheitliche Meldeplattform. Kunden-SLAs sind kein Ersatz. |
| „Wir haben eine Versicherung gegen Sicherheitsvorfälle." | Verwaltungsgeldbußen sind in den meisten Mitgliedstaaten nicht versicherbar. Risikotransfer ersetzt keine Konformität. |
| „Die Meldepflicht gilt erst, wenn wir eine EU-Niederlassung haben." | Nicht-EU-Hersteller werden über eine CSIRT-Kaskade auf Grundlage des Standorts des Bevollmächtigten, des Einführers, des Händlers oder der Nutzer geleitet. Die Meldepflicht beginnt unabhängig davon am 11. September 2026. |
| „Wir verzögern die öffentliche Offenlegung jeder Schwachstelle bis zum nächsten Quartalsrelease." | Eine Verzögerung ist nur in hinreichend begründeten Fällen zulässig, bis Nutzer den Patch anwenden können. Routinemäßige Quartalsbündelung ist nicht ausreichend. |
CRA nach EU-Land
Die oben genannten Pflichten gelten in jedem Mitgliedstaat gleich. Pro Land ändert sich die institutionelle Kette: welche Behörde durchsetzt, welches CSIRT Ihre Meldungen entgegennimmt und in welcher Sprache Ihre nutzerseitige Dokumentation ausgeliefert sein muss. Mehrere nationale Benennungen werden noch finalisiert, daher kennzeichnet jeder Kurzüberblick, was bestätigt ist und was noch erwartet wird.
- Frankreich: ANSSI als notifizierende Behörde, ANFR für die Marktüberwachung, Meldung über CERT-FR.
- Deutschland: BSI als kombinierte Marktüberwachungs- und notifizierende Behörde, Meldung über CERT-Bund.
- Italien: ACN als einzige nationale Behörde, mit Akkreditierung durch ACCREDIA.
- Niederlande: Meldung über NCSC und vorgesehene Marktüberwachung durch RDI.
- Polen: Weiterleitung über CSIRT NASK und Akkreditierung durch PCA.
- Spanien: Meldung über INCIBE-CERT und die Aufteilung zwischen CCN und ENAC bei den notifizierten Stellen.
Häufig gestellte Fragen
Was sind die wichtigsten Pflichten eines Herstellers nach dem CRA?
Vier Pflichtcluster. Die Schwachstellen- und Vorfallsmeldung beginnt am 11. September 2026; das vollständige Regime gilt ab dem 11. Dezember 2027.
- Vor dem Inverkehrbringen. Risikobewertung, Konzeption nach den grundlegenden Cybersicherheitsanforderungen, technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung.
- Im gesamten Unterstützungszeitraum. Schwachstellenbehandlung, SBOM, Behebung, koordinierte Schwachstellenoffenlegung, sichere Updates. Mindestens fünf Jahre je Einheit.
- Einheitliche Anlaufstelle. Nicht ausschließlich automatisierter Kanal, von Nutzern erreichbar.
- Schwachstellen- und Vorfallsmeldung. Takt aus 24 Stunden, 72 Stunden und Abschlussbericht an das Koordinator-CSIRT und ENISA über die einheitliche Meldeplattform.
Was ist ein Hersteller im Sinne des CRA?
Der Markeninhaber. Hersteller ist die Stelle, die ein Produkt entwickelt oder in Auftrag gibt (auch über eine ausgelagerte Fabrik) und es dann unter eigenem Namen oder eigener Marke vermarktet, entgeltlich oder kostenlos. Über die Hersteller-Eigenschaft entscheidet die Marke auf dem Produkt, nicht der Standort der Fertigungslinie. Verwalter quelloffener Software sind eine eigene, leichtere Kategorie. Reiner Verbraucher-Wiederverkauf ohne eigene Marke ist Vertrieb, keine Herstellung.
Bin ich Hersteller oder Einführer?
Es kommt darauf an, wessen Marke auf dem Produkt steht.
- Ihr eigener Name oder Ihre eigene Marke auf dem Produkt. Herstellerweg, unabhängig davon, wo das Produkt gebaut wird. Vollständiges Pflichtenpaket nach dem Herstellerregime.
- Die Marke einer anderen Person (außerhalb der EU) auf einem Produkt, das Sie auf dem Unionsmarkt in Verkehr bringen. Einführerweg. Nur das Prüfregime.
Hersteller vs. Bevollmächtigter: worin liegt der Unterschied?
Der Bevollmächtigte ist eine Dokumenten-Stellvertretung, kein Ersatz-Hersteller. Die Bestellung ist optional.
- Was der Bevollmächtigte per schriftlichem Mandat tut. Die EU-Konformitätserklärung und die technische Dokumentation für die Marktüberwachung bereithalten, begründete Anfragen beantworten und bei Durchsetzungsmaßnahmen kooperieren.
- Was beim Hersteller verbleibt. Entwicklung, Risikobewertung, Schwachstellenbehandlung, Konformitätsbewertung, Pflichten zur Serienfertigung und das Inverkehrbringen des Produkts.
Gibt es KMU-Ausnahmen für Hersteller?
Die materiellen Pflichten gelten unabhängig von der Größe. Keine Ausnahme von den Pflichten selbst.
- KMU-Entlastung, eng gefasst. Kleinst- und kleine Unternehmen sind von Geldbußen befreit, die ausschließlich an die 24-Stunden-Frühwarnfristen geknüpft sind, und nichts sonst.
- Strafzumessungsfaktor. Behörden müssen bei der Festsetzung der Bußgeldhöhe die Größe des Verursachers (einschließlich KMU und Start-ups) angemessen berücksichtigen.
- Kategorie OSS-Verwalter, eigene Regelung. Verwalter quelloffener Software haben eine weiter gefasste Befreiung von Verwaltungsgeldbußen, sind aber keine KMU.
Wann gelten die CRA-Pflichten für Hersteller?
Zwei gestaffelte Daten.
- Schwachstellen- und Vorfallsmeldung. Beginnt am 11. September 2026. Hersteller, die Produkte auf dem EU-Markt in Verkehr bringen, brauchen bis zu diesem Datum eine einsatzfähige Kapazität für 24-Stunden-, 72-Stunden- und Abschlussberichte, auch wenn das vollständige Konformitätsprogramm noch im Aufbau ist.
- Das übrige Herstellerregime. Gilt ab dem 11. Dezember 2027. Umfasst das vollständige Herstellerpflichtenpaket: grundlegende Cybersicherheitsanforderungen, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung und technische Dokumentation.
Was ist der Unterstützungszeitraum und wie wird er bestimmt?
Mindestens fünf Jahre ab dem Inverkehrbringen jeder Einheit, oder die voraussichtliche Nutzungsdauer, falls kürzer.
- Wie der Hersteller den Zeitraum bestimmt. Berücksichtigt werden angemessene Nutzererwartungen, Art und Verwendungszweck des Produkts, Unionsrecht zu Produktlebensdauern, Unterstützungszeiträume vergleichbarer Produkte, Verfügbarkeit der Betriebsumgebung, Unterstützungszeiträume integrierter Drittanbieterkomponenten, ADCO-Leitlinien sowie Leitlinien der Kommission. Die Analyse geht in die technische Dokumentation.
- Offenlegung an der Verkaufsstelle. Enddatum mindestens in Monats- und Jahresangabe.
- Verfügbarkeit von Sicherheitsupdates nach Ablauf des Zeitraums. Jedes ausgegebene Sicherheitsupdate bleibt nach Veröffentlichung mindestens 10 Jahre verfügbar oder über den Rest des Unterstützungszeitraums, falls länger.
Was ist der Unterschied zwischen einer „aktiv ausgenutzten Schwachstelle" und einem „schwerwiegenden Sicherheitsvorfall"?
Unterschiedliche Definitionen, unterschiedliche Fristen für den Abschlussbericht. Beide Stränge teilen den Takt aus 24-Stunden-Frühwarnung und 72-Stunden-Meldung.
- Aktiv ausgenutzte Schwachstelle. Eine Schwachstelle, für die belastbare Belege vorliegen, dass ein böswilliger Akteur sie ohne Erlaubnis des Systemeigentümers ausgenutzt hat. Abschlussbericht: 14 Tage nach Verfügbarkeit einer Korrektur- oder Minderungsmaßnahme.
- Schwerwiegender Sicherheitsvorfall. Entweder (a) beeinträchtigt oder kann die Fähigkeit des Produkts beeinträchtigen, Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit sensibler oder wichtiger Daten oder Funktionen zu schützen, ODER (b) hat zur Einbringung oder Ausführung von Schadcode im Produkt oder im Netz eines Nutzers geführt oder kann dazu führen. Abschlussbericht: einen Monat nach der 72-Stunden-Meldung.
Wirken sich Open-Source-Komponenten in unserem Produkt auf unsere Herstellerpflichten aus?
Ja. Der Hersteller wendet Sorgfalt auf jede integrierte Drittanbieterkomponente an, einschließlich nicht-kommerzieller Open-Source-Komponenten.
- Schwachstelle in einer Komponente. Der die Komponente pflegenden Stelle melden und im eigenen Produkt beheben.
- Korrekturen vorgelagert teilen. Hat der Hersteller eine Korrektur entwickelt, teilt er den einschlägigen Code oder die Dokumentation, soweit angemessen, mit dem Komponenten-Maintainer, in maschinenlesbarem Format soweit anwendbar.
- SBOM-Abdeckung. Mindestens die obersten Abhängigkeiten.
- OSS-Verwalter sind eine eigene Kategorie. Leichteres Regime, nicht das Herstellerregime.