Wenn Ihre EU-Einheit als erste ein nicht-EU-gebrandetes Produkt mit digitalen Elementen auf dem EU-Markt in Verkehr bringt, behandelt die Cyberresilienz-Verordnung Sie in der Regel als Importeur. Importeure führen nicht das vollständige Konformitätsprogramm des Herstellers durch, müssen es aber vor dem Inverkehrbringen verifizieren, nicht konforme Produkte ablehnen, sich auf dem Produkt oder Begleitmaterial ausweisen, mit der Marktüberwachung zusammenarbeiten und die EU-Konformitätserklärung aufbewahren.
Zusammenfassung
- Sind Sie der Importeur? Sie sind in der Regel Importeur, wenn Ihre EU-Einheit als erste ein nicht-EU-gebrandetes digitales Produkt auf dem Unionsmarkt in Verkehr bringt.
- Was muss vor dem Inverkehrbringen geprüft werden? Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung, EU-Konformitätserklärung, Nutzerinformationen, Produkt-ID, Hersteller-Kontaktdaten und Enddatum des Supportzeitraums.
- Wann müssen Sie ablehnen? Bringen Sie das Produkt nicht in Verkehr, wenn das Produkt oder die Schwachstellenbehandlungsprozesse des Herstellers nicht konform sind. Informieren Sie Hersteller und Marktüberwachung, wenn ein erhebliches Cybersicherheitsrisiko besteht.
- Was läuft nach dem Inverkehrbringen weiter? Korrekturmaßnahmen, Rücknahme oder Rückruf, Schwachstelleninformation an den Hersteller, Zusammenarbeit mit der Marktüberwachung und Information, wenn der Hersteller seine Tätigkeit einstellt.
- Was muss aufbewahrt werden? Bewahren Sie die EU-Konformitätserklärung 10 Jahre oder für den Supportzeitraum auf, je nachdem was länger ist, und stellen Sie sicher, dass die technische Dokumentation auf Anfrage vorgelegt werden kann.
- Ab wann gilt es? Die wichtigsten Importeurspflichten gelten ab dem 11. Dezember 2027.
Vier Prüfungen, eine Aufbewahrung von mehr als zehn Jahren und zwei Bußgeldstufen, abhängig davon, ob Sie tatsächlich der Importeur sind.
Wer ist Importeur unter dem CRA?
Praktisch ist der CRA-Importeur die in der EU ansässige Einheit, die ein nicht-EU-gebrandetes Produkt mit digitalen Elementen erstmals auf dem Unionsmarkt in Verkehr bringt. Der dreiteilige Test lautet: Ihre Einheit ist in der Union ansässig, Ihre Einheit stellt das Produkt erstmals auf dem Unionsmarkt bereit, und das Produkt trägt den Namen oder die Marke einer außerhalb der Union ansässigen Person.
Trägt das Produkt Ihren eigenen Namen oder Ihre eigene Marke, handeln Sie für dieses Produkt nicht als Importeur; Sie sind im Herstellerbereich. Hat eine andere EU-Einheit das Produkt bereits in Verkehr gebracht, sind Sie in der Regel Händler. Hat der Nicht-EU-Hersteller Sie nur durch schriftliches Mandat bestellt und bringen Sie das Produkt nicht selbst in Verkehr, sind Sie Bevollmächtigter. Für den vollständigen Rollenentscheidungsbaum siehe wer den CRA einhalten muss.
Zentrale Importeurspflichten
Importeurspflichten lassen sich in vier Gruppen lesen: was vor dem Inverkehrbringen geprüft werden muss, wann der Importeur stoppen muss, welche Importeur-Identifikation erscheinen muss und was nach dem Inverkehrbringen aufzubewahren oder bereitzustellen ist.
| Pflicht | Kernpunkt |
|---|---|
| Allgemeine Konformität | Nur Produkte in Verkehr bringen, deren Cybersicherheitsanforderungen und Herstellerprozesse CRA-bereit sind. |
| Vorab-Verifizierung | Konformitätsbewertung + technische Dokumentation + CE/DoC/Nutzerinformationen + Produkt-ID, Herstellerangaben und Support-Enddatum. Der Importeur muss Unterlagen vorlegen können, die die Erfüllung belegen. |
| Ablehnungspflicht | Nicht in Verkehr bringen, wenn Produkt oder Prozesse nicht konform sind. Hersteller und Marktüberwachung bei erheblichem Cybersicherheitsrisiko informieren. |
| Importeur-Identifikation | Eigener Name, Handelsname oder Marke, Postanschrift, digitale Kontaktmöglichkeit auf Produkt, Verpackung oder begleitendem Dokument. |
| Korrekturmaßnahmen nach Inverkehrbringen | Rücknahme oder Rückruf nach Bedarf. Schwachstellenmeldung: Hersteller unverzüglich informieren; Marktüberwachung jedes Mitgliedstaats der Bereitstellung bei erheblichem Cybersicherheitsrisiko. |
| Aufbewahrung | DoC den Behörden für 10 Jahre oder den Supportzeitraum, je nachdem was länger ist, zur Verfügung halten. Sicherstellen, dass die technische Dokumentation auf Anfrage vorgelegt werden kann. |
| Zusammenarbeit | Auf begründetes Verlangen der Marktüberwachung alle Informationen und Unterlagen in einer für die Behörde verständlichen Sprache bereitstellen. |
| Hersteller hat Betrieb eingestellt | Marktüberwachungsbehörden und mit allen verfügbaren Mitteln die Nutzer informieren. |
Keine dieser Pflichten enthält eine KMU-Schwelle. Die Erleichterungen für kleine Unternehmen sind eng gefasst; sie heben Importeurspflichten zu Prüfung, Ablehnung, Identifikation, Aufbewahrung oder Zusammenarbeit nicht auf.
Importeur vs. Händler
Der rechtliche Auslöser ist, welche Partei das Produkt erstmals auf dem Unionsmarkt in Verkehr bringt.
| Aspekt | Importeur | Händler |
|---|---|---|
| Position | In der Union ansässig; bringt ein Produkt mit dem Namen einer Nicht-EU-Person in Verkehr | Jede Partei, die das Produkt nach dem Importeur bereitstellt, ohne seine Eigenschaften zu beeinflussen |
| Verifizierung | Vollständige Vorab-Prüfung einschließlich Typ-/Chargen-ID, Herstellerkontakt und Support-Enddatum | Prüft CE-Kennzeichnung sowie Herstellerangaben, Supportzeitraum und DoC-Nachweise auf Vorhandensein |
| Dokumentation | Muss Unterlagen vorlegen können, die die Konformität belegen; stellt sicher, dass die technische Dokumentation auf Anfrage verfügbar gemacht werden kann | Arbeitet mit Behörden zusammen; präsenzbasierte Prüfung |
| Ablehnung | Stoppen und informieren, wenn Produkt oder Prozesse nicht konform sind | Stoppen und informieren, wenn CE, DoC oder erforderliche Nachweise fehlen |
| Schwachstellenkenntnis | Hersteller unverzüglich informieren; Marktüberwachung bei erheblichem Risiko in jedem belieferten Mitgliedstaat informieren | Gleiches Thema im eigenen Umfang; Weiterleitung über den Hersteller |
| Aufbewahrung | DoC für 10 Jahre oder Supportzeitraum, je nachdem was länger ist | Keine spezifische Pflicht; Zusammenarbeit auf Anfrage |
| Bußgeldstufe | 10.000.000 EUR oder 2 % | 10.000.000 EUR oder 2 % |
Die Bezeichnung der Rolle als „Vertrieb" in einer privaten Vereinbarung verschiebt die öffentlich-rechtliche Pflicht nicht. Wenn Ihre Einheit ein Nicht-EU-Produkt erstmals auf dem Unionsmarkt in Verkehr bringt, sind Sie der Importeur. Für die Händlerseite derselben Grenze siehe den Händler-Cluster-Leitfaden.
Die Vier Vorab-Prüfungen
1. Konformitätsbewertung durchgeführt
Der Hersteller muss die für die Produktklasse geeignete Bewertungsroute durchgeführt haben. Fordern Sie die EU-Konformitätserklärung an, die das verwendete Bewertungsmodul benennt, und, wo eine notifizierte Stelle beteiligt war, die Zertifikatsnummer; bei Produkten, die nach umfassender Qualitätssicherung (Modul H) bewertet wurden, folgt außerdem die vierstellige Kennnummer der Stelle der CE-Kennzeichnung.
| Modul | Wann |
|---|---|
| A interne Fertigungskontrolle | Standard-Produkte; Wichtig Klasse I nur, wenn einschlägige Normen, Spezifikationen oder Schemata vollständig angewendet werden |
| B + C EU-Baumusterprüfung plus Fertigungskontrolle | Wichtig Klasse I, wenn einschlägige Normen, Spezifikationen oder Schemata nicht vollständig angewendet werden; Wichtig Klasse II; Rückfallwege für Kritische Produkte |
| H vollständige Qualitätssicherung | Alternative zu B+C für Wichtig Klasse I als Rückfall, Wichtig Klasse II und Rückfallwege für Kritische Produkte |
| Europäisches Cybersicherheitszertifizierungsschema | Kritische Produkte, wenn der Zertifizierungsweg ausgelöst wurde und ein anwendbares Schema verfügbar ist; außerdem dort, wo der CRA es zulässt |
Siehe den Leitfaden zur Konformitätsbewertung.
2. Technische Dokumentation erstellt
Der Importeur muss nicht die vollständige technische Dokumentation vorhalten. Er braucht aber Nachweise, dass die Datei existiert und den Behörden auf Anfrage zugänglich gemacht werden kann. Fordern Sie ein Inhaltsverzeichnis der technischen Dokumentation sowie eine schriftliche Zusage des Herstellers, die zugrunde liegende Datei innerhalb eines festgelegten Zeitrahmens und in einer festgelegten Sprache vorzulegen. Siehe den Leitfaden zur technischen Dokumentation.
3. CE-Kennzeichnung, EU-Konformitätserklärung und Nutzeranleitungen
Drei Artefakte müssen mit dem Produkt mitgeliefert werden. Siehe den Leitfaden zur EU-Konformitätserklärung.
| Artefakt | Anforderung |
|---|---|
| CE-Kennzeichnung | Sichtbar, lesbar, dauerhaft, auf dem Produkt oder Datenschild; die Höhe des CE-Kennzeichens kann kleiner als 5 mm sein, sofern es weiterhin sichtbar und lesbar ist. Die vierstellige Kennnummer der notifizierten Stelle folgt der Kennzeichnung nur bei umfassender Qualitätssicherung (Modul H). Die CE-Kennzeichnung darf ausschließlich auf der Verpackung angebracht sein, wenn die Kennzeichnung des Produkts selbst nicht möglich ist; in diesem Fall muss sie auch in der EU-Konformitätserklärung erscheinen. |
| EU-Konformitätserklärung | Vollständige Erklärung beim Produkt oder vereinfachte Erklärung mit genauer Internetadresse der vollständigen Erklärung. Allgemeine "Cybersicherheitsanforderungen" ohne konkrete Zuordnung zu den wesentlichen Anforderungen sind ein Mangel. |
| Nutzerinformationen und -anleitungen | In einer Sprache, die von Nutzern und Marktüberwachungsbehörden des betreffenden Mitgliedstaats leicht verstanden wird. Herstelleridentität, bestimmungsgemäßer Zweck, Enddatum des Supportzeitraums, sichere Konfiguration, sicheres Außerbetriebsetzen, Adresse für Schwachstellenmeldungen. |
4. Produkt-ID, Herstellerangaben und Support-Enddatum
Die letzte Importeursprüfung ist kein weiteres Zertifikat. Sie ist eine Präsenzprüfung: Das Produkt muss identifizierbar sein, der Hersteller muss identifizierbar und kontaktierbar sein, und das Enddatum des Supportzeitraums muss beim Kauf verfügbar sein.
| Pflicht | Importeursprüfung |
|---|---|
| Typ-, Chargen- oder Seriennummer zur Produktidentifikation (oder auf der Verpackung, wenn das Produkt sie nicht tragen kann) | Element auf Produkt oder Verpackung bestätigen |
| Name, eingetragener Handelsname oder Marke des Herstellers, Postanschrift, digitale Kontaktmöglichkeit, ebenfalls in den Nutzerinformationen wiedergegeben | Auf Produkt, Verpackung oder begleitendem Dokument bestätigen |
| Enddatum des Supportzeitraums zum Zeitpunkt des Kaufs angegeben, mindestens Monat und Jahr | Monat und Jahr an der Verkaufsstelle sichtbar bestätigen |
Ein Produkt ohne angegebenes Monats-und-Jahres-Enddatum ist nicht konform, unabhängig davon, ob alle anderen Prüfungen bestanden wurden.
Angrenzende Pflicht, die als Ablehnungsauslöser zu behandeln ist: Die zentrale Anlaufstelle muss Nutzern die Wahl ihres bevorzugten Kommunikationsmittels lassen und darf nicht auf automatisierte Werkzeuge beschränkt sein. Ein reiner Chatbot-Kontakt ist nicht konform. Ohne eine funktionierende zentrale Anlaufstelle des Herstellers ist der Schwachstellenmeldungsablauf von Anfang an unterbrochen.
Die 9-Punkte-Produktinformations-Checkliste (Anhang II)
Jedes Produkt mit digitalen Elementen muss den Einführer mit neun bestimmten Angaben erreichen. Anhang II der CRA legt die Liste fest, und die Einführerprüfung ist eine Vorhandensein-Prüfung: Fehlt auch nur ein Punkt, darf das Produkt nicht in Verkehr gebracht werden.
Name, eingetragener Handelsname oder Marke, Postanschrift, E-Mail oder digitaler Kontakt sowie Website, soweit verfügbar.
Bei WareneingangAuf Produkt, Verpackung oder begleitendem Dokument vorhanden.
Zentrale Anlaufstelle für Schwachstellenmeldungen sowie eine erreichbare CVD-Richtlinie (Coordinated Vulnerability Disclosure).
Bei WareneingangNicht automatisierter Kanal, mit erreichbarer CVD-Richtlinie.
Produktname, -typ und alle weiteren Angaben (Charge, Seriennummer, Modell), die eine eindeutige Identifizierung ermöglichen.
Bei WareneingangTyp-, Chargen- oder Seriennummer sichtbar.
Bestimmungsgemäßer Zweck, Sicherheitsumfeld, wesentliche Funktionalitäten und Sicherheitseigenschaften.
Bei WareneingangIn den Nutzerinformationen ausgewiesen.
Bekannte oder vorhersehbare Umstände, die zu erheblichen Cybersicherheitsrisiken führen können.
Bei WareneingangIn den Nutzerinformationen dokumentiert.
Soweit anwendbar, die Internetadresse, unter der die vollständige EU-Konformitätserklärung abrufbar ist.
Bei WareneingangURL erreichbar, Konformitätserklärung ist vollständig.
Art des technischen Sicherheits-Supports sowie das Enddatum des Supportzeitraums.
Bei WareneingangEnddatum enthält mindestens Monat und Jahr.
Ausführliche Anleitungen oder eine URL mit Hinweisen zur sicheren Nutzung, zu Auswirkungen von Änderungen, zur Installation von Updates, zur sicheren Außerbetriebsetzung und zum Abwählen automatischer Updates.
Bei WareneingangAlle Unterpunkte vorhanden oder über die verlinkte URL erreichbar.
Wenn der Hersteller den Nutzern die SBOM zur Verfügung stellt, der Ort, an dem sie abgerufen werden kann.
Bei WareneingangPrüfen, ob eine SBOM angeboten wird und unter welcher URL.
Wie der Hersteller jeden Punkt erzeugt, beschreibt der entsprechende Abschnitt im Leitfaden für Hersteller.
Verifizierung der Konformität von Nicht-EU-Herstellern
Mündliche Zusicherungen von Vertriebskontakten sind keine Importeur-Nachweise. Senden Sie die Dokumentationsanfrage, bevor Sie einen Importvertrag unterzeichnen.
BETREFF: Anfrage zur CRA-Konformitätsdokumentation
Wir prüfen [Produkt / Modell] für den Import in die Europäische Union nach
Verordnung (EU) 2024/2847 (Cyber Resilience Act). Bitte stellen Sie vor dem
weiteren Vorgehen Folgendes bereit:
1. EU-Konformitätserklärung (vollständig oder vereinfacht),
mit Verweis auf die wesentlichen Cybersicherheitsanforderungen und das verwendete
Konformitätsbewertungsmodul, einschließlich Zertifikatsnummer der Benannten Stelle, soweit
anwendbar.
2. Inhaltsverzeichnis der technischen Dokumentation sowie eine
schriftliche Zusage, die zugrunde liegende Akte innerhalb von [X] Tagen in
[Sprache] bereitzustellen.
3. Bestätigung des Unterstützungszeitraums: mindestens 5 Jahre
oder die erwartete Nutzungsdauer, falls diese kürzer ist, jeweils mit
Begründung.
4. Enddatum des Unterstützungszeitraums (Monat und Jahr), wie es
am Verkaufspunkt angezeigt wird.
5. Zentrale Anlaufstelle, mit Bestätigung, dass sie nicht
auf automatisierte Werkzeuge beschränkt ist.
6. Richtlinie zur koordinierten Offenlegung von Schwachstellen.
7. Nachweis der CE-Kennzeichnung auf Produkt oder Typenschild.
8. Nutzerinformationen in [Sprache(n) des Zielmitgliedstaats].
Gewünschte Antwortfrist: [X] Werktage.
Was abzulehnen ist und warum
| Signal | Maßnahme |
|---|---|
| Vollständige Dokumentation | Mit der Importeurprüfung fortfahren |
| Teilweise, Rest "in Bearbeitung" | Import zurückhalten; Lücke dokumentieren |
| "CE nach EMC, RED oder LVD" | Nicht ausreichend. CRA-spezifische Erklärung und technische Unterlagen anfordern. |
| Mündliche Behauptung "außerhalb des CRA-Anwendungsbereichs" | Schriftliche Umfangsanalyse mit Produktklasse und Ausschlussgrund anfordern |
| "Zertifikat der notifizierten Stelle ausstehend" | Die Konformitätsbewertung muss vor dem Inverkehrbringen abgeschlossen sein |
| Zentrale Anlaufstelle ist nur ein Chatbot | Nicht automatisierter Kontaktkanal fehlt; ablehnen |
| Erklärungsdatum vor dem 11. Dezember 2027, keine CRA-spezifische Aktualisierung | Ablehnen |
| Fehlende notifizierte-Stelle-Nummer bei Wichtig Klasse II / Kritisch | Ablehnen |
| Supportzeitraum unter 5 Jahren ohne Begründung | Ablehnen |
| Fehlendes Monats-und-Jahres-Enddatum des Supportzeitraums | Ablehnen |
| Anleitungen nur in der Landessprache des Herstellers | Ablehnen für den betreffenden Mitgliedstaat |
| Ablehnung oder keine Antwort | Nicht importieren |
Wenn der Nicht-EU-Hersteller keine Niederlassung in der Union hat
Hat ein Nicht-EU-Hersteller keine Hauptniederlassung in der Union, richtet er seine Schwachstellen- und Vorfallsmeldungen über eine Auffangkaskade. Artikel 14 Absatz 7 legt die Reihenfolge fest, und der Niederlassungsort des Einführers spielt darin eine Rolle. Die Kaskade lautet:
"a) der Mitgliedstaat, in dem der Bevollmächtigte niedergelassen ist, der für die meisten Produkte mit digitalen Elementen des Herstellers im Namen des Herstellers handelt;
b) der Mitgliedstaat, in dem der Einführer niedergelassen ist, der die meisten Produkte mit digitalen Elementen dieses Herstellers in den Verkehr bringt;
c) der Mitgliedstaat, in dem der Händler niedergelassen ist, der die meisten Produkte mit digitalen Elementen dieses Herstellers auf dem Markt bereitstellt;
d) der Mitgliedstaat, in dem sich die meisten Nutzer von Produkten mit digitalen Elementen dieses Herstellers befinden."
Daraus folgen für den Einführer zwei praktische Konsequenzen. Sind Sie die größte EU-Präsenz für diesen Hersteller außerhalb eines Bevollmächtigten, weist Buchstabe b Ihren Mitgliedstaat wahrscheinlich als Sitz des koordinierenden CSIRT für Schwachstellen- und schwerwiegende Sicherheitsvorfallsmeldungen aus. Klären Sie mit dem Hersteller, ob ein Bevollmächtigter nach Buchstabe a existiert und ob dessen Mitgliedstaat oder Ihrer der aktive Meldeweg ist. Zweitens ist Buchstabe b mengenbasiert und kann zwischen Einführern je nach Produktkohorte wechseln. Führen Sie Produktmengen je Hersteller und Mitgliedstaat so, dass die Zuordnung gegenüber einem CSIRT oder einer Marktüberwachungsbehörde belegbar ist.
Wenn die Verifizierung scheitert
Eine fehlgeschlagene Verifizierung löst eine Stopp-und-Informationspflicht aus. Der Importeur muss das Produkt vom EU-Markt fernhalten, bis Produkt und Herstellerprozesse konform sind.
- Stopp. Bringen Sie das Produkt nicht auf dem EU-Markt in Verkehr. Zollverwahrung oder Wiederausfuhr bleibt bis zur Herstellung der Konformität möglich.
- Dokumentieren. Halten Sie fest, welcher Vorab-Prüfpunkt nicht bestanden wurde, ob er das Produkt oder die Prozesse des Herstellers betrifft, Datum und Unterzeichner.
- Den Hersteller schriftlich benachrichtigen. Benennen Sie die Lücke, die erforderliche Dokumentation und den Zeitrahmen.
- Das Cybersicherheitsrisiko bewerten. Bei erheblichem Risiko die Marktüberwachungsbehörde des betreffenden Mitgliedstaats informieren. Nicht-technische Risikofaktoren brauchen ebenfalls einen Behördenweg, der Importeurablauf bleibt aber gleich: dokumentieren, benachrichtigen und das Produkt zurückhalten.
- Lösen oder ablehnen. Nur fortfahren, wenn alle vier Prüfpunkte bestanden sind. Andernfalls den Import ablehnen.
Nach dem Inverkehrbringen verlagert sich die Importeurspflicht auf Korrekturmaßnahmen, Rücknahme oder Rückruf, soweit angemessen, die unverzügliche Information des Herstellers über Schwachstellen und die Information der Marktüberwachung in jedem Mitgliedstaat der Bereitstellung, wenn das Produkt ein erhebliches Cybersicherheitsrisiko darstellt. Hat der Hersteller seine Tätigkeit eingestellt, informieren Sie Marktüberwachung und, mit allen verfügbaren Mitteln, die Nutzer.
Wenn der Lieferant seinen Betrieb einstellt
Wenn der Nicht-EU-Hersteller seinen Betrieb einstellt, wird der Einführer zum Boten. Es entsteht eine Informationspflicht, die Support-Pflichten des Herstellers gehen jedoch nicht auf den Einführer über. Artikel 19 Absatz 8 regelt den Auslöser:
"Wird dem Einführer eines Produkts mit digitalen Elementen bekannt, dass der Hersteller dieses Produkts seine Betriebstätigkeit eingestellt hat und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen, unterrichtet er hiervon die einschlägigen Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der in den Verkehr gebrachten Produkte mit digitalen Elementen."
Zwei Adressaten sind zu unterrichten: die einschlägigen Marktüberwachungsbehörden und, soweit möglich, die Nutzer der bereits in Verkehr gebrachten Produkte (mit allen verfügbaren Mitteln, im Rahmen des Möglichen). Der CRA verlangt vom Einführer nicht, herstellerseitigen Support, die Schwachstellenbehandlung, die Bereitstellung von Sicherheitsupdates oder eine andere Herstellerpflicht zu übernehmen. Mit dem Wegfall des Herstellers entfallen die herstellerseitigen Pflichten.
Der Umgang mit Restbestand ist eine kaufmännische, keine gesetzliche Frage. Üblich ist, weitere Bereitstellungen betroffener Bestände auszusetzen, um nachgelagerte Support-Risiken zu begrenzen. Das ist Risikosteuerung, keine gesetzliche Pflicht. Wer den Vertrieb fortsetzen möchte, löst eine Rolleneskalation aus: Ab dem Zeitpunkt, an dem das Produkt unter dem eigenen Namen oder der eigenen Marke des Einführers in Verkehr gebracht wird, greift die Rebrand-Brücke zum Herstellerstatus mit allen Folgepflichten zu technischer Dokumentation, Konformitätsbewertung und Supportzeitraum.
Importeur, Händler oder Hersteller?
Die Importeurseite sollte nicht die ganze Rollenmatrix tragen. Nutzen Sie den CRA-Rollenentscheidungsbaum für die vollständige Einordnung als Hersteller, Importeur, Händler, Bevollmächtigter oder Open-Source-Steward.
Der gesetzliche Auslöser für die Umstufung steht in Artikel 3 Nummer 13:
"„Hersteller" eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich"
Die Wendung "unter ihrem Namen oder ihrer Marke vermarktet" ist der Rebrand-Auslöser. Setzt eine EU-Einheit ihre Marke auf ein Nicht-EU-OEM-Produkt, gilt sie ab dem ersten Verkauf als Hersteller. Die Rebrand-Brücke führt einen davon erfassten Einführer oder Händler unmittelbar in das Herstellerregime. Eine eigenständige Auffangregel gilt für Dritte, die weder Hersteller, Einführer noch Händler sind. Kippt Ihre Situation in den Herstellerstatus, siehe den Hersteller-Cluster-Leitfaden für das vollständige Herstellerpflichtenpaket.
Für Importeurarbeit ist die praktische Grenze diese:
| Situation | CRA-Rolle oder Folge |
|---|---|
| EU-Einheit bringt ein nicht-EU-gebrandetes Produkt erstmals auf dem Unionsmarkt in Verkehr | Importeur |
| EU-Einheit verkauft ein nicht-EU-gebrandetes Produkt weiter, nachdem eine andere EU-Einheit es bereits in Verkehr gebracht hat | Händler |
| EU-Einheit bringt das Produkt unter eigenem Namen oder eigener Marke in Verkehr | Herstellerpflichten greifen |
| Importeur oder Händler verändert ein bereits in Verkehr gebrachtes Produkt wesentlich | Herstellerpflichten greifen |
| Dritte Partei, die nicht Hersteller, Importeur oder Händler ist, verändert das Produkt wesentlich und stellt es auf dem Markt bereit | Herstellerpflichten greifen |
Der praktische Aufwand beim Wechsel vom Importeur zum Hersteller ist erheblich: Ihre Einheit muss technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, Schwachstellenbehandlung, Sicherheitsupdate-Zusagen und Schwachstellenmeldeweg selbst verantworten oder vertraglich absichern. Halten Sie die Identität des ursprünglichen Herstellers sichtbar und vermeiden Sie sicherheitsrelevante Änderungen, wenn Ihr Geschäftsmodell davon abhängt, Importeur zu bleiben.
Dokumentation und Aufbewahrung
Bewahren Sie die EU-Konformitätserklärung mindestens 10 Jahre nach dem Inverkehrbringen des Produkts oder für den Supportzeitraum, falls dieser länger ist, für Marktüberwachungsbehörden auf. Stellen Sie außerdem sicher, dass die technische Dokumentation auf Anfrage bereitgestellt werden kann. Ein Produkt mit 12-jährigem Supportzeitraum benötigt daher einen 12-jährigen Importeur-Aufbewahrungsplan.
Der Importeur bewahrt auf: Konformitätserklärung, Inhaltsverzeichnis der technischen Dokumentation und die Zusage des Herstellers, die zugrunde liegende Datei vorzulegen, den eigenen Verifizierungsnachweis, Korrespondenz mit dem Hersteller, Zoll- und Chargennachweise mit Erstinverkehrbringungsdaten sowie Korrektur- und Benachrichtigungsunterlagen.
Wenn die Produktlinie in Herstellerpflichten wechselt, weil Sie unter eigener Marke verkaufen oder das Produkt wesentlich verändern, gilt die Hersteller-Aufbewahrungsregel: gleiche Dauer von 10 Jahren oder Supportzeitraum, plus technische Dokumentation in Ihrem eigenen Namen und die vollständige Nachweiskette der Konformitätsbewertung.
Digitale Speicherung ist zulässig. Dateien müssen über den gesamten Aufbewahrungszeitraum zugänglich und lesbar bleiben und auf Behördenanfrage innerhalb eines angemessenen Zeitrahmens in einer für die Behörde verständlichen Sprache vorgelegt werden können.
Häufige Fallstricke
| Behauptung | Warum sie nicht trägt |
|---|---|
| "CE-Kennzeichnung bedeutet, dass sie konform sind." | CE ist nur ein Punkt der Importeursprüfung; Konformitätserklärung, Verfügbarkeit der technischen Dokumentation, Nutzerinformationen und Support-Enddatum müssen trotzdem verifiziert werden. |
| "Unser Lieferant ist seit Jahren zuverlässig." | Konformität nach EMC, RED oder LVD überträgt sich nicht auf CRA-Schwachstellenbehandlung, Supportzeitraum und Meldewege. |
| "Mündliche Zusicherungen von unserem Vertriebskontakt." | Der Importeur braucht nachvollziehbare Dokumentation; eine Vertriebszusage ersetzt die Vorab-Verifizierung nicht. |
| "Wir prüfen nach Ankunft der Sendung." | Die Verifizierung muss vor dem Inverkehrbringen erfolgen. Zollverwahrung ist möglich; Marktbereitstellung nicht. |
| "Es ist nur ein Aufkleber mit unserem Logo." | Wenn das Produkt unter Ihrem Namen oder Ihrer Marke in Verkehr gebracht wird, greifen Herstellerpflichten. Private Erlaubnis ändert die CRA-Rolle nicht. |
| "Die Änderungsregel macht uns zum Hersteller, wenn wir Änderungen vornehmen." | Für Importeure und Händler ist der direkte Wechsel bei eigener Marke oder wesentlicher Änderung automatisch. Die Auffangregel betrifft andere Drittparteien. |
| "Unser Chatbot ist die zentrale Anlaufstelle." | Die zentrale Anlaufstelle verlangt vom Nutzer wählbare Kommunikationsmittel, die nicht auf automatisierte Werkzeuge beschränkt sind. |
Beschaffungssignale zu bestimmten Nicht-EU-Anbietern. Im Jahr 2021 stimmte das Europäische Parlament über eine Entschließung ab, die die interne Beschaffung von Hikvision-Wärmebildkameras einschränkt. Die Entschließung ist ein politisches Signal zu einem genannten chinesischen Überwachungsanbieter, keine CRA-Pflicht. Die Sorgfaltsprüfung des Einführers bei Nicht-EU-Überwachungsmarken sollte solche Beschaffungsdossiers aber als Teil des umfassenderen Risikobildes neben den vier Vor-Markt-Prüfungen berücksichtigen.
Häufig gestellte Fragen
Was ist ein Importeur im Sinne des CRA?
Eine EU-Einheit, die ein nicht-EU-markiertes Produkt auf dem Unionsmarkt bereitstellt. Drei Elemente müssen gleichzeitig vorliegen: in der Union ansässig, erste Bereitstellung des Produkts auf dem Unionsmarkt, und das Produkt trägt den Namen oder die Marke einer außerhalb der Union ansässigen Person. Trägt das Produkt Ihre eigene Marke, sind Sie nicht der Importeur, sondern der Hersteller.
Bin ich Importeur oder Händler?
Es geht um das erste Bereitstellen auf dem Markt. Sie sind der Importeur, wenn Sie die erste EU-Einheit sind, die ein nicht-EU-markiertes Produkt auf dem Unionsmarkt bereitstellt. Sie sind der Händler, wenn Sie das Produkt nach dem Importeur bereitstellen, ohne dessen Eigenschaften zu beeinflussen. Kaufen Sie ein Nicht-EU-Produkt von einem anderen EU-Unternehmen, das es bereits eingeführt hat, ist dieses Unternehmen der Importeur und Sie sind der Händler. Kaufen Sie direkt vom Nicht-EU-Hersteller und bringen das Produkt selbst auf den EU-Markt, sind Sie der Importeur.
Importeur vs. Bevollmächtigter: Was ist der Unterschied?
Unterschiedliche Aufgaben, und der Bevollmächtigte ist nicht zwingend. Artikel 18 Absatz 1 verwendet das Wort "kann", nicht "muss":
"Ein Hersteller kann schriftlich einen Bevollmächtigten benennen."
Die Bestellung eines Bevollmächtigten ist daher gesetzlich nicht zwingend. Ein Nicht-EU-Hersteller kann einen benennen oder darauf verzichten. In der Praxis brauchen Sie entweder einen Bevollmächtigten oder einen vertraglich gebundenen Einführer als EU-Kontakt, das ist aber eine kaufmännische Notwendigkeit, keine CRA-Pflicht.
Die Aufgaben unterscheiden sich. Der Bevollmächtigte ist die Dokumenten-Verwahrung des Herstellers, der Einführer bringt das Produkt physisch auf den Markt. Der Bevollmächtigte hält die EU-Konformitätserklärung und die technische Dokumentation für die Marktüberwachungsbehörden bereit und arbeitet mit diesen Behörden zusammen, bringt das Produkt aber nicht selbst auf den Markt. Der Importeur trägt die Vier-Prüfungs-Verifizierungspflicht vor dem Inverkehrbringen. Ein Nicht-EU-Hersteller, der einen Bevollmächtigten für Dokumentation und Zusammenarbeit bestellt, braucht dennoch einen Importeur (oder eine eigene EU-Einheit), um das Produkt tatsächlich auf den Markt zu bringen. Eine Bevollmächtigten-Bestellung überträgt keine Ingenieur-, Risikobewertungs-, Schwachstellenbehandlungs- oder Konformitätsbewertungspflichten.
Gibt es KMU-Ausnahmen für Importeure?
Keine Befreiung von den Pflichten selbst. Importeurspflichten gelten unabhängig von der Unternehmensgröße. Die KMU-Erleichterung des CRA bei Geldbußen gilt für Hersteller, nicht für Importeure, und nur für die 24-Stunden-Frühwarnfristen. Die Bußgeldabweichung für Open-Source-Stewards nach Artikel 64(10)(b) gilt für Stewards, nicht für Importeure. Behörden müssen bei der Festsetzung von Geldbußen im Einzelfall der Größe des Verletzers gebührend Rechnung tragen, aber das ist ein Strafzumessungsfaktor, keine Pflichtbefreiung.
Ab wann gelten die CRA-Importeurspflichten?
Ab dem 11. Dezember 2027. Ab diesem Datum darf kein Produkt mit digitalen Elementen mehr auf dem EU-Markt in Verkehr gebracht werden, wenn der Importeur die Vorabprüfung nicht durchgeführt hat. Die Meldung von Schwachstellen und Vorfällen beginnt früher, am 11. September 2026, ist jedoch eine Herstellerpflicht; die Aufgabe des Einführers ist die Überprüfung der zentralen Anlaufstelle des Herstellers.
Macht Umetikettierung allein den Importeur zum Hersteller?
Ja, praktisch. Wenn die EU-Einheit das Produkt unter eigenem Namen oder eigener Marke in Verkehr bringt, muss sie die Herstellerpflichten für diese Produktlinie erfüllen. Für Importeure und Händler greift der direkte Wechsel bei eigener Marke oder wesentlicher Änderung; eine separate Auffangregel betrifft andere Drittparteien.
Sind Sicherheitspatches jemals wesentliche Änderungen?
Nicht wenn die Patches vom Originalhersteller stammen und den bestimmungsgemäßen Zweck, das Verhalten und die Sicherheitsarchitektur des Produkts erhalten. Ein Patch, der mehr tut als eine Schwachstelle zu beheben (Funktionen hinzufügt, Authentifizierung ändert, Angriffsfläche erweitert), verlässt die Ausnahme.
Wie lange muss ein Importeur die EU-Konformitätserklärung aufbewahren?
Mindestens 10 Jahre nach dem Inverkehrbringen des Produkts oder für den Supportzeitraum, je nachdem was länger ist. Ein 2028 in Verkehr gebrachtes Produkt mit einem 12-jährigen Supportzeitraum erzeugt eine Aufbewahrungspflicht bis 2040. Die gleiche Pflicht verlangt vom Importeur sicherzustellen, dass die technische Dokumentation auf Anfrage bereitgestellt werden kann. Digitale Speicherung ist zulässig.
Was muss der Importeur tun, wenn die Dokumentation Lücken aufweist?
Stoppen und informieren. Das Produkt darf nicht auf dem Markt bereitgestellt werden, bis die Lücke geschlossen ist. Den Hersteller schriftlich benachrichtigen. Wenn das Produkt ein erhebliches Cybersicherheitsrisiko darstellt, die Marktüberwachungsbehörde des betreffenden Mitgliedstaats informieren. Die Pflicht erstreckt sich auch auf nicht-technische Risikofaktoren; die Behörden folgen dann dem einschlägigen Verfahren. Waren können in der Zollverwahrung verbleiben, während die Lücke offen ist.
Was passiert mit der CE-Kennzeichnung des Originalherstellers, wenn die EU-Einheit zum Hersteller wird?
Sie deckt das Produkt nicht mehr ab, wie die EU-Einheit es auf dem Markt bereitstellt. Die EU-Einheit stellt ihre eigene Konformitätserklärung aus und bringt die CE-Kennzeichnung unter eigener Verantwortung an.
Beginnt der fünfjährige Supportzeitraum neu, wenn die EU-Einheit zum Hersteller wird?
Ja. Der Supportzeitraum läuft ab dem Datum, an dem die EU-Einheit das umgebrandete oder geänderte Produkt auf dem Markt bereitstellt. Die Mindestdauer von fünf Jahren gilt, mit der Ausnahme, dass Produkte mit einer erwarteten Nutzungsdauer von weniger als fünf Jahren einen Supportzeitraum entsprechend der erwarteten Nutzungsdauer erhalten. Die Kosten entstehen bei Support-Ressourcen und Lieferantenverträgen (der vorgelagerte Hersteller muss Eingaben für mindestens den Supportzeitraum der EU-Einheit zusichern).
Benötigt die EU-Einheit eine notifizierte Stelle, wenn der Originalhersteller eine eingesetzt hat?
Bei wesentlich geänderten Produkten der Kategorie Wichtig Klasse II oder Kritisch fast immer ja. Das ursprüngliche Zertifikat war an das Produkt in seiner entworfenen Form gebunden; eine wesentliche Änderung macht es ungültig. Auch Umetikettierung allein eines Wichtig-Klasse-II- oder Kritisch-Produkts erfordert eine neue Konformitätserklärung im Namen der EU-Einheit. Siehe den Leitfaden zur Konformitätsbewertung und den Leitfaden zur Produktklassifizierung.