CRA voor Duitse fabrikanten: BSI, CERT-Bund en CE-markering

Duitse fabrikanten hebben dezelfde CRA-verplichtingen als elke andere EU-fabrikant. Wat specifiek is voor Duitsland, is de institutionele keten. Duitsland heeft die keten rond één instantie gebouwd. Het BSI is beoogd als zowel de markttoezichtautoriteit als de aanmeldende autoriteit voor de CRA. Één instantie, twee rollen, waar Frankrijk en Spanje die rollen aan afzonderlijke organen toewijzen. Dit is een landenbriefing voor Duitsland. Voor het volledige verplichtingenpakket voor fabrikanten, zie de clustergids voor fabrikanten.

Het BSI beheert zowel markttoezicht als aanmelding

Dit is wat specifiek is voor Duitsland. De ontwerp-uitvoeringswet wijst het BSI aan als de Marktüberwachungsbehörde (markttoezichtautoriteit) en de notifizierende Behörde (aanmeldende autoriteit) in één en dezelfde wet. De aanmeldende autoriteit beslist welke conformiteitsbeoordelingsinstanties aangemelde instanties worden. De markttoezichtautoriteit controleert producten die al op de markt zijn. In Duitsland zijn beide taken bij het BSI ondergebracht.

Sommige lidstaten doen hetzelfde. Andere verdelen de twee rollen over afzonderlijke instanties.

Aangewezen of verwachte nationale autoriteiten. Voor meerdere landen zijn de nationale uitvoeringsinstrumenten nog niet definitief vastgesteld.

De juridische basis is het Gesetz zur Durchführung der Cyberresilienz-Verordnung, de CRA-uitvoeringswet, die de BSI-wet (BSI-Gesetz) wijzigt. Het betreft een regeringsvoorstel (Gesetzentwurf der Bundesregierung), gepubliceerd als Bundestag-gedrukt stuk BT-Drs. 21/6134.

Als aangewezen markttoezichtautoriteit zou het BSI de CRA-handhavingsbevoegdheden krijgen. Het kan corrigerende maatregelen eisen, een product beperken, het van de markt halen of terugroepen, en boetes opleggen tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet voor de zwaarste overtredingen. De gids over sancties en handhaving legt de volledige toerekening van boetecategorieën uit.

Als het wetsvoorstel wordt aangenomen zoals het nu luidt, schrijft één instantie de Duitse interpretatierichtsnoeren, beslist zij wie u certificeert en controleert zij u achteraf. Die concentratie verdient planning. Het BSI is op bijna elke stap uw referentiepunt en publiceert zijn CRA-richtsnoeren, fabrikantflyers en een mkb-helpdesk op zijn officiële Cyber Resilience Act-pagina.

CERT-Bund: de Duitse meldroute

CRA-meldingen gaan naar het CSIRT dat is aangewezen als coördinator van de lidstaat waar de fabrikant zijn hoofdvestiging heeft: de plek waar uw cyberbeveiligingsbeslissingen overwegend worden genomen, niet slechts een verkoopkantoor. Voor een fabrikant met hoofdvestiging in Duitsland is het operationele contactpunt CERT-Bund, het nationale CERT binnen het BSI. De formele aanwijzing als coördinator wordt gepubliceerd via ENISA, dus bevestig dat vóór uw eerste indiening in plaats van het aan te nemen. Heeft u uw hoofdvestiging in een andere lidstaat en levert u alleen aan de Duitse markt, dan lopen uw meldingen via het CSIRT van die andere lidstaat, niet via CERT-Bund. De Duitstalige vereisten hieronder gelden echter wel voor alles wat u op de Duitse markt brengt.

De CRA kent twee meldstromen met elk een andere tijdslijn. Een actief misbruikte kwetsbaarheid vereist een vroegtijdige waarschuwing binnen 24 uur, een kwetsbaarheidsmelding binnen 72 uur en een eindrapport uiterlijk 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is. Een ernstig incident vereist een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand na de incidentmelding. De 14-dagentermijn en de éénmaandstermijn zijn niet uitwisselbaar. De gids voor kwetsbaarheidsafhandeling en -melding werkt beide stromen uit.

U dient in via het ENISA Single Reporting Platform, dat operationeel gaat op 11 september 2026, met CERT-Bund als ontvangende coördinator en ENISA tegelijk bereikbaar. De ENISA-platformonboardinggids beschrijft de registratie. Voor actuele meldcontacten, zie de CERT-Bund-pagina.

Aangemelde instanties: DAkkS accrediteert, het BSI meldt aan

U heeft een aangemelde instantie alleen nodig voor bepaalde producten, voornamelijk de Belangrijke en Kritieke klassen, en alleen als geharmoniseerde normen of een certificeringsschema uw situatie niet al afdekken. De gids voor conformiteitsbeoordeling koppelt uw productklasse aan de juiste route.

De Duitse keten telt twee stappen:

• DAkkS (Deutsche Akkreditierungsstelle) is de nationale accreditatie-instantie. DAkkS beoordeelt de technische competentie van een kandidaat-conformiteitsbeoordelingsinstantie op grond van Verordening (EG) nr. 765/2008.
• Het BSI meldt de geaccrediteerde instantie vervolgens aan bij de Europese Commissie, waarna die verschijnt in NANDO als CRA-aangemelde instantie.

Er is één Duitse bijzonderheid die het weten waard is. De ontwerp-BSI-wet, zoals vastgelegd in BT-Drs. 21/6134, staat het BSI toe een instantie aan te melden zonder accreditatiebewijs in bepaalde gevallen van algemeen belang. De ontwerp-wet koppelt dit aan de eigen doelstelling van de Verordening, namelijk dat lidstaten moeten streven naar voldoende aangemelde instanties per 11 december 2026 om bottlenecks te voorkomen. De uitzondering bestaat omdat de normale accreditatieroute mogelijk niet snel genoeg voldoende instanties oplevert. Lees dit als signaal: Duitsland verwacht dat de capaciteit van aangemelde instanties krap zal zijn.

Het capaciteitsprobleem is reëel en EU-breed. Het CRA-kader voor aangemelde instanties geldt vanaf 11 juni 2026. Per die datum toont NANDO nul aangemelde instanties die zijn aangewezen onder de CRA in de hele Unie. Noem geen Duits orgaan als CRA-aangewezen totdat het verschijnt in NANDO. Een Duitse fabrikant mag elke EU-aangemelde instantie inschakelen zodra aanwijzingen beschikbaar komen, niet alleen een Duitse. Het kiezen van een Duits orgaan is een inkoopvoorkeur, geen CRA-vereiste.

BSI TR-03183: waarom u het tegenkomt in de Duitse inkoop

Het BSI publiceert de technische richtlijn BSI TR-03183, met onderdelen voor fabrikants- en producteisen, de software bill of materials en kwetsbaarheidsmeldingen. Het is een voorlopige technische richtlijn, geen geharmoniseerde norm, en verleent op zichzelf niet het conformiteitsvermoeden dat een geharmoniseerde norm wel zou bieden.

Toch is de richtlijn in Duitsland praktisch relevant. Het BSI is beoogd als uw markttoezichtautoriteit en fungeert al als zwaar referentiepunt in de Duitse overheids- en industriële inkoop. Duitse kopers zullen TR-03183 dan ook waarschijnlijk citeren als de CRA-georiënteerde technische richtlijn van het BSI. Behandel het als de maatstaf die Duitse tegenpartijen zullen hanteren en als een verstandig intern doel terwijl de geharmoniseerde normen nog worden geschreven. De BSI TR-03183-gids beschrijft de vereiste gegevensvelden en kwaliteitsniveaus in detail.

Duitstalige vereisten in de praktijk

De CRA koppelt de taalverplichting aan het publiek, niet aan een algemene regel. Gebruikersgerichte informatie moet zijn gesteld in een taal die gebruikers en de markttoezichtautoriteit gemakkelijk kunnen begrijpen. Voor producten die op de Duitse markt worden gebracht, is dat Duits.

Verplicht in het Duits:

• De informatie en gebruiksaanwijzing die met het product worden meegeleverd.
• De contactgegevens van de fabrikant, waar deze ook worden weergegeven: op het product, de verpakking of het bijgevoegde document.
• De einddatum van de ondersteuningsperiode, bekend te maken op het moment van aankoop.

Mag meertalig:

• De CE-markering en het productlabel.
• Tekst op de verpakking en onlinedocumentatie, mits een Duitstalige versie bereikbaar is.

Engels is doorgaans aanvaardbaar voor:

• Interne technische documentatie. Het BSI kan op gemotiveerd verzoek een taal verlangen die het gemakkelijk begrijpt, plan daar dan ook op. Technische documentatie in het kader van een procedure bij een aangemelde instantie moet worden opgesteld in een officiële taal van de lidstaat waar die instantie is gevestigd, of in een taal die de instantie aanvaardbaar acht.

De EU-conformiteitsverklaring moet beschikbaar worden gesteld in de talen die de lidstaat vereist waar het product in de handel wordt gebracht of ter beschikking wordt gesteld. Bereid voor de Duitse markt een Duitstalige versie voor, in plaats van vertaling te behandelen als een maatregel voor inspectiedoeleinden achteraf.

De enige uitzondering: hoog-risico AI-systemen

Duitsland centraliseert het CRA-markttoezicht bij het BSI. De ontwerp-uitvoeringswet maakt die keuze bewust en de toelichting wijst uitdrukkelijk de verspreiding van het CRA-toezicht over meerdere sectorale autoriteiten af. Voor de meeste fabrikanten is het BSI de toezichthouder.

Er is één echte uitzondering, en die vloeit voort uit de CRA zelf, niet uit het Duitse recht. Als uw product een hoog-risico AI-systeem is onder de AI-verordening, is de markttoezichtautoriteit die is aangewezen op grond van de AI-verordening, en niet het BSI, verantwoordelijk voor het CRA-markttoezicht op dat product. In Duitsland wordt die autoriteit aangewezen op grond van de AI-implementatiewet (KI-MIG). De twee autoriteiten werken samen, maar de AI-kant is leidend.

Andere regelgevingsstelsels overlappen met de CRA zonder te veranderen wie het toezicht uitvoert. Een product kan tegelijk vallen onder de Machineverordening en de CRA. Het BSI voert dan het CRA-toezicht uit terwijl het samenwerkt met de relevante sectorale autoriteit. In de financiële sector werkt het BSI samen met de toezichthouders op grond van Verordening (EU) 2022/2554 (DORA) in plaats van het CRA-toezicht aan hen over te dragen. De energie- en telecomwetswijzigingen in hetzelfde wetsvoorstel zijn NIS2-correcties, geen CRA-herindeling. Bouwt u machines of industriële automatisering, dan kunt u parallelle verplichtingen verwachten, maar geen andere CRA-toezichthouder.

Grensoverschrijdend verkopen vanuit Duitsland

Een Duitse fabrikant die levert aan Frankrijk, Spanje, Italië of een andere EU-lidstaat houdt dezelfde enkelvoudige routeringsregel. Uw meldingen gaan nog steeds naar CERT-Bund, want routering volgt de hoofdvestiging, niet de bestemming per zending. U dient niet in bij het Franse, Spaanse of Italiaanse CSIRT.

De taalverplichting vertakt zich wel per markt. Een product dat naar de Franse markt wordt verzonden, heeft Franstalige gebruikersgerichte inhoud nodig. Een product naar de Spaanse markt heeft Spaanstalige inhoud nodig. Het Duitse taalpakket dekt die markten niet. De markttoezichtautoriteit van elke ontvangende lidstaat kan ook uw technische documentatie opvragen in een taal die die autoriteit gemakkelijk begrijpt. Bereid de meest gevraagde secties voor in een breed gebruikte werktaal.

Financiering en subsidies: wat u moet nagaan

Er is geen Duits subsidieprogramma specifiek voor de CRA. Het bredere beeld betreft algemene digitaliserings- en beveiligingsfinanciering, waarvan een deel is vervallen.

• go-digital bestaat niet meer. Het programma liep alleen tot en met 31 december 2024, dus negeer oudere bronnen die het nog noemen.
• Mittelstand-Digital biedt gratis advies en het Mittelstand-Digital Zentren-netwerk, geen directe financiering aan individuele mkb-bedrijven.
• De KfW ERP-Förderkredit Digitalisierung und Innovation (programma's 511/512) is een financieringslijn voor digitalisering en IT-beveiligingsinvesteringen, geen CRA-subsidie.
• Federale onderzoekssubsidieoproepen kunnen echte cybersecurity-R&D ondersteunen, maar controleer elke oproep afzonderlijk en behandel ze niet als standaard CRA-compliancesubsidies.

Programmavensters en subsidiabiliteitsvoorwaarden veranderen regelmatig. Bevestig de actuele status van elke lijn voordat u er een budget op baseert.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg een gekwalificeerde juridische adviseur voor specifieke CRA-compliancevragen.