CRA för tyska tillverkare: BSI, CERT-Bund och CE-märkning

Landöversikt för tyska tillverkare under CRA: BSI som marknadskontroll- och anmälande myndighet, CERT-Bund, DAkkS-ackreditering.

CRA Evidence Team Publicerad 11 juni 2026
CRA landöversikt för tyska tillverkare som visar den nationella institutionskedjan: CERT-Bund för sårbarhets- och incidentrapporter, BSI som ska bli kombinerad marknadskontrollmyndighet och anmälande myndighet, DAkkS för ackreditering
I denna artikel

Tyska tillverkare har samma CRA-skyldigheter som alla andra EU-tillverkare. Det som är specifikt för Tyskland är institutionskedjan, och Tyskland har byggt den kring ett enda organ. BSI föreslås bli både marknadskontrollmyndighet och anmälande myndighet under CRA. Ett organ, båda rollerna, till skillnad från Frankrike och Spanien som lägger dem på separata myndigheter. Det här är en landöversikt för Tyskland. För den fullständiga skyldighetsbilden för tillverkare, se tillverkarguiden.

Sammanfattning

  • Cyberresiliensförordningen är en EU-förordning med direkt verkan. Det finns inga tyska undantag för produkttillverkare.
  • BSI (Bundesamt für Sicherheit in der Informationstechnik) föreslås bli både CRA:s marknadskontrollmyndighet och anmälande myndighet. Den rättsliga grunden är CRA:s genomförandelag (Gesetz zur Durchführung der Cyberresilienz-Verordnung), som ändrar BSI-lagen. Det är ett regeringsförslag, BT-Drs. 21/6134, som fortfarande befinner sig i lagstiftningsprocessen och ännu inte har antagits.
  • CERT-Bund, det nationella CERT som finns inom BSI, är den tyska operativa kontakten för CRA-rapportering av sårbarheter och incidenter när din huvudsakliga etablering finns i Tyskland.
  • DAkkS (Deutsche Akkreditierungsstelle) ackrediterar kandidater till organ för bedömning av överensstämmelse. BSI anmäler dem sedan till Europeiska kommissionen. Utkastet till BSI-lag låter BSI anmäla ett organ utan ackrediteringsintyg i definierade fall av allmänt intresse.
  • Per 11 juni 2026, det datum då CRA:s ramverk för anmälda organ börjar gälla, visar Europeiska kommissionens NANDO-databas noll anmälda organ utsedda under CRA.
  • Tyska krävs för den användarinriktade produktinformationen som säljs på den tyska marknaden. EU-försäkran om överensstämmelse måste finnas på det språk som Tyskland kräver.
  • Tyskland centraliserar CRA:s marknadskontroll till BSI. Det enda undantaget är högrisksystem för artificiell intelligens, där AI-förordningens marknadskontrollmyndighet i stället är ansvarig.
2
Roller, ett organ
BSI kontrollerar och anmäler
0
CRA-anmälda organ
i NANDO hittills
Sep 2026
Rapportering startar
via ENISA-plattformen
€15M
Maximalt bötesbelopp
eller 2,5 % av global omsättning

BSI ansvarar för både marknadskontroll och anmälan

Det är det som är specifikt för Tyskland. Utkastet till CRA:s genomförandelag utser BSI till Marktüberwachungsbehörde (marknadskontrollmyndighet) och notifizierende Behörde (anmälande myndighet) i samma lag. Den anmälande myndigheten beslutar vilka organ för bedömning av överensstämmelse som blir anmälda organ. Marknadskontrollmyndigheten kontrollerar produkter som redan finns på marknaden. I Tyskland sitter båda rollerna inom BSI.

Vissa medlemsstater gör likadant. Andra delar de två rollerna mellan separata myndigheter.

MedlemsstatAnmälande myndighetMarknadskontrollRapporterings-CSIRT
Tyskland BSI BSI CERT-Bund
Italien ACN ACN CSIRT Italia
Nederländerna RDI RDI NCSC-NL
Frankrike ANSSI ANFR CERT-FR
Spanien CCN SETID INCIBE-CERT

Utsedda eller förväntade nationella myndigheter. Flera väntar fortfarande på slutliga nationella genomförandeakter.

Den rättsliga grunden är Gesetz zur Durchführung der Cyberresilienz-Verordnung, CRA:s genomförandelag, som ändrar BSI-lagen (BSI-Gesetz). Det är ett regeringsförslag (Gesetzentwurf der Bundesregierung), publicerat som Bundestags tryckt dokument BT-Drs. 21/6134.

Fortfarande ett förslag, inte ännu lag

Den genomförandelag som ger BSI dessa roller är ett regeringsförslag som fortfarande befinner sig i lagstiftningsprocessen. Planera utifrån BSI, men kontrollera den antagna texten innan du gör en formell anmälan.

Som utsedd marknadskontrollmyndighet skulle BSI bära CRA:s tillsynsbefogenheter. BSI kan kräva korrigerande åtgärder, begränsa en produkt, dra tillbaka den eller beordra ett återkallande, och ta ut böter på upp till 15 miljoner euro eller 2,5 % av den globala årliga omsättningen för de allvarligaste överträdelserna. Guiden om påföljder och tillsyn beskriver hela nivåstrukturen.

Om förslaget antas i sin nuvarande form är det ett och samma organ som skriver de tyska tolkningsriktlinjerna, beslutar vem som certifierar dig och sedan kontrollerar dig. Den koncentrationen är värd att planera kring. BSI är din referenspunkt i nästan varje steg, och myndigheten publicerar sin CRA-vägledning, informationsblad för tillverkare och en SME-helpdesk på sin officiella sida för Cyber Resilience Act.

CERT-Bund: den tyska rapporteringsvägen

CRA-anmälningar skickas till det CSIRT som utsetts till koordinator i den medlemsstat där tillverkaren har sin huvudsakliga etablering, det vill säga den plats där dina cybersäkerhetsbeslut huvudsakligen fattas, inte bara ett försäljningskontor. För en tillverkare med bas i Tyskland är den operativa kontakten CERT-Bund, det nationella CERT som finns inom BSI. Den formella koordinatorsutpekningen publiceras via ENISA, så bekräfta den innan du gör din första anmälan i stället för att anta att den är klar. Om din huvudsakliga etablering finns i en annan medlemsstat och du enbart säljer till Tyskland, skickar du dina rapporter via den medlemsstatens CSIRT, inte till CERT-Bund, men de tyskspråkiga reglerna nedan gäller ändå för allt du lanserar på den tyska marknaden.

CRA delar upp rapporteringen i två strömmar med olika tidsramar. En aktivt utnyttjad sårbarhet kräver en tidig varning inom 24 timmar, en sårbarhetsanmälan inom 72 timmar och en slutrapport senast 14 dagar efter att en korrigerande eller avhjälpande åtgärd finns tillgänglig. En allvarlig incident kräver en tidig varning inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad från incidentanmälan. Fjortondagarsfristen och enmånadsfristen är inte utbytbara. Guiden om sårbarhetshantering och rapportering går igenom båda.

Du rapporterar via ENISA:s gemensamma rapporteringsplattform, som är operativ från den 11 september 2026, med CERT-Bund som mottagande koordinator och ENISA tillgänglig samtidigt. Guiden för registrering på ENISA-plattformen täcker registreringsprocessen. För aktuella rapporteringskontakter, se CERT-Bund-sidan.

Anmälda organ: DAkkS ackrediterar, BSI anmäler

Du behöver bara ett anmält organ för vissa produkter, huvudsakligen de som tillhör klasserna Viktig och Kritisk, och bara när harmoniserade standarder eller ett certifieringssystem inte redan täcker dig. Guiden om bedömning av överensstämmelse kopplar din produktklass till rätt väg.

Den tyska kedjan har två steg:

  • DAkkS (Deutsche Akkreditierungsstelle) är det nationella ackrediteringsorganet. Det bedömer ett kandidatorgans tekniska kompetens enligt förordning (EG) nr 765/2008.
  • BSI anmäler sedan det ackrediterade organet till Europeiska kommissionen, varefter det dyker upp i NANDO som ett CRA-anmält organ.

Det finns en tysk genväg värd att känna till. Utkastet till BSI-lag, enligt BT-Drs. 21/6134, ger BSI rätt att anmäla ett organ utan ackrediteringsintyg i definierade fall av allmänt intresse. Utkastet kopplar detta till förordningens eget mål, att medlemsstater ska sträva efter att ha tillräckligt antal anmälda organ på plats senast den 11 december 2026 för att undvika flaskhalsar. Undantaget finns till eftersom den normala ackrediteringsvägen kanske inte producerar tillräckligt många organ i tid. Läs det som en signal: Tyskland räknar med att kapaciteten bland anmälda organ blir knapp.

Kapacitetsproblemet är verkligt och gäller hela EU just nu. CRA:s ramverk för anmälda organ gäller från och med den 11 juni 2026. Per det datumet visar NANDO noll anmälda organ utsedda under CRA i hela unionen. Peka inte ut ett tyskt organ som CRA-utpekat förrän det dyker upp i NANDO. En tysk tillverkare kan använda vilket EU-anmält organ som helst när utpekningarna väl sker, inte bara ett tyskt. Att välja ett tyskt organ är en upphandlingspreferens, inte ett CRA-krav.

BSI TR-03183: varför du möter den i tysk upphandling

BSI publicerar den tekniska riktlinjen BSI TR-03183, med delar som täcker tillverkar- och produktkrav, mjukvaruförteckning (SBOM) och sårbarhetsrapporter. Det är en teknisk interimsvägledning, inte en harmoniserad standard, och den ger inte av sig själv den konformitetspresumtion som en harmoniserad standard skulle ge.

Den är ändå relevant i Tyskland av ett praktiskt skäl. BSI föreslås bli din marknadskontrollmyndighet och är redan en tung referenspunkt i tysk offentlig och industriell upphandling, så tyska köpare kommer sannolikt att citera TR-03183 eftersom det är BSI:s CRA-orienterade tekniska riktlinje. Behandla den som den måttstock tyska motparter kommer att använda, och som ett rimligt internt mål medan harmoniserade standarder fortfarande skrivs. Guiden om BSI TR-03183 täcker de obligatoriska datafälten och kvalitetsnivåerna i detalj.

Tyskspråkiga krav i praktiken

CRA knyter språkkravet till målgruppen, inte till en generell regel. Användarinriktad information måste finnas på ett språk som användarna och marknadskontrollmyndigheten enkelt förstår. För produkter som lanseras på den tyska marknaden är det tyska.

Måste vara på tyska:

  • Den information och de instruktioner till användaren som medföljer produkten.
  • Tillverkarens kontaktuppgifter oavsett var de visas, på produkten, förpackningen eller ett bifogat dokument.
  • Det slutdatum för support som lämnas vid köptillfället.

Kan vara flerspråkig:

  • CE-märkningen och produktetiketten.
  • Förpackningstext och onlinedokumentation, förutsatt att en tysk version är tillgänglig.

Engelska accepteras normalt för:

  • Intern teknisk dokumentation. På motiverad begäran kan BSI kräva den på ett språk myndigheten enkelt förstår, så planera för det även om du inte översätter proaktivt. Teknisk dokumentation kopplad till ett förfarande hos ett anmält organ måste finnas på ett officiellt språk i den medlemsstat där organet är etablerat, eller på ett språk som organet godtar.

EU-försäkran om överensstämmelse måste göras tillgänglig på de språk som krävs av den medlemsstat där produkten lanseras eller görs tillgänglig. För den tyska marknaden, förbered en tysk version i stället för att behandla översättning som en åtgärd enbart inför en kontroll.

Det enda undantaget: högrisksystem för artificiell intelligens

Tyskland centraliserar CRA:s marknadskontroll till BSI. Utkastet till genomförandelag gör det valet med avsikt, och dess motivering avvisar uttryckligen att sprida CRA-tillsynen över ett antal sektoriella myndigheter. För de flesta tillverkare är BSI tillsynsmyndigheten.

Det finns ett verkligt undantag, och det kommer från CRA:s egna regler, inte från tysk lag. Om din produkt är ett högrisk-AI-system under AI-förordningen är den marknadskontrollmyndighet som utsetts enligt AI-förordningen, inte BSI, ansvarig för CRA:s marknadskontroll av den produkten. I Tyskland utses den myndigheten under AI-förordningens genomförandelag (KI-MIG). De två myndigheterna samarbetar, men AI-sidan leder.

Vem kontrollerar dig? Är din produkt ett högrisk-AI-system under AI-förordningen?

Det här är det enda fall där en annan myndighet tar över CRA:s marknadskontroll. I Tyskland utses den myndigheten under AI-förordningens genomförandelag (KI-MIG).

Ja: AI-förordningens marknadskontrollmyndighet ansvarar för CRA-tillsynen och samarbetar med BSI Nej: BSI är din CRA-marknadskontrollmyndighet

Andra regelverk överlappar med CRA utan att förändra vem som kontrollerar det. En produkt kan falla under maskinförordningen samtidigt som CRA gäller, och BSI sköter ändå CRA-tillsynen medan myndigheten samarbetar med relevant sektormyndighet. Inom finanssektorn samarbetar BSI med tillsynsmyndigheterna under förordning (EU) 2022/2554 (DORA) i stället för att överlämna CRA-tillsynen till dem. Ändringarna av energi- och telekomlagstiftningen i samma förslag är NIS2-korrigeringar, inte en omfördelning av CRA-tillsynen. Om du tillverkar maskiner eller industriell automation, räkna med parallella skyldigheter, inte en annan CRA-tillsynsmyndighet.

Gränsöverskridande försäljning från Tyskland

En tysk tillverkare som säljer till Frankrike, Spanien, Italien eller någon annan EU-medlemsstat behåller samma enkla dirigeringsregel. Dina rapporter skickas fortfarande till CERT-Bund, eftersom dirigeringen följer din huvudsakliga etablering, inte destinationen per leverans. Du rapporterar inte till det franska, spanska eller italienska CSIRT.

Språkskyldigheten sprider sig däremot per marknad. En produkt som skickas till den franska marknaden behöver franskspråkigt användarinnehåll, en produkt till den spanska marknaden behöver spanska, och så vidare. Det tyska paketet täcker inte dessa marknader. Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära din tekniska dokumentation på ett språk som myndigheten enkelt förstår, så förbered de mest efterfrågade avsnitten på ett allmänt använt arbetsspråk i förväg.

Finansiering och stöd att kontrollera

Det finns inget CRA-specifikt tyskt bidrag. Bilden är allmän digitaliserings- och säkerhetsfinansiering, och en del av det har löpt ut.

  • go-digital är borta. Programmet gällde bara till den 31 december 2024, så ignorera äldre vägledning som fortfarande listar det.
  • Mittelstand-Digital erbjuder gratis rådgivning och nätverket Mittelstand-Digital Zentren, inte direkta medel till enskilda SMF.
  • KfW ERP-Förderkredit Digitalisierung und Innovation (programmen 511/512) är en finansieringslinje för digitalisering och IT-säkerhetsinvesteringar, inte ett CRA-bidrag.
  • Federala forskningsanslag kan stödja genuint cybersäkerhets-FoU, men kontrollera varje utlysning från fall till fall och behandla dem inte som rutinmässiga CRA-efterlevnadsbidrag.

Programfönster och behörighetskrav ändras ofta. Bekräfta aktuell status för varje linje innan du budgeterar mot den.

Vanliga frågor

Är BSI redan min CRA-marknadskontrollmyndighet?

Inte ännu. BSI föreslås bli både marknadskontrollmyndighet och anmälande myndighet för CRA under den tyska genomförandelagen, Gesetz zur Durchführung der Cyberresilienz-Verordnung. Den lagen ändrar BSI-lagen och är ett regeringsförslag, BT-Drs. 21/6134, som fortfarande befinner sig i lagstiftningsprocessen och ännu inte har antagits. Planera utifrån BSI, men kontrollera den antagna lagen innan du gör en formell anmälan. Det högsta bötesbeloppet BSI kan tillämpa är satt av förordningen till upp till 15 miljoner euro eller 2,5 % av den globala årliga omsättningen för de allvarligaste överträdelserna.

Var rapporterar jag en sårbarhet eller incident i Tyskland?

Till CERT-Bund, det nationella CERT inom BSI, när din huvudsakliga etablering finns i Tyskland. Du rapporterar via ENISA:s gemensamma rapporteringsplattform från den 11 september 2026, med CERT-Bund som mottagande koordinator och ENISA tillgänglig samtidigt. De två strömmarna har olika tidsfrister: en aktivt utnyttjad sårbarhet kräver rapporter inom 24 timmar, 72 timmar och 14 dagar efter att en åtgärd finns, medan en allvarlig incident kräver rapporter inom 24 timmar, 72 timmar och slutligen inom en månad från incidentanmälan. Se guiden om sårbarhetshantering och rapportering.

Finns det tyska anmälda organ jag kan använda i dag?

Per den 11 juni 2026, när CRA:s ramverk för anmälda organ börjar gälla, visar NANDO noll anmälda organ utsedda under CRA i hela EU. Förlita dig inte på att något tyskt organ är utpekat förrän det syns i NANDO. I Tyskland ackrediterar DAkkS ett kandidatorgan och BSI anmäler det sedan. Utkastet till BSI-lag ger BSI rätt att anmäla ett organ utan ackrediteringsintyg i definierade fall av allmänt intresse, just för att undvika den EU-omfattande flaskhals som förordningen själv varnar för. En tysk tillverkare kan använda vilket EU-anmält organ som helst, inte bara ett tyskt. Se guiden om bedömning av överensstämmelse.

Måste min tekniska dokumentation och EU-försäkran om överensstämmelse vara på tyska?

Den användarinformation, de instruktioner och de kontaktuppgifter som medföljer produkten måste finnas på ett språk som användare och marknadskontrollmyndighet enkelt förstår, vilket är tyska för den tyska marknaden. EU-försäkran om överensstämmelse måste finnas på det språk som Tyskland kräver, så förbered en tysk version. Intern teknisk dokumentation kan vanligtvis stanna på engelska, men BSI kan begära den på ett språk myndigheten enkelt förstår om det finns skäl för det, och dokumentation kopplad till ett förfarande hos ett anmält organ måste finnas på ett officiellt språk i det organets medlemsstat eller ett språk som organet godtar.

Ersätter BSI TR-03183 de harmoniserade standarderna?

Nej. BSI TR-03183 är en teknisk interimsvägledning från BSI, inte en harmoniserad standard, och den ger inte av sig själv den konformitetspresumtion som en harmoniserad standard skulle ge. Den är ändå värd att följa, eftersom BSI föreslås bli din marknadskontrollmyndighet och TR-03183 är dess CRA-orienterade tekniska riktlinje, vilket innebär att tyska köpare sannolikt kommer att citera den. Behandla den som ett praktiskt riktmärke medan harmoniserade standarder fortfarande skrivs. Se guiden om BSI TR-03183.

Kan en annan myndighet hantera CRA-tillsynen i stället för BSI?

I de flesta fall nej. Tyskland centraliserar CRA:s marknadskontroll till BSI, och utkastet till genomförandelag avvisar med avsikt att sprida den till sektoriella myndigheter. Det enda verkliga undantaget kommer från CRA:s egna regler: om din produkt är ett högrisk-AI-system under AI-förordningen är den marknadskontrollmyndighet som utsetts under AI-förordningen ansvarig för CRA-tillsynen också, i samarbete med BSI. Inom andra reglerade sektorer, till exempel finans under DORA, samarbetar BSI med sektortillsynsmyndigheten i stället för att överlämna tillsynen. Se guiden om maskinförordningen för ett exempel på ett regelverk som gäller parallellt med CRA.

Vad måste vara på plats före den 11 december 2027?

Den fullständiga CRA gäller från och med den 11 december 2027, men två tidigare datum är viktigare för planeringen. Ramverket för anmälda organ gäller redan från den 11 juni 2026, och rapporteringsskyldigheterna gäller från den 11 september 2026 när ENISA-plattformen är live. Sårbarhetsrapportering är infrastruktur, inte en sista minuten-uppgift, så bygg CERT-Bund-rapporteringsflödet och ditt evidensspår nu. Tillverkarguiden beskriver hela skyldighetspaketet att arbeta bakåt från.

För tyska tillverkare som förbereder sig för den 11 december 2027

  1. Bekräfta dina tillverkarskyldigheters omfång med hjälp av tillverkarguiden.
  2. Verifiera att din huvudsakliga etablering finns i Tyskland och dokumentera motiveringen. Det är platsen för cybersäkerhetsbeslutsfattande, inte det registrerade sätet, som avgör.
  3. Bygg ditt CRA-rapporteringsflöde till CERT-Bund som mottagande CSIRT och testa en inlämning via ENISA:s gemensamma rapporteringsplattform när den är live den 11 september 2026.
  4. Om din väg kräver ett anmält organ, bevaka NANDO för CRA-utpekningar och kartlägg minst ett gränsöverskridande alternativ för resiliens.
  5. Förbered tysk användarinformation, en tysk EU-försäkran om överensstämmelse och teknisk dokumentation som du kan lämna till BSI på motiverad begäran.
  6. Kontrollera om din produkt är ett högrisk-AI-system. Om det är det ansvarar AI-förordningens marknadskontrollmyndighet, inte BSI, för CRA-tillsynen.

Den här artikeln är enbart informativ och utgör inte juridisk rådgivning. Kontakta kvalificerad juridisk rådgivare för specifik CRA-efterlevnadsvägledning.

CRA Tyskland Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad