Cyber Resilience Act
Pflichten von Importeuren und Händlern
Der CRA verteilt die Verantwortung über die gesamte Lieferkette. Importeure dürfen nur Produkte auf den Markt bringen, die die CRA-Anforderungen erfüllen, die CE-Kennzeichnung tragen und die nötige Dokumentation mitbringen. Händler müssen mit gebotener Sorgfalt prüfen, dass Kennzeichnung und Unterlagen vorhanden sind. Beide müssen bei Nichtkonformität oder bekannten Schwachstellen reagieren.
Warum diese Pflicht wichtig ist
Auch mittelständische Distributoren und Wiederverkäufer digitaler Produkte werden erstmals in die Pflicht genommen. Wer ein nicht konformes Produkt einführt oder vertreibt, haftet mit. Wer ein Produkt unter eigenem Namen weitervertreibt oder wesentlich verändert, übernimmt sogar die vollen Herstellerpflichten.
So setzen Sie die Pflicht um
- 1Vor Import/Vertrieb prüfen, ob CE-Kennzeichnung und EU-Konformitätserklärung vorliegen
- 2Verfügbarkeit der technischen Dokumentation beim Hersteller sicherstellen
- 3Eigene Rolle klären: reiner Händler oder faktisch Hersteller (Eigenmarke, wesentliche Änderung)
- 4Prozess für den Umgang mit nicht konformen Produkten und gemeldeten Schwachstellen aufsetzen
- 5Kontaktdaten des Herstellers und ggf. eigene Angaben am Produkt dokumentieren
Diese Nachweise sind gefragt
- Prüfnachweis (CE, Konformitätserklärung, Dokumentation) je bezogenem Produkt
- Dokumentierte Rollenbewertung (Händler vs. Hersteller)
- Prozess und Aufzeichnungen zum Umgang mit Nichtkonformität
Häufige Fehler
Blind weiterverkauft
Produkte werden ohne Prüfung von CE-Kennzeichnung und Konformitätserklärung importiert oder vertrieben.
Eigenmarke unterschätzt
Wer ein Produkt unter eigenem Namen anbietet, wird zum Hersteller im Sinne des CRA, ohne das zu bedenken.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Konformitätsbewertung / CE-Kennzeichnung
Die Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die gesetzlichen Anforderungen erfüllt. Als sichtbares Ergebnis wird die CE-Kennzeichnung angebracht, unter dem CRA auch für die IT-Sicherheit.
Häufig gestellte Fragen
Welche Pflichten haben Importeure?
Importeure dürfen nur konforme, CE-gekennzeichnete Produkte mit vollständiger Dokumentation auf den EU-Markt bringen und müssen bei Zweifeln an der Konformität tätig werden.
Was müssen Händler beachten?
Händler prüfen mit gebotener Sorgfalt, ob CE-Kennzeichnung und erforderliche Unterlagen vorhanden sind, und reagieren auf Hinweise zu Nichtkonformität oder Schwachstellen.
Wann wird ein Händler zum Hersteller?
Wer ein Produkt unter eigenem Namen oder eigener Marke vertreibt oder ein bereits in Verkehr gebrachtes Produkt wesentlich verändert, übernimmt die Herstellerpflichten.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
