Was sind die Pflichten für Importeure und Distributoren nach dem Cyber Resilience Act?

Bisher standen beim Thema Cyber Resilience Act vor allem die Hersteller im Rampenlicht. Doch der CRA geht deutlich weiter, er verpflichtet auch Importeure und Distributoren, aktiv Verantwortung für die Sicherheit von Produkten mit digitalen Elementen zu übernehmen.

Damit entsteht ein dichtes Netz von Kontrollmechanismen entlang der gesamten Lieferkette, das gewährleisten soll, dass unsichere oder nicht konforme Produkte gar nicht erst auf den europäischen Markt gelangen.

Die Rolle der Importeure

Importeure sind die erste Kontrollinstanz für Produkte, die von außerhalb der Europäischen Union eingeführt werden. Sie tragen die Verantwortung dafür, dass nur Produkte auf den europäischen Markt kommen, die den Anforderungen des CRA entsprechen.

Bevor ein Produkt vertrieben werden darf, müssen Importeure kontrollieren, ob es eine gültige Konformitätserklärung gibt, die technische Dokumentation erstellt wurde, das CE-Kennzeichen korrekt angebracht ist und alle vorgeschriebenen Nutzerinformationen beiliegen. Außerdem müssen sie sicherstellen, dass jedes Produkt eindeutig gekennzeichnet ist, beispielsweise mit einer Seriennummer oder einer vergleichbaren Identifikationsnummer, zumindest soweit dies möglich ist.

Zu den Begleitinformationen gehören auch der Name und die eingetragene Handelsmarke des Herstellers sowie eine Kontaktanschrift inklusive E-Mail-Adresse. Zusätzlich müssen den Kunden klare und verständliche Anleitungen zur Installation, Nutzung, Wartung des Produkts bereitgestellt werden. Besonders wichtig ist außerdem, dass der Hersteller einen Supportzeitraum festgelegt und transparent kommuniziert hat. Dieser Zeitraum orientiert sich an der üblichen Lebensdauer des Produkts und beträgt mindestens fünf Jahre.

Damit wird sichergestellt, dass nur Produkte auf den europäischen Markt gelangen, die tatsächlich konform sind, unabhängig davon, wo sie entwickelt oder produziert wurden.

Stellt ein Importeur fest, dass ein Produkt nicht konform ist oder ein erhebliches Risiko darstellt, darf er es nicht auf den Markt bringen. In solchen Fällen muss er sowohl den Hersteller als auch die zuständigen Marktaufsichtsbehörden informieren. Darüber hinaus ist er verpflichtet, die Konformitätserklärung über mindestens zehn Jahre hinweg aufzubewahren und sicherzustellen, dass die technische Dokumentation den Behörden auf Anfrage zugänglich gemacht wird.

Falls ein Hersteller seine Geschäftstätigkeit einstellt und die Pflichten nicht mehr erfüllen kann, liegt es ebenfalls am Importeur, die Behörden zu informieren und soweit möglich auch die Endnutzer in Kenntnis zu setzen.

CRA Gap-Analyse

Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

Zur Gap-Analyse

Die Rolle der Distributoren

Distributoren, also Händler, Großhändler oder Reseller innerhalb der EU, sind die letzte Instanz, bevor ein Produkt an die Endkunden gelangt. Ihre Aufgabe ist es, mit der nötigen Sorgfalt zu prüfen, ob die Produkte, die sie weitergeben, den Anforderungen des CRA entsprechen. Sie können die Verantwortung nicht auf den Hersteller abschieben, sondern müssen selbst aktiv tätig werden.

Dazu gehört die Kontrolle, ob das Produkt korrekt mit einem CE-Kennzeichen versehen ist, ob die notwendigen Unterlagen wie die Konformitätserklärung beiliegen und ob alle Begleitinformationen vollständig sind. Dazu zählen eine eindeutige Kennzeichnung des Produkts, die Angaben zum Hersteller, eine Kontaktanschrift sowie klare Anleitungen für den sicheren Betrieb. Außerdem müssen Distributoren sicherstellen, dass der Hersteller den Supportzeitraum definiert und gegenüber den Kunden offengelegt hat.

Wenn ein Distributor Zweifel an der Konformität hat, darf er das Produkt nicht weitergeben, bis die Mängel behoben sind. Erkennt er sogar ein erhebliches Cyberrisiko, ist er verpflichtet, den Hersteller und die zuständigen Marktaufsichtsbehörden sofort zu informieren. Auch Distributoren müssen eng mit den Behörden zusammenarbeiten und auf Anfrage alle notwendigen Informationen zur Verfügung stellen.

Sollte ein Hersteller ausfallen und seine Pflichten nicht mehr wahrnehmen können, sind auch die Distributoren verpflichtet, Behörden und soweit möglich die Endnutzer darüber zu informieren.

Sonderregel aus Artikel 21: Wenn Händler zu Herstellern werden

Eine besonders wichtige Regelung des CRA besagt, wenn ein Importeur oder Distributor ein Produkt unter eigenem Namen oder eigener Marke vertreibt oder das Produkt wesentlich verändert, wird er automatisch wie ein Hersteller behandelt. In diesem Fall übernimmt er sämtliche Pflichten eines Herstellers, von der Risikoanalyse über das Schwachstellenmanagement bis hin zur Verpflichtung, Updates bereitzustellen und eine vollständige technische Dokumentation zu führen.

Wichtig für die Praxis

Importeure sind die Torwächter für Produkte aus Drittstaaten. Sie müssen vor der Markteinführung sehr genau prüfen, ob alle Anforderungen erfüllt sind, und tragen langfristige Dokumentationspflichten.

Distributoren sind die letzte Kontrollinstanz in der Lieferkette. Sie dürfen nur Produkte weitergeben, die konform sind, und müssen bei Risiken sofort handeln.

Beide Gruppen können im Zweifel sogar selbst wie Hersteller behandelt werden.

Fazit

Mit dem Cyber Resilience Act verteilt die EU die Verantwortung für Cybersicherheit auf alle Akteure entlang der Lieferkette. Hersteller, Importeure und Distributoren bilden gemeinsam ein Sicherheitsnetz, das verhindern soll, dass unsichere Produkte in den europäischen Markt gelangen. Besonders wichtig ist, dieses Schutzniveau gilt unabhängig davon, wo ein Produkt entwickelt oder produziert wurde. Ob aus Asien, den USA oder Europa, sobald es auf den Binnenmarkt gelangt, muss es die gleichen Anforderungen erfüllen.

Für Unternehmen bedeutet das, ihre internen Prozesse neu zu strukturieren, um Prüfungs- und Dokumentationspflichten konsequent zu erfüllen. Für Verbraucherinnen und Verbraucher entsteht dadurch ein höheres Maß an Sicherheit und Transparenz.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.