Zum Inhalt springen
SynergyBit
Rollen & Pflichten

Hersteller, Importeur, Händler: wer nach dem CRA welche Pflichten hat

8 Min. Lesezeit

Der Cyber Resilience Act spricht nicht nur von 'Unternehmen' – er unterscheidet präzise die Rollen in der Lieferkette. Jede Rolle trägt ein anderes Maß an Verantwortung und andere Pflichten. Die erste zu beantwortende Frage lautet daher nicht 'Was sollen wir tun', sondern 'Wer sind wir eigentlich'.

Drei Rollen, drei Verantwortungsebenen

Der CRA arbeitet primär mit den Rollen Hersteller, Importeur und Händler. Ihre Pflichten sind nicht gleich – sie bilden eine Art Pyramide, an deren Spitze der Hersteller mit der höchsten Verantwortung steht. Die eigene Rolle zu klären ist eine notwendige Voraussetzung für jede weitere Vorbereitung.

Hersteller – trägt die Hauptlast

Der Hersteller ist derjenige, der ein Produkt entwirft oder herstellt und es unter eigenem Namen oder eigener Marke in Verkehr bringt. Die überwiegende Mehrheit der CRA-Pflichten trifft den Hersteller:

  • das Produkt nach den Grundsätzen von Security by Design entwerfen und herstellen,
  • eine Cybersicherheits-Risikobewertung durchführen und dokumentieren,
  • Schwachstellen über den gesamten Supportzeitraum managen und Updates bereitstellen,
  • technische Dokumentation führen und die EU-Konformitätserklärung ausstellen,
  • aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden,
  • Nutzern Informationen und Anleitungen für die sichere Nutzung bereitstellen.

Importeur – eine Prüfrolle

Ein Importeur bringt ein Produkt eines Herstellers aus einem Drittland auf den EU-Markt. Er übernimmt nicht automatisch die Pflichten des Herstellers, hat aber eigene – vor allem Prüfpflichten. Vor dem Inverkehrbringen muss der Importeur prüfen, dass der Hersteller seine Pflichten erfüllt hat: dass er eine Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, das CE-Kennzeichen angebracht und die erforderlichen Informationen beigefügt hat.

  • die Compliance des Herstellers prüfen und kein Produkt in Verkehr bringen, von dem er weiß, dass es die Anforderungen nicht erfüllt,
  • sicherstellen, dass die technische Dokumentation verfügbar ist,
  • mit den Marktüberwachungsbehörden zusammenarbeiten und festgestellte Risiken melden.

Händler – mit der gebotenen Sorgfalt handeln

Ein Händler stellt ein Produkt auf dem Markt bereit, ist aber weder Hersteller noch Importeur. Seine Pflicht ist, mit der gebotenen Sorgfalt zu handeln – insbesondere zu prüfen, dass das Produkt das CE-Kennzeichen trägt und von den erforderlichen Informationen begleitet wird, und kein Produkt bereitzustellen, von dessen Nichtkonformität er weiß.

Achtung: wann sich die Rolle ändert

Der häufigste Fehler ist die Annahme 'wir sind nur Importeur, also betrifft uns das kaum'. Der CRA enthält jedoch Regeln, nach denen ein Importeur oder Händler den Pflichten des Herstellers unterliegt:

  • Sie bringen das Produkt unter eigenem Namen oder eigener Marke in Verkehr (typischerweise Private Label),
  • Sie nehmen eine wesentliche Veränderung am Produkt vor, nachdem es in Verkehr gebracht wurde.

Die wichtigsten Punkte

  • Der CRA unterscheidet die Rollen Hersteller, Importeur und Händler – jede hat andere Pflichten.
  • Der Hersteller trägt die überwiegende Mehrheit der Pflichten; der Importeur prüft, der Händler handelt mit gebotener Sorgfalt.
  • Private Label oder eine wesentliche Veränderung macht aus einem Importeur/Händler einen Hersteller.
  • Die Rolle ist für jedes Produkt einzeln zu bestimmen.

Verwandte Leistung

Lieferanten & Hersteller

Zurück zum Blog

Alle Artikel

Beginnen Sie mit dem CRA, bevor die Frist Sie einholt

Eine kostenlose Beratung zeigt Ihnen schnell, wo Sie stehen und welcher Weg zur Compliance der kürzeste ist.

Beratung vereinbaren