Cluster A · Grundverständnis

CRA: Hersteller, Importeur oder Händler?

Verfasst am
Lesezeit
5 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Wer ist Wirtschaftsakteur nach dem Cyber Resilience Act? Definitionen, Beispiele und Pflichten für Hersteller, Bevollmächtigte, Importeure und Händler.

Inhaltsverzeichnis
  1. Warum die Rolle entscheidend ist
  2. Die vier Wirtschaftsakteure nach Artikel 3 CRA
  3. 1. Hersteller (Manufacturer)
  4. 2. Bevollmächtigter (Authorised Representative)
  5. 3. Importeur (Importer)
  6. 4. Händler (Distributor)
  7. Rollen, Pflichten und Haftung im Vergleich
  8. Sonderfall: Open-Source-Entwickler
  9. Wie Sie Ihre Rolle bestimmen
  10. Quellen

Warum die Rolle entscheidend ist

Der Cyber Resilience Act (EU-Verordnung 2024/2847) verteilt seine Pflichten nicht gleichmäßig auf alle, die mit vernetzten Produkten zu tun haben. Er definiert vier Wirtschaftsakteure — und weist jedem eine spezifische Verantwortung zu.

Wer seine Rolle falsch einschätzt, unterschätzt möglicherweise seine Pflichten. Oder zahlt Compliance-Aufwand für Anforderungen, die gar nicht auf ihn zutreffen. Beides kostet Geld.

Das ist der Punkt, den viele übersehen: Die Fehleinschätzung beim Importeur ist besonders gefährlich. Als Importeur zu gelten klingt nach wenig. Tatsächlich übernehmen Sie dabei die vollständige Herstellerhaftung für den EU-Markt. Die Bestimmung der eigenen Rolle ist deshalb der logisch erste Schritt vor jeder CRA-Analyse.

Die vier Wirtschaftsakteure nach Artikel 3 CRA

1. Hersteller (Manufacturer)

Definition nach Artikel 3 Nummer 13 CRA: Eine natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellt oder die Entwicklung oder Herstellung eines solchen Produkts in Auftrag gibt und dieses Produkt unter ihrem eigenen Namen oder ihrer eigenen Marke, ob entgeltlich oder unentgeltlich, in Verkehr bringt.¹

In einfacher Sprache: Wer ein Produkt entwickelt (oder entwickeln lässt) und es unter eigenem Namen auf den Markt bringt, ist Hersteller — unabhängig davon, ob die Entwicklung intern oder durch Dritte erfolgt.

Typische Beispiele:

  • Deutsches Softwareunternehmen entwickelt eine B2B-SaaS-Plattform mit lokal installiertem Client → Hersteller
  • Startup lässt eine mobile App durch ein Nearshore-Team entwickeln, bringt sie unter eigenem Markennamen in den App-Store → Hersteller
  • Maschinenbauer integriert zugekaufte Steuerungssoftware in seine Maschine und bringt die Gesamtmaschine in Verkehr → Hersteller (für die Gesamtmaschine; ggf. auch für die integrierte Software)

Pflichten: Die Hersteller-Rolle trägt die umfangreichsten CRA-Pflichten — von der Risikoanalyse über SBOM und technische Dokumentation bis zur CE-Kennzeichnung und laufenden Schwachstellenmeldung.

In der Praxis erleben wir: Gerade IoT-Startups und Industrie-4.0-Anbieter, die embedded-Software für Heizungssteuerungen oder industrielle MQTT-Gateways entwickeln, unterschätzen den Umfang dieser Pflichten systematisch. Sie sehen sich als Softwareunternehmen — und werden vom CRA als Hersteller mit dem vollen Pflichtenprogramm behandelt.

Ein konkretes Szenario: Ein Maschinenbauer aus dem Mittelstand entwickelt ein Condition-Monitoring-System für Fertigungsanlagen — Sensor, Edge-Gateway, Cloud-Dashboard, alles unter eigenem Label. Ab dem 11. Dezember 2027 muss er dafür eine vollständige Risikoanalyse nach Anhang I vorlegen, eine SBOM pflegen und aktiv Schwachstellen melden. Kein Aufschub, kein Bestandsschutz für Produkte, die nach diesem Datum in Verkehr gebracht werden.

2. Bevollmächtigter (Authorised Representative)

Definition nach Artikel 3 Nummer 15 CRA: Eine in der Union niedergelassene natürliche oder juristische Person, die vom Hersteller schriftlich bevollmächtigt wurde, in seinem Namen bestimmte Aufgaben zu erfüllen.¹

In einfacher Sprache: Der Bevollmächtigte ist der EU-Vertreter eines Herstellers, der außerhalb der EU sitzt. Er übernimmt stellvertretend definierte Pflichten des Herstellers gegenüber EU-Behörden.

Typisches Beispiel:

  • US-amerikanisches Unternehmen entwickelt eine IoT-Gerätesuite und bringt sie auf dem EU-Markt in Verkehr. Es beauftragt eine deutsche GmbH, als Bevollmächtigter zu agieren — sie verwahrt die EU-Konformitätserklärung und steht als Ansprechpartner für Marktaufsichtsbehörden zur Verfügung.

Pflichten: Begrenzt auf die schriftlich übertragenen Aufgaben — typischerweise Aufbewahrung technischer Unterlagen, Meldungen gegenüber Behörden, Kooperation mit der Marktaufsicht. Der Bevollmächtigte haftet für die Korrektheit der ihm übertragenen Aufgaben.

3. Importeur (Importer)

Definition nach Artikel 3 Nummer 16 CRA: Eine in der Union niedergelassene natürliche oder juristische Person, die ein Produkt mit digitalen Elementen aus einem Drittland in der Union in Verkehr bringt.¹

In einfacher Sprache: Wer ein Produkt eines Nicht-EU-Herstellers kauft und es in der EU vermarktet oder verkauft, ist Importeur — und übernimmt damit erhebliche Verantwortung.

Die Importeur-Falle in der Praxis:

Ein deutscher Maschinenbauer, der US-amerikanische SCADA-Software in seine Anlagen integriert und das Gesamtsystem als eigenes Produkt verkauft, gilt gegenüber dem Endkunden als Hersteller — nicht als Händler. Er trägt die vollständigen CRA-Herstellerpflichten: Risikoanalyse, SBOM, technische Dokumentation, CE-Kennzeichnung. Das gilt unabhängig davon, ob er die SCADA-Komponente selbst entwickelt hat oder zugekauft hat.

Aber auch wer lediglich ein US-IoT-Produkt in Deutschland unter dem Namen des US-Herstellers verkauft, ohne es zu verändern, ist Importeur — und muss sicherstellen, dass der US-Hersteller seine CRA-Pflichten vollständig erfüllt hat, bevor das Produkt den EU-Markt erreicht. Viele Importeure unterschätzen diesen Prüfaufwand erheblich.

Konkret bedeutet das: Ein europäischer Distributor, der asiatische Industrie-Router für Smart-Factory-Anwendungen vertreibt, muss vor dem ersten Verkauf prüfen, ob der Hersteller die Konformitätsbewertung nach Artikel 32 CRA abgeschlossen hat — und darf das Produkt andernfalls nicht in den Markt bringen. Das klingt nach bürokratischem Aufwand. Ist es auch.

Typische Beispiele:

  • Deutsches Unternehmen kauft eine US-IoT-Lösung (Sensor + Cloud-Plattform) und verkauft sie in der EU unter dem Namen des US-Herstellers → Importeur
  • Europäischer Systemintegrator beschafft asiatische Netzwerkhardware und baut sie in Kundensysteme ein → Importeur
  • Deutscher Distributor bringt Produkte eines Schweizer Herstellers (Nicht-EU) in den deutschen Markt → Importeur

Pflichten: Der Importeur muss sicherstellen, dass der Hersteller seine CRA-Pflichten erfüllt hat, bevor das Produkt in den EU-Markt gelangt. Konkret muss der Importeur:

  • prüfen, ob das Konformitätsbewertungsverfahren durchgeführt wurde
  • sicherstellen, dass technische Dokumentation vorhanden ist
  • sicherstellen, dass CE-Kennzeichnung und EU-Konformitätserklärung vorliegen
  • das Produkt nicht in Verkehr bringen, wenn Zweifel an der Konformität bestehen
  • eigenen Namen und Kontaktdaten auf dem Produkt oder seiner Verpackung angeben
  • Behörden bei Nicht-Konformität unverzüglich informieren

Der Importeur haftet, wenn er ein nicht-konformes Produkt in Verkehr bringt.

4. Händler (Distributor)

Definition nach Artikel 3 Nummer 17 CRA: Eine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen auf dem Markt bereitstellt, ohne dass es sich um den Hersteller oder den Importeur handelt.¹

In einfacher Sprache: Der Händler stellt Produkte auf dem Markt bereit, ohne selbst Hersteller oder Importeur zu sein — also typischerweise der Weiterverkäufer.

Typische Beispiele:

  • IT-Reseller verkauft Sicherheitssoftware eines deutschen Herstellers weiter → Händler
  • Online-Marktplatz verkauft vernetzte Produkte verschiedener Hersteller → Händler (außer bei eigenen Marken)
  • Großhändler distribuiert Netzwerkequipment an Fachhändler → Händler

Pflichten: Händler tragen die geringsten CRA-Pflichten. Sie müssen:

  • sicherstellen, dass das Produkt die CE-Kennzeichnung trägt und eine EU-DoC vorhanden ist
  • keine Produkte bereitstellen, bei denen offensichtliche Nicht-Konformität erkennbar ist
  • Behörden und Hersteller über Sicherheitsrisiken informieren, wenn bekannt

Rollen, Pflichten und Haftung im Vergleich

MerkmalHerstellerBevollmächtigterImporteurHändler
Risikoanalyse und Anhang IJa, vollständigNeinPrüfpflichtNein
SBOM-ErstellungJaNeinNeinNein
Technische DokumentationErstellen und 10 Jahre aufbewahrenAufbewahren (wenn übertragen)Zugang sicherstellenNein
CE-KennzeichnungAnbringenNeinSicherstellenSicherstellen
EU-KonformitätserklärungAusstellenAufbewahren (wenn übertragen)SicherstellenNein
Sicherheitsupdates5+ JahreNeinNeinNein
24h-SchwachstellenmeldungJa (ab Sept. 2026)NeinNeinNein
Eigene Kontaktdaten auf ProduktJaJaJaNein
Haftung bei Nicht-KonformitätPrimärFür übertragene AufgabenSekundärBegrenzt

Sonderfall: Open-Source-Entwickler

Artikel 16 des CRA enthält eine wichtige Ausnahme für Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit entwickelt wird:¹

Nicht-kommerzielle Open-Source-Entwicklung fällt grundsätzlich nicht unter die CRA-Hersteller-Pflichten. Die Verordnung erkennt an, dass Open-Source-Software häufig ohne Entgelt und ohne kommerzielle Absicht entwickelt wird — die vollständigen Hersteller-Pflichten wären für ehrenamtliche Entwickler nicht zumutbar.

Was ist eine kommerzielle Tätigkeit? Die Verordnung nennt als Indizien: Entgelt für das Produkt, das Anbieten von bezahltem Support oder Managed Services auf Basis der Software sowie das systematische Einsammeln von Nutzerdaten zu Monetarisierungszwecken. Open-Source-Komponenten, die ein Hersteller in ein kommerzielles Produkt integriert, verlieren ihren Sonderstatus — der Hersteller des Gesamtprodukts haftet dann vollständig.

Was viele CRA-Berater nicht sagen: Wer eine quelloffene Bibliothek in seine embedded-Software für Industriesteuerungen einbindet und das Gesamtprodukt verkauft, ist für diese Komponente genauso haftbar wie für selbst geschriebenen Code. Die Open-Source-Ausnahme schützt die Entwickler der Bibliothek — nicht den Hersteller des Endprodukts.

Sobald das Produkt kommerziell vermarktet wird, greift die Ausnahme nicht mehr. Das betrifft insbesondere IoT-Startups, die auf quelloffenen Protokoll-Stacks wie MQTT oder CoAP aufbauen und ihre Gerätelösungen dann als Subscription-Modell verkaufen.

Open-Source-Software-Stewards (Artikel 16 Absatz 2): Für Organisationen, die nicht-kommerzielle Open-Source-Software systematisch und regelmäßig unterstützen (z. B. Stiftungen, öffentliche Einrichtungen), sieht der CRA eine eigene Kategorie vor: den Open-Source-Software-Steward. Diese Stewards unterliegen eigenen Pflichten — insbesondere der Pflicht, eine Sicherheitsrichtlinie zu veröffentlichen und Schwachstellen-Meldungen zu koordinieren (CVD-Policy), obwohl sie nicht den vollständigen Hersteller-Pflichten unterliegen.¹

Wie Sie Ihre Rolle bestimmen

Die Bestimmung der eigenen Rolle folgt einer klaren Priorität:

  1. Bringen Sie das Produkt unter eigenem Namen oder eigener Marke in Verkehr? → Hersteller (unabhängig davon, ob Sie selbst entwickeln oder entwickeln lassen)
  2. Hat der Hersteller Sie schriftlich bevollmächtigt? → Bevollmächtigter
  3. Bringen Sie ein Produkt eines Nicht-EU-Herstellers in der EU in Verkehr? → Importeur
  4. Stellen Sie das Produkt lediglich weiter bereit? → Händler

Ein Unternehmen kann mehrere Rollen gleichzeitig innehaben. Konkret bedeutet das: Ein Hersteller eigener Produkte, der gleichzeitig Produkte eines US-Unternehmens importiert und vertreibt, ist für das eigene Produkt Hersteller — und für das fremde Produkt Importeur. Zwei Rollen, zwei Pflichtenpakete.

Was Hersteller oft übersehen: Diese Rollentrennung gilt auch intern. Entwickelt ein Unternehmen eine eigene Steuerungsplattform für Gebäudetechnik und vertreibt daneben lizenzierte Sensorik eines japanischen Anbieters, muss die Compliance-Dokumentation beide Stränge sauber trennen — sonst drohen Lücken bei der Marktaufsicht.

Die Rollenbestimmung ist der erste Schritt — danach folgt die Produktklassifizierung: In welche Risikoklasse fällt Ihr Produkt, und welches Konformitätsbewertungsverfahren ist erforderlich? Mehr dazu unter CRA Risikoklassen: Default, Important, Critical erklärt.

Eine vollständige Übersicht aller Hersteller-Pflichten finden Sie unter CRA-Pflichten für Hersteller.

Starten Sie jetzt den kostenlosen CRA-Check — in wenigen Minuten erhalten Sie eine indikative Einschätzung, welche Rolle und welche Pflichten für Ihr Produkt gelten.

Quellen

  1. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act), Artikel 3 (Nummern 13–17), Artikel 13–22, Artikel 16: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. ENISA — Wirtschaftsakteure und Rollen im CRA: https://www.enisa.europa.eu/topics/cyber-resilience-act
  3. BSI — CRA: Übersicht der Pflichten je Wirtschaftsakteur: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.