„Wir sind nur Importeur. Der Cyber Resilience Act betrifft die Hersteller in China." Das klingt logisch. Ist aber falsch, sobald Ihr Name oder Ihre Marke auf dem Produkt steht.
Wer ist Hersteller im Sinne des CRA?
Der EU Cyber Resilience Act ist an dieser Stelle eindeutig: Wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt, gilt als Hersteller. Nicht als Importeur. Nicht als Händler. Als Hersteller. Mit allen Pflichten.
Die Definition findet sich in Artikel 3 und wird in Artikel 21 nochmals zugespitzt: Auch Importeure und Händler werden zu Herstellern im Sinne der Verordnung, wenn sie ein Produkt unter eigenem Namen oder eigener Marke in Verkehr bringen, oder wenn sie es so wesentlich verändern, dass es als neues Produkt zu bewerten ist.
Das bedeutet: Wer das Logo draufpappt, übernimmt die Verantwortung. Risikobewertung, SBOM, Security by Default, Schwachstellenmanagement, Meldepflichten, technische Dokumentation. Alles liegt bei Ihnen. Nicht bei Ihrem Zulieferer in Shenzhen.
Warum Whitelabel-Anbieter besonders betroffen sind
Besonders betroffen sind Unternehmen mit Eigenmarken und Whitelabel-Produkten. Das klassische Geschäftsmodell, also Produkt aus Asien einkaufen, eigenes Logo drauf und in Europa vertreiben, funktioniert unter dem CRA nur noch mit erheblichem Compliance-Aufwand auf Ihrer Seite.
Wer bisher die CE-Papiere vom Vorlieferanten geprüft und weitergereicht hat, steht jetzt selbst in der Verantwortung, und zwar für alle CRA-spezifischen Anforderungen, nicht nur für die formale Konformitätserklärung.
Typische Konstellationen:
- Eigenmarken-Anbieter im Smart-Home- oder IoT-Segment, die OEM-Hardware umbranden
- Maschinenbau-Integratoren, die fertige Steuerungskomponenten von Zulieferern unter eigenem Label vertreiben
- Distributoren, die Whitelabel-Geräte für den europäischen Markt anpassen
- Online-Händler mit Eigenmarken für Consumer-Elektronik
In allen Fällen gilt: Sobald Ihr Logo das Produkt verlässt, sind Sie der Adressat aller CRA-Pflichten.
Mythos vs. Fakt
Mythos: Wir importieren nur, also sind wir nicht betroffen.
Fakt: Ihr Logo auf dem Produkt macht Sie zum Hersteller im Sinne des CRA, mit der vollen Pflichtenliste.
Was Sie konkret jetzt prüfen sollten
Warten Sie nicht bis 2027. Gehen Sie jetzt Ihre Lieferverträge durch und verankern Sie konkret:
1. SBOM-Lieferpflicht. Format, Aktualisierungsfrequenz, Lieferzeitpunkt. Ohne SBOM keine belastbare Konformitätsaussage und kein Schwachstellenmanagement.
2. Zugang zur technischen Dokumentation. Sie müssen die Konformitätsbewertung belegen können, ohne Designdaten und Quelldokumentation des Zulieferers wird das schwierig.
3. Vertraglich garantierte Unterstützung bei Schwachstellen. Reaktionszeiten passend zur 24-Stunden-Meldepflicht. Wenn der chinesische Zulieferer drei Tage für eine Erstreaktion braucht, sind Sie längst in der Pflichtverletzung.
4. Update-Verpflichtungen über den Produktlebenszyklus. Der CRA verlangt Sicherheitsupdates über den erwarteten Nutzungszeitraum. Ihr Zulieferer muss diesen Horizont mittragen, vertraglich.
5. Audit-Rechte und Exit-Pfade. Was passiert bei Vertragsende oder Insolvenz des Zulieferers? Ohne Zugang zu Designdaten ist Ihr Produkt nach dem nächsten Wechsel nicht mehr wartbar.
Mehr zum Thema Haftungsdelegation an Zulieferer habe ich an anderer Stelle aufbereitet.
Häufig gestellte Fragen
Bin ich Importeur oder Hersteller, wenn ich Whitelabel-Produkte verkaufe? Sobald Ihr Name, Ihre Marke oder Ihr Logo auf dem Produkt steht, sind Sie nach CRA Hersteller, nicht Importeur. Die Pflichten des Herstellers gelten in vollem Umfang.
Was sagt der CRA zur Whitelabel-Konstellation? Der CRA macht den Inverkehrbringer mit eigener Kennzeichnung zum Hersteller im Sinne der Verordnung. Risikobewertung, SBOM, Schwachstellenmanagement und Meldepflichten liegen bei Ihnen.
Welche Pflichten habe ich als Whitelabel-Anbieter unter dem CRA? Alle Herstellerpflichten: Risikobewertung, SBOM, Security by Default, kontinuierliches Schwachstellenmanagement, 24-Stunden-Meldepflicht gegenüber ENISA, technische Dokumentation und EU-Konformitätserklärung.
Kann mein Lieferant aus China die CRA-Compliance für mich übernehmen? Nein. Der CRA kennt keine Haftungsdelegation. Vertragliche Vereinbarungen regeln das Innenverhältnis, ändern aber nichts an Ihrer öffentlich-rechtlichen Pflicht.
Fazit
Ihr Logo macht Sie zum Hersteller im Sinne des CRA. Die Pflichten lassen sich nicht delegieren, auch nicht über Lieferverträge.
Wer heute beginnt, Lieferverträge auf SBOM-Daten, Reaktionszeiten, Update-Pflichten und Datenzugang nachzuziehen, hat 2027 einen funktionierenden Compliance-Stack. Wer wartet, riskiert Bußgelder und Rückrufe, und steht in der ersten ENISA-Anfrage allein da.
Eine strukturierte CRA-Roadmap hilft, die Lücken in der Lieferkette zu schließen, bevor die Marktaufsicht das für Sie tut.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.