„Um die CRA-Compliance kümmert sich unser Zulieferer. Das ist vertraglich geregelt." Diesen Satz höre ich vor allem von Unternehmen, die ihre Produkte nicht selbst entwickeln, sondern fertigen lassen. Meine Gegenfrage: Was genau ist denn vertraglich geregelt?
Dann wird es meistens still.
Wer ist Hersteller im Sinne des CRA?
Der EU Cyber Resilience Act definiert „Hersteller" in Artikel 3 eindeutig: Wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt, ist Hersteller, auch wenn das Produkt von einem Dritten entwickelt oder gefertigt wurde.
Das ist keine Auslegungssache. Es ist der zentrale Anknüpfungspunkt der gesamten Verordnung. Wer das Etikett draufpappt, übernimmt die Pflichten. Risikobewertung, SBOM, Schwachstellenmanagement, Meldepflichten, technische Dokumentation, alles geht auf die Person oder das Unternehmen, das in Verkehr bringt.
Der CRA kennt keine Haftungsdelegation an Zulieferer. Diese Regel ist nicht verhandelbar und auch nicht über Verträge wegzubekommen.
Warum vertragliche Delegation nicht reicht
Verträge zwischen Hersteller und Zulieferer sind ein Innenverhältnis. Sie regeln, wer im Schadensfall finanziell oder operativ einsteht. Sie ändern aber nichts an der öffentlich-rechtlichen Pflicht gegenüber Marktaufsicht und ENISA.
Konkret heißt das:
- Wenn eine aktiv ausgenutzte Schwachstelle nicht innerhalb von 24 Stunden gemeldet wird, fragt die ENISA nicht Ihren Zulieferer. Sie fragt Sie.
- Wenn die Konformitätsbewertung lückenhaft ist, ist es Ihr Compliance-Problem.
- Wenn ein Produkt mit unsicheren Komponenten in Verkehr gebracht wird, sind Sie der Adressat der Aufsichtsmaßnahmen, bis hin zu Rückrufen.
Sie können Regress nehmen. Aber Sie können die Pflicht nicht weggeben.
Was in den meisten Lieferverträgen fehlt
Wenn ich Lieferverträge im Detail durchgehe, fehlt fast immer das Gleiche:
- Keine SBOM-Lieferpflicht, geschweige denn die Pflicht zur Aktualisierung bei Komponentenwechsel
- Keine Reaktionszeiten bei Schwachstellen, der Zulieferer kann sich zwei Wochen Zeit lassen, Sie haben 24 Stunden Meldepflicht
- Keine Update-Verpflichtungen über den Produktlebenszyklus, was passiert, wenn ein Patch erst in fünf Jahren nötig wird?
- Kein Zugang zu Designdaten oder technischer Dokumentation, sobald das Vertragsverhältnis endet, sitzen Sie auf einem Produkt, das Sie nicht warten können
- Keine Auditrechte. Sie können nicht nachprüfen, ob Ihr Zulieferer seine Zusagen einhält
Das Thema CRA ist in der Lieferkette schlicht noch nicht angekommen. Wer hier wartet, bis der Zulieferer von sich aus aktiv wird, wartet im Zweifel bis zur ersten ENISA-Anfrage.
Mythos vs. Fakt
Mythos: Der Zulieferer regelt die Compliance.
Fakt: Die Haftung bleibt bei dem, der das Produkt in Verkehr bringt. Verträge regeln das Innenverhältnis, nicht die öffentlich-rechtliche Pflicht gegenüber ENISA und Marktaufsicht.
Was Sie jetzt vertraglich verankern sollten
Warten Sie nicht auf den Zulieferer. Gehen Sie jetzt Ihre Lieferverträge durch und verankern Sie konkret:
1. SBOM-Lieferpflicht. Format, Aktualisierungsfrequenz und Lieferzeitpunkt. Ohne SBOM kein Audit, keine Konformitätsbewertung, kein Schwachstellenmanagement.
2. Reaktionszeiten bei Schwachstellen. Passend zur 24-Stunden-Meldepflicht. Wenn Ihr Zulieferer 72 Stunden für eine Erstmeldung braucht, sind Sie schon zwei Tage in der Pflichtverletzung.
3. Update-Verpflichtungen über den Produktlebenszyklus. Der CRA fordert Sicherheitsupdates für mindestens fünf Jahre oder die erwartete Nutzungsdauer. Ihr Zulieferer muss diesen Horizont mittragen.
4. Zugang zu Designdaten und technischer Dokumentation. Auch bei Vertragsende oder Insolvenz des Zulieferers, sonst ist Ihr Produkt nach dem nächsten Wechsel nicht mehr wartbar.
5. Auditrechte und Nachweispflichten. Vertrauen ist gut, ein dokumentierter Prozess ist Compliance.
Häufig gestellte Fragen
Kann ich die CRA-Compliance an meinen Zulieferer delegieren? Nein. Der CRA kennt keine Haftungsdelegation. Wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt, ist Hersteller im Sinne der Verordnung und trägt die volle Verantwortung, unabhängig davon, wer das Produkt entwickelt oder fertigt.
Wer haftet, wenn der Zulieferer einen Fehler macht? Der Hersteller im Sinne des CRA, also der, der das Produkt in Verkehr bringt. Vertragliche Regelungen zwischen Hersteller und Zulieferer regeln das Innenverhältnis, ändern aber nichts an der öffentlich-rechtlichen Pflicht gegenüber Marktaufsicht und ENISA.
Was muss vertraglich mit Zulieferern geregelt sein? Mindestens: SBOM-Lieferpflicht inkl. Aktualisierungen, Zugang zu technischer Dokumentation und Designdaten, Reaktionszeiten bei Schwachstellen, Update-Verpflichtungen über den gesamten Produktlebenszyklus und Auditrechte.
Wer meldet eine aktiv ausgenutzte Schwachstelle bei ENISA? Der Hersteller im Sinne des CRA, nicht der Zulieferer. Die ENISA-Meldung erfolgt unter dem Namen des Inverkehrbringers, der innerhalb von 24 Stunden eine Erstmeldung absetzen muss.
Fazit
Der CRA macht den Inverkehrbringer zum Hersteller, und Hersteller haftet. Verträge können das Innenverhältnis zum Zulieferer regeln, sie können aber Ihre öffentlich-rechtlichen Pflichten nicht wegverhandeln.
Wer heute beginnt, Lieferverträge auf SBOM, Reaktionszeiten, Update-Pflichten und Datenzugang nachzuziehen, hat 2027 einen funktionierenden Compliance-Stack. Wer wartet, bis der Zulieferer aufwacht, riskiert Bußgelder und Rückrufe.
Eine strukturierte CRA-Roadmap hilft, die Lücken in der Lieferkette systematisch zu schließen, bevor die Marktaufsicht das für Sie tut.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.