Art. 3(17)Ein Importeur ist jede natürliche oder juristische Person mit Sitz in der Union, die ein Produkt mit digitalen Elementen auf dem Markt in den Verkehr bringt, das den Namen oder das Warenzeichen einer natürlichen oder juristischen Person mit Sitz außerhalb der Union trägt.
11. Dezember 2024 — CRA tritt in Kraft
Die Verordnung ist rechtsgültig. Produkte, die ab diesem Datum auf den Markt gebracht werden, müssen ab den Anwendungsdaten dem CRA entsprechen.
11. September 2026 — Meldepflichten für Schwachstellen gelten
Die Meldung von Schwachstellen und Vorfällen an ENISA gemäß Art. 14 wird obligatorisch. Dies ist die erste harte Frist. Hersteller müssen ihre Meldeprozesse vor diesem Datum eingerichtet haben.
11. Juni 2027 — Benennung von Konformitätsbewertungsstellen
Die Mitgliedstaaten müssen der Kommission Konformitätsbewertungsstellen notifizieren.
11. Dezember 2027 — Vollständige Verordnung gilt
Alle CRA-Anforderungen gelten für alle betroffenen Produkte. Es dürfen keine neuen Produkte auf den EU-Markt gebracht werden, die nicht konform sind.
Vor dem Inverkehrbringen eines Produkts mit digitalen Elementen auf dem EU-Markt müssen Importeure prüfen, ob der Hersteller die geeignete Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, die CE-Kennzeichnung angebracht und die EU-Konformitätserklärung oder Leistungserklärung verfügbar gemacht hat.
Wenn ein Importeur der Ansicht ist oder Grund zu der Annahme hat, dass ein Produkt mit digitalen Elementen nicht den grundlegenden Cybersicherheitsanforderungen entspricht, darf er das Produkt erst dann in den Verkehr bringen, wenn die Konformität hergestellt wurde.
Importeure müssen ihren Namen, eingetragenen Handelsnamen oder ihre Handelsmarke, Postanschrift sowie, sofern verfügbar, ihre Website oder E-Mail-Adresse am Produkt selbst, auf seiner Verpackung oder in einem dem Produkt beigefügten Dokument angeben.
Solange ein Produkt mit digitalen Elementen in der Verantwortung des Importeurs liegt, muss dieser sicherstellen, dass die Lagerungs- und Transportbedingungen seine Konformität mit den grundlegenden Cybersicherheitsanforderungen nicht gefährden.
Wenn ein Importeur erfährt, dass ein von ihm in den Verkehr gebrachtes Produkt nicht konform ist, muss er unverzüglich Korrekturmaßnahmen ergreifen – einschließlich Rücknahme oder Rückruf, falls erforderlich. Bei einem erheblichen Cybersicherheitsrisiko des Produkts muss der Importeur die zuständige nationale Behörde unverzüglich informieren.
Importeure müssen eine Kopie der EU-Konformitätserklärung oder Leistungserklärung 10 Jahre lang nach dem Inverkehrbringen des Produkts aufbewahren und sicherstellen, dass die technische Dokumentation den Marktüberwachungsbehörden auf Anfrage zugänglich gemacht werden kann.
Auf begründete Anfrage einer zuständigen Behörde müssen Importeure alle Informationen und Unterlagen – in Papier- oder elektronischer Form – vorlegen, die zum Nachweis der Konformität eines Produkts mit digitalen Elementen erforderlich sind. Sie müssen außerdem bei etwaig erforderlichen Korrekturmaßnahmen kooperieren.
Ein Importeur oder Händler gilt als Hersteller – und unterliegt damit vollständig den Artikeln 13 und 14 –, wenn er ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt oder eine wesentliche Veränderung an einem bereits in Verkehr gebrachten Produkt vornimmt.
Jede natürliche oder juristische Person – außer dem ursprünglichen Hersteller, Importeur oder Händler –, die eine wesentliche Veränderung an einem Produkt vornimmt und es auf dem Markt bereitstellt, gilt als Hersteller. Diese Person unterliegt dann den Artikeln 13 und 14 entweder für den betroffenen Produktteil oder – sofern die Veränderung die Cybersicherheit des Gesamtprodukts berührt – für das gesamte Produkt.
Alle Wirtschaftsakteure müssen auf Anfrage der Marktüberwachungsbehörden in der Lage sein, (a) jeden Wirtschaftsakteur zu benennen, der ihnen ein Produkt geliefert hat, und (b) jeden Wirtschaftsakteur, dem sie ein Produkt geliefert haben. Die Aufzeichnungen sind ab jeder Transaktion 10 Jahre lang aufzubewahren.
Erkunden Sie die vollständige Pflichtenbibliothek, verstehen Sie Ihre Rolle oder sehen Sie den regulatorischen Zeitplan.