Importeurpflichten unter dem CRA (Art. 19): der Torwächter zum EU-Markt
Wer Produkte mit digitalen Elementen von einem Hersteller außerhalb der EU auf den Unionsmarkt bringt, ist unter dem Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) Importeur — und damit ein Torwächter. Seine Rolle nach Art. 19 ist nicht, Produktsicherheit selbst herzustellen, sondern sicherzustellen, dass nur konforme Produkte den EU-Markt erreichen. Diese Seite ordnet die Importeurpflichten technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung im Einzelfall bleibt der Rechtsberatung vorbehalten.
Die Kernaussage vorweg
Der Importeur ist der letzte Filter vor dem EU-Markt. Er darf nur Produkte in Verkehr bringen, die konform sind, und muss prüfen, dass der Hersteller seine Hausaufgaben gemacht hat: Konformitätsbewertung durchgeführt, technische Dokumentation erstellt, CE-Kennzeichnung angebracht. Was der Importeur ausdrücklich nicht tut: die Konformitätsbewertung selbst durchführen, die technische Dokumentation erstellen oder die CE-Kennzeichnung anbringen — das bleibt allein Herstellerpflicht.
Warum es die Importeurrolle gibt
Der CRA adressiert primär den Hersteller (Art. 13). Sitzt dieser jedoch außerhalb der EU, fehlt den europäischen Marktüberwachungsbehörden ein direkter Ansprechpartner und ein Verantwortlicher innerhalb der Union. Genau diese Lücke schließt der Importeur: Er ist der in der EU niedergelassene Wirtschaftsakteur, der ein Produkt aus einem Drittland erstmals auf dem Unionsmarkt in Verkehr bringt. Damit trägt er eine eigenständige Verantwortung — nicht für das Produktdesign, aber für die Torwächterfunktion beim Markteintritt. Die Abgrenzung zu den anderen Rollen zeigt unser Rollen-Überblick (Hersteller, Importeur, Händler).
Die Prüfpflicht: nur konforme Produkte in Verkehr bringen
Kern der Importeurpflicht nach Art. 19 ist, dass nur konforme Produkte in Verkehr gebracht werden. Bevor der Importeur ein Produkt auf den Markt bringt, muss er sich vergewissern, dass der Hersteller die zentralen Schritte tatsächlich vollzogen hat. Konkret prüft der Importeur, dass:
- die Konformitätsbewertung nach dem einschlägigen Verfahren (Art. 32) durchgeführt wurde,
- der Hersteller die technische Dokumentation (Annex VII) erstellt hat,
- das Produkt die CE-Kennzeichnung trägt und die erforderlichen Informationen und Anleitungen beiliegen,
- der Hersteller identifizierbar und mit Kontaktangaben benannt ist.
Diese Prüfung ist eine Verifikation, keine Nachbewertung: Der Importeur bewertet nicht neu, ob das Produkt die grundlegenden Anforderungen aus Annex I erfüllt — er überzeugt sich davon, dass die dafür vorgesehenen Nachweise und Schritte des Herstellers vorliegen. Die substanzielle Sicherheitsverantwortung bleibt beim Hersteller.
Was der Importeur ausdrücklich NICHT tut
- Er führt keine Konformitätsbewertung durch (das ist Herstellerpflicht nach Art. 32).
- Er erstellt keine technische Dokumentation (das ist Herstellerpflicht nach Annex VII).
- Er bringt keine CE-Kennzeichnung an (das ist Herstellerpflicht nach Art. 30).
Wer diese Schritte selbst übernimmt oder ein Produkt unter eigenem Namen bzw. eigener Marke in Verkehr bringt oder wesentlich verändert, gilt nach dem CRA als Hersteller und trägt dessen volle Pflichten nach Art. 13.
Kein Inverkehrbringen bei Nichtkonformität
Stellt der Importeur bei seiner Prüfung fest, dass ein Produkt nicht konform ist, darf er es nicht in Verkehr bringen, solange die Konformität nicht hergestellt ist. Das ist keine Ermessensfrage: Fehlt die CE-Kennzeichnung, ist die Konformitätsbewertung nicht erfolgt oder liegt die technische Dokumentation nicht vor, muss der Markteintritt unterbleiben, bis das Produkt in Übereinstimmung gebracht wurde. Der Importeur ist also nicht nur passiver Weiterreicher, sondern hat eine echte Blockadepflicht.
Korrekturmaßnahmen und Eskalation
Zeigt sich — auch nachträglich —, dass ein bereits in Verkehr gebrachtes Produkt nicht konform ist, muss der Importeur Korrekturmaßnahmen ergreifen. Je nach Schwere reicht das von der Herstellung der Konformität über die Rücknahme vom Markt bis zum Rückruf beim Endnutzer. Parallel gelten Informationspflichten:
- Wird dem Importeur eine Schwachstelle des Produkts bekannt, informiert er den Hersteller ohne unangemessene Verzögerung.
- Geht von einem Produkt ein erhebliches Cybersicherheitsrisiko aus, informiert der Importeur zusätzlich die Marktüberwachungsbehörden.
Wichtig zur Einordnung: Die formellen Melde-Fristen (24 h / 72 h / Abschlussbericht) aus Art. 14 richten sich an den Hersteller. Der Importeur meldet nicht über die Single Reporting Platform, sondern kanalisiert seine Erkenntnisse an Hersteller und Behörden — er ist der Weckruf, nicht der Melder im Sinne des Art. 14.
Dokumentation und Kennzeichnung durch den Importeur
Auch wenn der Importeur die technische Dokumentation nicht erstellt, muss er eine Kopie der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereithalten und sicherstellen, dass er die technische Dokumentation auf begründetes Verlangen zugänglich machen kann. Zusätzlich muss er dafür sorgen, dass — wo vorgesehen — seine eigenen Kontaktangaben auf dem Produkt, seiner Verpackung oder einem Begleitdokument erscheinen. So bleibt der Importeur für Behörden und Nutzer als verantwortlicher Akteur innerhalb der EU auffindbar.
Pflichten-Checkliste Importeur (Art. 19)
Die folgende Checkliste fasst die operativen Pflichten zusammen. Sie ersetzt keine Einzelfallprüfung, taugt aber als Ausgangspunkt für ein internes Prüf- und Freigabeverfahren vor dem Inverkehrbringen.
| Pflicht | Prüf-/Handlungsschritt |
|---|---|
| Nur konforme Produkte | Vor Inverkehrbringen sicherstellen, dass das Produkt CRA-konform ist |
| Konformitätsbewertung verifizieren | Prüfen, dass der Hersteller das Verfahren nach Art. 32 durchgeführt hat |
| Technische Dokumentation verifizieren | Prüfen, dass der Hersteller die Unterlagen (Annex VII) erstellt hat |
| CE-Kennzeichnung prüfen | CE-Zeichen sowie erforderliche Informationen/Anleitungen kontrollieren |
| Nichtkonformität blockieren | Bei fehlender Konformität nicht in Verkehr bringen, bis behoben |
| Korrekturmaßnahmen | Bei Nichtkonformität: Konformität herstellen, ggf. Rücknahme/Rückruf |
| Schwachstelle → Hersteller | Bekannte Schwachstellen ohne unangemessene Verzögerung melden |
| Erhebliches Risiko → Behörde | Marktüberwachungsbehörden bei erheblichem Cybersicherheitsrisiko informieren |
| EU-Konformitätserklärung | Kopie bereithalten und techn. Doku auf Verlangen zugänglich machen |
| Kontaktangaben | Eigene Angaben — wo vorgesehen — am Produkt anbringen |
Bußgeldrisiko und Abgrenzung zum Händler
Die Importeurpflichten fallen unter die mittlere Bußgeldstufe des Art. 64: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist. Das ist geringer als die oberste Stufe für Herstellerverstöße (15 Mio. € / 2,5 %), aber substanziell genug, um ein belastbares Prüfverfahren zu rechtfertigen.
Vom Importeur abzugrenzen ist der Händler (Art. 20), der ein Produkt in der Lieferkette lediglich bereitstellt, ohne es aus einem Drittland erstmals in Verkehr zu bringen. Seine Prüftiefe ist geringer — er schuldet die gebotene Sorgfalt (u. a. Vorhandensein der CE-Kennzeichnung), aber keine Verifikation der Konformitätsbewertung. Die Details dazu in unserem Beitrag zu den Händlerpflichten. Ob und in welcher Rolle Sie überhaupt betroffen sind, klärt unsere Betroffenheitsprüfung.
Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Die konkrete Rollenzuordnung und die daraus folgenden Pflichten hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission ändern.
Häufige Fragen
Was ist ein Importeur nach dem CRA?
Muss ein Importeur die Konformitätsbewertung selbst durchführen?
Was muss ein Importeur tun, wenn er eine Schwachstelle entdeckt?
Welches Bußgeld droht einem Importeur bei Verstößen?
Worin unterscheidet sich der Importeur vom Händler?
Sprechen wir über Ihre CRA-Readiness
Sie bringen Produkte mit digitalen Elementen aus Drittländern auf den EU-Markt und wollen Ihre Importeur-Prüfpflichten nach Art. 19 belastbar aufsetzen? Wir strukturieren Ihr Prüf- und Freigabeverfahren technisch-organisatorisch, klären die Abgrenzung zu Hersteller- und Händlerrolle und entwickeln eine praxistaugliche Checkliste — sprechen Sie mit Blackfort Technology aus Bonn.
Erstgespräch anfragen Betroffenheit prüfen