Blackfort TechnologyBlackfort Technology

Importeurpflichten unter dem CRA (Art. 19): der Torwächter zum EU-Markt

Blackfort Technology · Ihre Rolle & Pflichten im CRA

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Wer Produkte mit digitalen Elementen von einem Hersteller außerhalb der EU auf den Unionsmarkt bringt, ist unter dem Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) Importeur — und damit ein Torwächter. Seine Rolle nach Art. 19 ist nicht, Produktsicherheit selbst herzustellen, sondern sicherzustellen, dass nur konforme Produkte den EU-Markt erreichen. Diese Seite ordnet die Importeurpflichten technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung im Einzelfall bleibt der Rechtsberatung vorbehalten.

Die Kernaussage vorweg

Der Importeur ist der letzte Filter vor dem EU-Markt. Er darf nur Produkte in Verkehr bringen, die konform sind, und muss prüfen, dass der Hersteller seine Hausaufgaben gemacht hat: Konformitätsbewertung durchgeführt, technische Dokumentation erstellt, CE-Kennzeichnung angebracht. Was der Importeur ausdrücklich nicht tut: die Konformitätsbewertung selbst durchführen, die technische Dokumentation erstellen oder die CE-Kennzeichnung anbringen — das bleibt allein Herstellerpflicht.

Warum es die Importeurrolle gibt

Der CRA adressiert primär den Hersteller (Art. 13). Sitzt dieser jedoch außerhalb der EU, fehlt den europäischen Marktüberwachungsbehörden ein direkter Ansprechpartner und ein Verantwortlicher innerhalb der Union. Genau diese Lücke schließt der Importeur: Er ist der in der EU niedergelassene Wirtschaftsakteur, der ein Produkt aus einem Drittland erstmals auf dem Unionsmarkt in Verkehr bringt. Damit trägt er eine eigenständige Verantwortung — nicht für das Produktdesign, aber für die Torwächterfunktion beim Markteintritt. Die Abgrenzung zu den anderen Rollen zeigt unser Rollen-Überblick (Hersteller, Importeur, Händler).

Die Prüfpflicht: nur konforme Produkte in Verkehr bringen

Kern der Importeurpflicht nach Art. 19 ist, dass nur konforme Produkte in Verkehr gebracht werden. Bevor der Importeur ein Produkt auf den Markt bringt, muss er sich vergewissern, dass der Hersteller die zentralen Schritte tatsächlich vollzogen hat. Konkret prüft der Importeur, dass:

  • die Konformitätsbewertung nach dem einschlägigen Verfahren (Art. 32) durchgeführt wurde,
  • der Hersteller die technische Dokumentation (Annex VII) erstellt hat,
  • das Produkt die CE-Kennzeichnung trägt und die erforderlichen Informationen und Anleitungen beiliegen,
  • der Hersteller identifizierbar und mit Kontaktangaben benannt ist.

Diese Prüfung ist eine Verifikation, keine Nachbewertung: Der Importeur bewertet nicht neu, ob das Produkt die grundlegenden Anforderungen aus Annex I erfüllt — er überzeugt sich davon, dass die dafür vorgesehenen Nachweise und Schritte des Herstellers vorliegen. Die substanzielle Sicherheitsverantwortung bleibt beim Hersteller.

Was der Importeur ausdrücklich NICHT tut

  • Er führt keine Konformitätsbewertung durch (das ist Herstellerpflicht nach Art. 32).
  • Er erstellt keine technische Dokumentation (das ist Herstellerpflicht nach Annex VII).
  • Er bringt keine CE-Kennzeichnung an (das ist Herstellerpflicht nach Art. 30).

Wer diese Schritte selbst übernimmt oder ein Produkt unter eigenem Namen bzw. eigener Marke in Verkehr bringt oder wesentlich verändert, gilt nach dem CRA als Hersteller und trägt dessen volle Pflichten nach Art. 13.

Kein Inverkehrbringen bei Nichtkonformität

Stellt der Importeur bei seiner Prüfung fest, dass ein Produkt nicht konform ist, darf er es nicht in Verkehr bringen, solange die Konformität nicht hergestellt ist. Das ist keine Ermessensfrage: Fehlt die CE-Kennzeichnung, ist die Konformitätsbewertung nicht erfolgt oder liegt die technische Dokumentation nicht vor, muss der Markteintritt unterbleiben, bis das Produkt in Übereinstimmung gebracht wurde. Der Importeur ist also nicht nur passiver Weiterreicher, sondern hat eine echte Blockadepflicht.

Korrekturmaßnahmen und Eskalation

Zeigt sich — auch nachträglich —, dass ein bereits in Verkehr gebrachtes Produkt nicht konform ist, muss der Importeur Korrekturmaßnahmen ergreifen. Je nach Schwere reicht das von der Herstellung der Konformität über die Rücknahme vom Markt bis zum Rückruf beim Endnutzer. Parallel gelten Informationspflichten:

  • Wird dem Importeur eine Schwachstelle des Produkts bekannt, informiert er den Hersteller ohne unangemessene Verzögerung.
  • Geht von einem Produkt ein erhebliches Cybersicherheitsrisiko aus, informiert der Importeur zusätzlich die Marktüberwachungsbehörden.

Wichtig zur Einordnung: Die formellen Melde-Fristen (24 h / 72 h / Abschlussbericht) aus Art. 14 richten sich an den Hersteller. Der Importeur meldet nicht über die Single Reporting Platform, sondern kanalisiert seine Erkenntnisse an Hersteller und Behörden — er ist der Weckruf, nicht der Melder im Sinne des Art. 14.

Dokumentation und Kennzeichnung durch den Importeur

Auch wenn der Importeur die technische Dokumentation nicht erstellt, muss er eine Kopie der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereithalten und sicherstellen, dass er die technische Dokumentation auf begründetes Verlangen zugänglich machen kann. Zusätzlich muss er dafür sorgen, dass — wo vorgesehen — seine eigenen Kontaktangaben auf dem Produkt, seiner Verpackung oder einem Begleitdokument erscheinen. So bleibt der Importeur für Behörden und Nutzer als verantwortlicher Akteur innerhalb der EU auffindbar.

Pflichten-Checkliste Importeur (Art. 19)

Die folgende Checkliste fasst die operativen Pflichten zusammen. Sie ersetzt keine Einzelfallprüfung, taugt aber als Ausgangspunkt für ein internes Prüf- und Freigabeverfahren vor dem Inverkehrbringen.

PflichtPrüf-/Handlungsschritt
Nur konforme ProdukteVor Inverkehrbringen sicherstellen, dass das Produkt CRA-konform ist
Konformitätsbewertung verifizierenPrüfen, dass der Hersteller das Verfahren nach Art. 32 durchgeführt hat
Technische Dokumentation verifizierenPrüfen, dass der Hersteller die Unterlagen (Annex VII) erstellt hat
CE-Kennzeichnung prüfenCE-Zeichen sowie erforderliche Informationen/Anleitungen kontrollieren
Nichtkonformität blockierenBei fehlender Konformität nicht in Verkehr bringen, bis behoben
KorrekturmaßnahmenBei Nichtkonformität: Konformität herstellen, ggf. Rücknahme/Rückruf
Schwachstelle → HerstellerBekannte Schwachstellen ohne unangemessene Verzögerung melden
Erhebliches Risiko → BehördeMarktüberwachungsbehörden bei erheblichem Cybersicherheitsrisiko informieren
EU-KonformitätserklärungKopie bereithalten und techn. Doku auf Verlangen zugänglich machen
KontaktangabenEigene Angaben — wo vorgesehen — am Produkt anbringen

Bußgeldrisiko und Abgrenzung zum Händler

Die Importeurpflichten fallen unter die mittlere Bußgeldstufe des Art. 64: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist. Das ist geringer als die oberste Stufe für Herstellerverstöße (15 Mio. € / 2,5 %), aber substanziell genug, um ein belastbares Prüfverfahren zu rechtfertigen.

Vom Importeur abzugrenzen ist der Händler (Art. 20), der ein Produkt in der Lieferkette lediglich bereitstellt, ohne es aus einem Drittland erstmals in Verkehr zu bringen. Seine Prüftiefe ist geringer — er schuldet die gebotene Sorgfalt (u. a. Vorhandensein der CE-Kennzeichnung), aber keine Verifikation der Konformitätsbewertung. Die Details dazu in unserem Beitrag zu den Händlerpflichten. Ob und in welcher Rolle Sie überhaupt betroffen sind, klärt unsere Betroffenheitsprüfung.

Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Die konkrete Rollenzuordnung und die daraus folgenden Pflichten hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission ändern.

Häufige Fragen

Was ist ein Importeur nach dem CRA?
Ein Importeur im Sinne des Cyber Resilience Act (Art. 19) ist ein in der EU niedergelassener Wirtschaftsakteur, der ein Produkt mit digitalen Elementen von einem Hersteller außerhalb der EU erstmals auf dem Unionsmarkt in Verkehr bringt. Er ist ein Torwächter: Er stellt keine eigene Produktsicherheit her, sondern prüft vor dem Inverkehrbringen, dass der Hersteller die Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt und die CE-Kennzeichnung angebracht hat.
Muss ein Importeur die Konformitätsbewertung selbst durchführen?
Nein. Die Konformitätsbewertung (Art. 32), die Erstellung der technischen Dokumentation (Annex VII) und das Anbringen der CE-Kennzeichnung (Art. 30) sind Herstellerpflichten. Der Importeur führt diese Schritte nicht selbst durch, sondern verifiziert, dass der Hersteller sie vollzogen hat. Übernimmt er sie doch selbst oder bringt er das Produkt unter eigenem Namen bzw. eigener Marke in Verkehr, gilt er nach dem CRA als Hersteller und trägt dessen volle Pflichten nach Art. 13.
Was muss ein Importeur tun, wenn er eine Schwachstelle entdeckt?
Wird dem Importeur eine Schwachstelle des Produkts bekannt, informiert er den Hersteller ohne unangemessene Verzögerung. Geht von dem Produkt darüber hinaus ein erhebliches Cybersicherheitsrisiko aus, informiert der Importeur zusätzlich die Marktüberwachungsbehörden. Die formellen Melde-Fristen aus Art. 14 (24 Stunden, 72 Stunden, Abschlussbericht) über die Single Reporting Platform richten sich dagegen an den Hersteller, nicht an den Importeur.
Welches Bußgeld droht einem Importeur bei Verstößen?
Verstöße gegen die Importeurpflichten fallen unter die mittlere Bußgeldstufe des Art. 64: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Das liegt unter der obersten Stufe für Herstellerverstöße (15 Mio. € oder 2,5 %), ist aber hoch genug, um ein belastbares internes Prüfverfahren vor dem Inverkehrbringen zu rechtfertigen.
Worin unterscheidet sich der Importeur vom Händler?
Beide sind Torwächter, aber mit unterschiedlicher Prüftiefe. Der Importeur (Art. 19) bringt ein Produkt aus einem Drittland erstmals auf dem Unionsmarkt in Verkehr und verifiziert detailliert, dass Konformitätsbewertung, technische Dokumentation und CE-Kennzeichnung vorliegen. Der Händler (Art. 20) stellt ein Produkt in der Lieferkette lediglich bereit und schuldet die gebotene Sorgfalt — etwa die Prüfung, ob die CE-Kennzeichnung vorhanden ist und Hersteller bzw. Importeur ihre Pflichten erfüllt haben —, aber keine Nachbewertung der Konformität.

Sprechen wir über Ihre CRA-Readiness

Sie bringen Produkte mit digitalen Elementen aus Drittländern auf den EU-Markt und wollen Ihre Importeur-Prüfpflichten nach Art. 19 belastbar aufsetzen? Wir strukturieren Ihr Prüf- und Freigabeverfahren technisch-organisatorisch, klären die Abgrenzung zu Hersteller- und Händlerrolle und entwickeln eine praxistaugliche Checkliste — sprechen Sie mit Blackfort Technology aus Bonn.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.