Cyber-Resilience-Act
07. November 2025
Neue Pflichten für Distributoren
Quelle: all-electronics.de · 11/2025 · Der FBDi im Gespräch mit Online-Redakteur Martin Probst
Der Cyber Resilience Act stellt Distributoren vor neue Pflichten. Im Interview erklärt der FBDi, welche Rollenveränderungen drohen, wo Regulierung noch unklar ist – und wie sich die Branche jetzt vorbereiten muss.
Der Cyber Resilience Act der EU ist seit dem 10. Dezember 2024 in Kraft. Er harmonisiert die Cybersicherheit digitaler Produkte und verpflichtet Hersteller, Importeure und Händler, Sicherheitsrisiken zu berücksichtigen. Ab dem 11. Dezember 2027 dürfen nur noch konforme Produkte in der EU verkauft werden – auch Elektronik Distributoren müssen sich darauf einstellen.
Pflichten für Hersteller und Importeure – der Kontext für Händler
Hersteller müssen Produkte sicher entwickeln, Risiken bewerten, technische Unterlagen einschließlich Software Stückliste bereitstellen und Schwachstellen managen. Sie müssen eine Konformitätserklärung ausstellen, das CE-Zeichen anbringen, Sicherheitsupdates während eines definierten Support-Zeitraums bereitstellen und Vorfälle innerhalb weniger Tage melden. Importeuren obliegt die Kontrolle, ob diese Pflichten eingehalten werden, andernfalls dürfen sie das Produkt nicht einführen.
Wer Produkte unter eigener Marke verkauft oder wesentlich verändert, wird rechtlich zum Hersteller mit allen daraus resultierenden Pflichten. Händler sollten deshalb genau definieren, ob sie lediglich vertreiben oder als OEM auftreten.
Was sich konkret für Elektronik Distributoren ändert
Artikel 20 des CRA definiert eine Reihe von Pflichten für Distributoren. Diese sind weniger umfangreich als für Hersteller, verlangen aber spürbare Sorgfalt:
- Sorgfaltspflicht und CE Prüfung: Händler müssen vor dem Verkauf prüfen, ob CE Kennzeichnung und Konformitätserklärung vorliegen und ob der Hersteller beziehungsweise Importeur alle CRA Pflichten erfüllt. Fehlen Unterlagen wie Software Stückliste oder Support Zeitraum, darf das Produkt nicht vertrieben werden.
- Nicht konforme Produkte zurückhalten: Bei Zweifeln an der Konformität oder bei einem erheblichen Sicherheitsrisiko darf das Produkt nicht in den Handel. Lagerware bleibt gesperrt, bis Mängel behoben sind; gegebenenfalls sind Rückrufe mit dem Hersteller zu organisieren.
- Dokumentation und Meldewege: Distributoren müssen Nachweise bereithalten und auf Anfrage der Behörden vorlegen. Werden Schwachstellen entdeckt, sind Hersteller und gegebenenfalls auch Behörden zu informieren. Dokumentation und Lieferkettenkontakte müssen zehn Jahre lang aufbewahrt werden.
- Pflicht bei Hersteller Ausfall: Wenn der Hersteller keine Sicherheitsupdates mehr liefert, muss der Distributor die Behörden und, soweit möglich, Kunden informieren. Restbestände können dadurch unverkäuflich werden.
- Begrenzter, aber definierter Verantwortungsbereich: Händler müssen die Sorgfalt beim Inverkehrbringen nachweisen. Obwohl sie keine vollständige technische Prüfung schulden, sind Verstöße teuer – Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes sind möglich.
Was Distributoren jetzt tun sollten
Der CRA ist kein Papiertiger. Wer ab Ende 2027 Elektronikartikel verkaufen will, sollte jetzt Prozesse schaffen:
- Lieferantenmanagement verbessern: Für jedes Produkt müssen CE Kennzeichnung, Konformitätsunterlagen, Software Stückliste und Support-Zeitraum vorliegen. Die Lieferverträge sollten die fristgerechte Bereitstellung dieser Informationen regeln.
- IT Systeme aufrüsten: Eine Datenbank muss Schwachstellenmeldungen, Software Stücklisten und Support-Zeiträume erfassen und mindestens zehn Jahre aufbewahren können.
- Schwachstellenmeldungen verarbeiten: Meldeprozesse und Schulungen sorgen dafür, dass Sicherheitsvorfälle erkannt und weitergeleitet werden.
- Rollen klären: Wer Produkte unter eigener Marke vertreibt oder maßgeblich verändert, wird zum Hersteller und trägt mehr Verantwortung.
Damit steht fest: Viele Distributoren müssen ihre Organisationsstruktur und IT Systeme anpassen. Doch wie beurteilt die Branche die neuen Anforderungen, und welche Unterstützung können Händler erwarten? Wir haben beim Fachverband Bauelemente Distribution (FBDi) nachgefragt.
Die EU-Verordnung 2024/2847 verlangt, dass Hersteller, Importeure und Händler die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus sicherstellen. Wie schätzen Sie den Umfang dieser Anforderungen für die deutsche Distribution ein?
FBDi: Der Umfang der Pflichten hängt stark davon ab, welche Rolle die Distribution im konkreten Fall einnimmt – Hersteller, Importeur oder Händler.
- Händler, die keine Produkte importieren, sind vergleichsweise wenig betroffen. Sie müssen im Wesentlichen nur sicherstellen, dass die von ihnen vertriebene Ware CE-zertifiziert ist.
- Importeure hingegen werden im Rahmen des Cyber Resilience Act in die Verantwortung des Herstellers genommen. Sie müssen sicherstellen, dass der Hersteller alle EU-Vorgaben erfüllt hat. Das bedeutet insbesondere die Prüfung der CE-Kennzeichnung und deren korrekte Ausstellung – bei Risikoklasse II durch eine benannte Stelle, bei kritischen Produkten durch eine zugelassene Sicherheitsbewertungsstelle. Hinzu kommen weitere Aufgaben wie das Meldewesen, die Organisation der Verteilung von Sicherheitspatches sowie die zehnjährige Archivierung relevanter Unterlagen. Diese Anforderungen erweitern die bestehenden Prozesse eines Distributors erheblich.
Generell bringt der CRA für alle Marktteilnehmer tiefgreifende Pflichten mit sich: Sicherheitslücken melden, Updates über den gesamten Produktlebenszyklus dokumentieren und technische Unterlagen langfristig aufbewahren. Der damit verbundene Aufwand lässt sich heute noch schwer abschätzen – er reicht von umfassenden Mitarbeierschulungen über den Aufbau neuer Prozesse bis hin zu umfangreichen Anpassungen der Ablaufstruktur.
Trotz des zusätzlichen bürokratischen Aufwands halten wir den CRA für einen wichtigen und notwendigen Schritt: Angesichts immer häufigerer und komplexerer Angriffe sind diese Maßnahmen notwendig, um unsere (Cyber-)Sicherheit zu verbessern.
Kritische Produkte müssen vor dem Verkauf von einer zugelassenen Stelle bewertet werden. Welche Produkte aus dem typischen Portfolio der Distributoren sind davon betroffen und wie aufwendig wird dieser Prozess?
FBDi: Die größte Herausforderung liegt derzeit in der noch nicht abgeschlossenen Klassifizierung der betroffenen Produkte. Externe Expertengruppen diskutieren intensiv – und teils kontrovers – über die Einstufung. Beispiel: USB-Sticks und Speicherkarten werden je nach Sichtweise entweder als »kritische Produkte« der höchsten Risikoklasse oder gar nicht unter den CRA fallend eingestuft.
Für die Distribution bedeutet dies:
- Hoher organisatorischer Aufwand, insbesondere wenn für kritische Produkte Prozesse etabliert werden müssen, um innerhalb von 24 Stunden auf Meldepflichten reagieren zu können.
- Anpassung der Lieferantenverträge, um Reaktionszeiten und Verantwortlichkeiten klar zu regeln.
- Marktbereinigung ist wahrscheinlich, da nicht alle Broker oder kleinere Marktteilnehmer diese Anforderungen erfüllen können.
Der FBDi bietet ab September ein neues »Competence Team CRA« an, damit sich Distributoren austauschen und Hilfestellungen erhalten. Welche konkreten Leistungen liefert dieses Team, und wie können Mitglieder davon profitieren?
FBDi: Unser neu gegründetes Competence Team CRA wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Hierbei werden wir von Fachjuristen unterstützt, um stets den aktuellen Entscheidungen folgen und diese rechtssicher auslegen zu können. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen. Der regelmäßige praxisnahe und verbandsinterne Erfahrungsaustausch ermöglicht unseren Mitgliedsunternehmen, wertvollen Wissensvorsprung im Umgang mit dem CRA zu erlangen.
Importeuren und Distributoren wird zugemutet, nur Produkte mit CE-Kennzeichnung zu liefern, die technische Dokumentation zu prüfen und bei Verdacht auf Sicherheitsrisiken Hersteller und Behörden zu informieren. Wie realistisch ist es, dass Distributoren diese Aufgaben im Alltag erfüllen können, und wo sehen Sie noch Klarstellungsbedarf?
FBDi: Der CRA ist in höchstem Maße zeitkritisch: Auch wenn die vollständige Anwendung erst am 11. Dezember 2027 greift, tritt die Meldepflicht für Schwachstellen bereits am 11. September 2026 in Kraft. Für Distributoren stellt sich die Frage, wie Lieferantenverträge rechteitig angepasst werden sollen, wenn harmonisierte Normen und delegierte Rechtsakte noch fehlen.
Selbst für erfahrene Distributionsunternehmen bedeutet die Rolle des Importeurs im CRA eine enorme Herausforderung:
- Aufbau neuer Prozesse mit sehr engen Reaktionszeiten
- Anpassung bestehender Software- und IT-Systeme
- Schulung der Mitarbeitenden in neuen Abläufen und Pflichten
Ständig präsent ist dabei das Risiko von Haftung, Produktrückrufen, Folgekosten, Imageschäden und Umsatzeinbußen. Für Importe sind klare Vorgaben und frühzeitige Guidelines unverzichtbar. Die Distribution ist nicht das letzte Glied der Lieferkette – sie muss diese Informationen und Prozesse auch mit ihren Kunden abstimmen. Das erfordert ein intensives Studium der neuen Pflichten und eine genaue Analyse der prozesstechnischen Auswirkungen, um rechtzeitig und rechtskonform agieren zu können.
Kleinere und mittelständische Distributoren verfügen oft nicht über große Compliance-Abteilungen. Welche spezifischen Herausforderungen erwarten Sie für diese Unternehmen, und wie will der FBDi sie unterstützen?
FBDi: Gerade für kleinere und mittelständische Distributoren sind die umfangreichen Herausforderungen des Cyber Resilience Act enorm. Der FBDi unterstützt seine Mitglieder gezielt mit:
- Fachvorträgen und Schulungen durch spezialisierte Juristen und Experten, um rechtliche und technische Anforderungen verständlich zu vermitteln.
- Praxisnahem Austausch im Competence Team CRA – hier werden konkrete Fragestellungen diskutiert und gemeinsam Lösungen erarbeitet.
Trotzdem bleibt die Sorge, dass insbesondere kleinere Unternehmen durch die Vielzahl an Auflagen, unklare Produktkategorisierungen und das Fehlen harmonisierter Normen überfordert werden könnten. Zwar sieht der CRA an einigen Stellen Erleichterungen für KMU und Start-ups vor, doch besteht das Risiko, dass diese in der Praxis nicht ausreichen, um Wettbewerbsnachteile zu verhindern.
Welche Forderungen hat der FBDi an die EU-Institutionen und die deutsche Politik, um die CRA so umzusetzen, dass sie die Cybersicherheit stärkt, ohne die Wertschöpfungskette für elektronische Bauteile zu blockieren?
FBDi: Der FBDi hat zwei zentrale Forderungen an EU-Institutionen und die deutsche Politik, um den Cyber Resilience Act (CRA) so umzusetzen, dass er die Cybersicherheit wirksam stärkt, ohne die Wertschöpfungskette für elektronische Bauteile unnötig zu belasten:
- Frühzeitige Klarheit und Rechtssicherheit
Zeitnahe Festlegung von Produktkategorien, harmonisierten Normen und delegierten Rechtsakten.
Ziel: Unternehmen müssen frühzeitig wissen, welche Anforderungen gelten, um Planungssicherheit zu haben und ihre Prozesse entsprechend ausrichten zu können. - Effektive und faire Marktüberwachung
Ausreichende personelle und technische Ausstattung der Marktüberwachungsbehörden, um Verstöße schnell und konsequent zu ahnden.
Hintergrund: Die steigende Komplexität und der wachsende Anteil an Konformitätskosten belasten insbesondere Distributoren und Hersteller, die sich um EU-konforme Produkte bemühen.
Wettbewerbsverzerrung: Anbieter aus Drittstaaten, die sich nicht an EU-Vorgaben halten, werden nur in einem Bruchteil der Fälle kontrolliert – obwohl Schätzungen zufolge über 50 % der Sendungen nicht konform sind.
Folge: Konformitätspflichten treffen vor allem die gesetzestreuen Marktteilnehmer und schwächen sie im Preiswettbewerb, insbesondere im Onlinehandel, wo der Preis oft das entscheidende Kriterium ist.