Die EU-Verordnung 2024/2847 verlangt, dass Hersteller, Importeure und Händler die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus sicherstellen. Wie schätzen Sie den Umfang dieser Anforderungen für die deutsche Distribution ein?

Andreas Falke Geschäftsführer des FBDi e.V. © FBDi

Der Umfang der Pflichten hängt stark davon ab, welche Rolle die Distribution einnimmt. Händler, die keine Produkte importieren, sind vergleichsweise wenig betroffen und müssen im Wesentlichen lediglich sicherstellen, dass die vertriebene Ware CE-zertifiziert ist. Importeure hingegen werden im Rahmen des Cyber Resilience Act in die Verantwortung des Herstellers genommen. Sie müssen prüfen, ob alle EU-Vorgaben eingehalten wurden, insbesondere die korrekte Ausstellung der CE-Kennzeichnung – bei Produkten der Risikoklasse II durch eine benannte Stelle, bei kritischen Produkten durch eine zugelassene Sicherheitsbewertungsstelle. Hinzu kommen Aufgaben wie Meldewesen, Organisation der Verteilung von Sicherheitspatches sowie die zehnjährige Archivierung relevanter Unterlagen, wodurch sich bestehende Prozesse erheblich erweitern.

Generell bringt der CRA für alle Marktteilnehmer tiefgreifende Pflichten mit sich: Sicherheitslücken melden, Updates über den gesamten Produktlebenszyklus dokumentieren und technische Unterlagen langfristig aufbewahren. Der damit verbundene Aufwand lässt sich heute noch schwer abschätzen – er reicht von umfassenden Mitarbeiterschulungen über den Aufbau neuer Prozesse bis hin zu umfangreichen Anpassungen der Ablaufstruktur.

Trotz des zusätzlichen bürokratischen Aufwands halten wir den CRA für einen wichtigen und notwendigen Schritt: Angesichts immer häufigerer und komplexerer Angriffe sind diese Maßnahmen notwendig, um unsere Sicherheit und Cybersicherheit zu verbessern.

Kritische Produkte müssen vor dem Verkauf von einer zugelassenen Stelle bewertet werden. Welche Produkte aus dem typischen Portfolio der Distributoren sind davon betroffen und wie aufwendig wird dieser Prozess?

Die größte Herausforderung liegt derzeit in der noch nicht abgeschlossenen Klassifizierung der betroffenen Produkte. Externe Expertengruppen diskutieren intensiv – und teils kontrovers – über die Einstufung. Beispiel: USB-Sticks und Speicherkarten werden je nach Sichtweise entweder als "kritische Produkte" der höchsten Risikoklasse oder gar nicht unter den CRA fallend eingestuft.

Für die Distribution bedeutet dies einen hohen organisatorischen Aufwand, insbesondere wenn für kritische Produkte Prozesse etabliert werden müssen, um innerhalb von 24 Stunden auf Meldepflichten reagieren zu können. Zusätzlich sind Anpassungen der Lieferantenverträge erforderlich, um Reaktionszeiten und Verantwortlichkeiten eindeutig zu regeln. Darüber hinaus ist eine Marktbereinigung wahrscheinlich, da nicht alle Broker oder kleineren Marktteilnehmer diese Anforderungen erfüllen können.

Der FBDi bietet seit September ein neues ‚Competence Team CRA‘ an, damit sich Distributoren austauschen und Hilfestellungen erhalten. Welche konkreten Leistungen liefert dieses Team, und wie können Mitglieder davon profitieren?

Unser neu gegründetes ‚Competence Team CRA‘ wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Hierbei werden wir von Fachjuristen unterstützt, um stets den aktuellen Entscheidungen folgen und diese rechtssicher auslegen zu können. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen. Der regelmäßige praxisnahe und verbandsinterne Erfahrungsaustausch ermöglicht unseren Mitgliedsunternehmen, wertvollen Wissensvorsprung im Umgang mit dem CRA zu erlangen.

Importeuren und Distributoren wird zugemutet, nur Produkte mit CE-Kennzeichnung zu liefern, die technische Dokumentation zu prüfen und bei Verdacht auf Sicherheitsrisiken Hersteller und Behörden zu informieren. Wie realistisch ist es, dass Distributoren diese Aufgaben im Alltag erfüllen können, und wo sehen Sie noch Klarstellungsbedarf?

Der CRA ist in höchstem Maße zeitkritisch: Auch wenn die vollständige Anwendung erst am 11. Dezember 2027 greift, tritt die Meldepflicht für Schwachstellen bereits am 11. September 2026 in Kraft. Für Distributoren stellt sich die Frage, wie Lieferantenverträge rechtzeitig angepasst werden sollen, wenn harmonisierte Normen und delegierte Rechtsakte noch fehlen.

Selbst für erfahrene Distributionsunternehmen bedeutet die Rolle des Importeurs den Aufbau neuer Prozesse mit sehr engen Reaktionszeiten, die Anpassung bestehender Software- und IT-Systeme sowie die Schulung der Mitarbeitenden in neuen Abläufen und Pflichten. Begleitend besteht dauerhaft das Risiko von Haftung, Produktrückrufen, Folgekosten, Imageschäden und Umsatzeinbußen.

Ständig präsent ist dabei das Risiko von Haftung, Produktrückrufen, Folgekosten, Imageschäden und Umsatzeinbußen.

Für Importe sind klare Vorgaben und frühzeitige Guidelines unverzichtbar. Die Distribution ist nicht das letzte Glied der Lieferkette – sie muss diese Informationen und Prozesse auch mit ihren Kunden abstimmen. Das erfordert ein intensives Studium der neuen Pflichten und eine genaue Analyse der prozesstechnischen Auswirkungen, um rechtzeitig und rechtskonform agieren zu können.

Kleinere und mittelständische Distributoren verfügen oft nicht über große Compliance-Abteilungen. Welche spezifischen Herausforderungen erwarten Sie für diese Unternehmen, und wie will der FBDi sie unterstützen?

Gerade für kleinere und mittelständische Distributoren sind die umfangreichen Herausforderungen des Cyber Resilience Act enorm. Der FBDi unterstützt seine Mitglieder durch Fachvorträge und Schulungen spezialisierter Juristen und Experten, um rechtliche und technische Anforderungen verständlich zu vermitteln, sowie durch praxisnahen Austausch im Competence Team CRA, in dem konkrete Fragestellungen diskutiert und Lösungsansätze entwickelt werden.

Trotzdem bleibt die Sorge, dass insbesondere kleinere Unternehmen durch die Vielzahl an Auflagen, unklare Produktkategorisierungen und das Fehlen harmonisierter Normen überfordert werden könnten. Zwar sieht der CRA an einigen Stellen Erleichterungen für KMU und Start-ups vor, doch besteht das Risiko, dass diese in der Praxis nicht ausreichen, um Wettbewerbsnachteile zu verhindern.

Welche Forderungen hat der FBDi an die EU-Institutionen und die deutsche Politik, um die CRA so umzusetzen, dass sie die Cybersicherheit stärkt, ohne die Wertschöpfungskette für elektronische Bauteile zu blockieren?

Der FBDi hat zwei zentrale Forderungen an EU-Institutionen und die deutsche Politik, um den Cyber Resilience Act so umzusetzen, dass er die Cybersicherheit wirksam stärkt, ohne die Wertschöpfungskette für elek-tronische Bauteile unnötig zu belasten:

Erstens – frühzeitige Klarheit und Rechtssicherheit. Sprich, eine zeitnahe Festlegung von Produktkategorien, harmonisierten Normen und delegierten Rechtsakten mit dem Ziel, Unternehmen frühzeitig wissen zu lassen, welche Anforderungen gelten, um Planungssicherheit zu haben und ihre Prozesse entsprechend ausrichten zu können.

Zweitens – eine effektive und faire Marktüberwachung sowie eine ausreichende personelle und technische Ausstattung der Marktüberwachungsbehörden, um Verstöße schnell und konsequent zu ahnden. Denn die steigende Komplexität und der wachsende Anteil an Konformitätskosten belasten insbesondere Distributoren und Hersteller, die sich um EU-konforme Produkte bemühen. Anbieter aus Drittstaaten, die sich nicht an EU-Vorgaben halten, werden nur in einem Bruchteil der Fälle kontrolliert, obwohl Schätzungen zufolge über 50 % der Sendungen nicht konform sind – es kommt zur Wettbewerbsverzerrung. Die Folge: Konformitätspflichten treffen vor allem die gesetzestreuen Marktteilnehmer und schwächen sie im Preiswettbewerb, insbesondere im Onlinehandel, wo der Preis oft das entscheidende Kriterium ist.