Die EU-Verordnung 2024/2847 (Cyber Resilience Act – CRA[1]) verpflichtet Hersteller digitaler Produkte zu umfangreichen Cybersicherheitsmaßnahmen und – im Fall schwerer Sicherheitsvorfälle oder aktiv ausgenutzter Schwachstellen – bereits ab dem 11. September 2026 zu Meldungen an die zuständigen Behörden und die betroffenen Nutzer. Unklar war bisher, wie diese Pflichten in gestuften Lieferketten ausgestaltet sind. Eine aktuelle FAQ[2] der Kommission bringt nun Klarheit: Auch bei Sicherheitslücken in Vorprodukten müssen mehrere Hersteller eigenständig Meldung erstatten.
Mehrstufige Lieferketten und Art. 14 CRA
Die Praxis moderner Fertigung setzt auf modulare Integration: Eine Kamera wird in ein smartes Kühlaggregat verbaut, dieses wiederum in einen vernetzten Kühlschrank. Jeder dieser Bausteine erfüllt die Kriterien eines Produkts mit digitalen Elementen (PDE) im Sinne von Art. 3 CRA. Nach Art. 14 Abs. 1 CRA sind Hersteller solcher Produkte verpflichtet, aktiv ausgenutzte Schwachstellen sowie schwere Sicherheitsvorfälle zu melden. Dies gilt ausdrücklich auch für Produkte, die bereits vor Inkrafttreten des CRA in Verkehr gebracht wurden. Die Meldung muss gleichzeitig an das gem. Art. 14 CRA als Koordinator benannte CSIRT (Computer Security Incident Response Team) und an die ENISA (European Network and Information Security Agency) über die gem. Art 16 eingerichtete einheitliche Meldeplattform sowie betroffene Nutzer erfolgen.
Wer ist Hersteller im Sinne des CRA?
Der Begriff des Herstellers orientiert sich an den Grundsätzen des New Legislative Framework (NLF)[3]. Als Hersteller gilt, wer ein PDE entwickelt oder unter eigenem Namen oder Marke in der EU in Verkehr bringt. Damit ist nicht nur der Entwickler eines Sensors betroffen, sondern auch derjenige, der diesen Sensor in ein neues System integriert und eigenständig vertreibt.
Komponenten sind selbständige Produkte mit digitalen Elementen
Ziffer 1.2 der FAQ der Kommission stellt klar: Auch separat bereitgestellte Hardwarekomponenten wie Sensoren oder Steuergeräte sind PDE. Für jede dieser Komponenten gelten eigenständige Meldepflichten. Das Kühlaggregat wird durch Integration der Kamera zu einem neuen Produkt – ebenso wie der Kühlschrank durch Integration des Aggregats. Für jede dieser Produktstufen entsteht ein neues, meldepflichtiges PDE
Zentrale Aussage der Kommission: Alle Integratoren müssen melden
FAQ 5.4 beschreibt sinngemäß:
„If an actively exploited vulnerability is contained in a third-party component, all manufacturers integrating that component are required to notify it.“
Die Integration einer kompromittierten Komponente führt demnach auf jeder Stufe zu einer eigenständigen Meldepflicht. Ein Vorfall in der Kamera verpflichtet somit nicht nur den Kamerahersteller, sondern auch Aggregat- und Kühlschrankhersteller zur Benachrichtigung der Behörden. Die Meldepflicht bezieht sich immer auf das vom jeweiligen Hersteller vertriebene Produkt – unabhängig davon, ob die Schwachstelle im eigenen Entwicklungsbereich liegt oder in einem zugekauften Bauteil.
Systematische Redundanz – bewusst gewollt
Diese Doppelung ist kein Versehen, sondern entspricht dem Regulierungsziel des CRA, daRisiken entlang der gesamten Lieferkette erkennbar und bearbeitbar gemacht werden sollen. Mehrfachmeldungen sind daher nicht nur zulässig, sondern ausdrücklich vorgesehen. Dies unterstreichen auch weitere Passagen der FAQ, etwa zu den Due-Diligence-Pflichten der Integratoren (FAQ 4.4.2).
Einschränkungen und Abgrenzung
Die Meldepflicht besteht nur, wenn das jeweilige Produkt tatsächlich betroffen ist. Sollte ein Hersteller eine Komponente integrieren, deren Schwachstelle im konkreten Produkt weder funktional aktiviert noch sicherheitsrelevant ist, könnte im Einzelfall eine Meldepflicht entfallen. In der Praxis ist dies jedoch kaum relevant, da die digitale Integration regelmäßig auch sicherheitsseitige Implikationen mit sich bringt.
Nicht unter die Meldepflicht fallen Unternehmen, die keine Produkte in Verkehr bringen, sondern Komponenten ausschließlich für den internen Gebrauch herstellen (FAQ 1.5). Maßgeblich ist insoweit das Marktverhalten, nicht der Herstellungsprozess selbst.
Folgen für Hersteller: Pflicht zur Eigenbewertung und aktiven Risikoüberwachung
Jeder Hersteller eines Produkts mit PDE muss eigenständig prüfen, ob eine bekannte Schwachstelle in einer Drittkomponente Auswirkungen auf das eigene Produkt entfaltet. Ein Verweis auf den Zulieferer entbindet nicht von dieser Verantwortung. Umgekehrt sind auch Hersteller von Komponenten verpflichtet, Informationen über aktiv ausgenutzte Schwachstellen zeitnah weiterzugeben, um Integratoren die Einhaltung ihrer Meldepflichten zu ermöglichen (Art. 14 Abs. 8 CRA). Diese Lieferkettentreue besteht jedoch nur Upstream. Da der CRA lediglich eine Meldepflicht für Nutzer des PDE normiert, sind Zulieferer gegenüber Ihren weiterverarbeitenden Kunden Meldepflichtig, jedoch nicht der Originalgerätehersteller (OEM) gegenüber seinen Zulieferern, wenn dieser in einer Komponente der Zulieferer eine meldepflichtige Schwachstelle feststellt. Anders sieht es Im Verhältnis Hersteller-Importeur-Händler aus. Hier bestehen auch Downstream-Meldepflichten. Sowohl Importeur als auch Händler sind verpflichtet den Hersteller über bekannte Schwachstellen zu informieren (Importeur: Art. 19 Abs. 5 Unterabs. 2 CRA; Händler: Art. 20 Abs. 4 Unterabs. 2 CRA).
Konsequenz für die Praxis – vertragliche Absicherung der Lieferkette erforderlich
Die Anforderungen des CRA machen eine umfassende vertragliche Absicherung entlang der Lieferkette erforderlich. Insbesondere sollte geregelt werden, wie über erkannte Schwachstellen informiert wird, wie der Informationsfluss dokumentiert wird und welche Verantwortlichkeiten im Fall einer Meldung greifen. Die Meldepflicht nach Art. 14 CRA ist nicht delegierbar – jeder Hersteller bleibt für sein eigenes Produkt verantwortlich. Für die Praxis kommen insbesondere noch die sehr kurzen Meldefristen erschwerend hinzu, da gem. Art. 14 Abs. 2 CRA spätestens innerhalb von 24h nach Kenntniserlangung eine Frühwarnung abgegeben werden und innerhalb von 72 h ein detaillierterer Bericht folgen muss. Außerdem sind mögliche parallele Meldungen nach der NIS-2-RL oder der DSGVO zu beachten.
[1] Volltext – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847
[2] Volltext: https://ec.europa.eu/newsroom/dae/redirection/document/122331
[3] https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en