Cyber-Resilience-Act: Neue Pflichten für Distributoren

Der Cyber‑Resilience‑Act der EU ist seit dem 10. Dezember 2024 in Kraft. Er harmonisiert die Cybersicherheit digitaler Produkte und verpflichtet Hersteller, Importeure und Händler, Sicherheitsrisiken zu berücksichtigen. Ab dem 11. Dezember 2027 dürfen nur noch konforme Produkte in der EU verkauft werden – auch Elektronik‑Distributoren müssen sich darauf einstellen.

Welche Produktklassen werden erfasst?

Der CRA teilt digitale Produkte in drei Risikokategorien: Standard, wichtig (Klasse I und II) und kritisch. Erfasst werden neben Software wie Browsern, Betriebssystemen und Sicherheits‑/Netzwerktools auch Netzwerkgeräte wie Router und Modems, Mikroprozessoren und Mikrocontroller sowie vielfältige IoT‑Geräte und industrielle Hardwaresysteme. Damit reicht das Spektrum vom smarten Türschloss über Videokameras bis hin zu Hypervisoren und sicheren Mikrocontrollern.

Deutsche Bauelemente-Distribution gibt in Q2 2025 nach

Die Aussichten für die deutsche Bauelemente-Distribution bleiben unsicher, auch Q2 2025 blieb deutlich hinter dem Vorjahresquartal zurück. Chancen für Innovation und Wachstum sieht der FBDi in Megatrends wie Quantencomputing, IoT und KI.

Pflichten für Hersteller und Importeure – der Kontext für Händler

Hersteller müssen Produkte sicher entwickeln, Risiken bewerten, technische Unterlagen einschließlich Software‑Stückliste bereitstellen und Schwachstellen managen. Sie müssen eine Konformitätserklärung ausstellen, das CE‑Zeichen anbringen, Sicherheitsupdates während eines definierten Support‑Zeitraums bereitstellen und Vorfälle innerhalb weniger Tage melden. Importeuren obliegt die Kontrolle, ob diese Pflichten eingehalten werden, andernfalls dürfen sie das Produkt nicht einführen.

Wer Produkte unter eigener Marke verkauft oder wesentlich verändert, wird rechtlich zum Hersteller mit allen daraus resultierenden Pflichten. Händler sollten deshalb genau definieren, ob sie lediglich vertreiben oder als OEM auftreten.

Was sich konkret für Elektronik‑Distributoren ändert

Artikel 20 des CRA definiert eine Reihe von Pflichten für Distributoren. Diese sind weniger umfangreich als für Hersteller, verlangen aber spürbare Sorgfalt:

• Sorgfaltspflicht und CE‑Prüfung: Händler müssen vor dem Verkauf prüfen, ob CE‑Kennzeichnung und Konformitätserklärung vorliegen und ob der Hersteller beziehungsweise Importeur alle CRA‑Pflichten erfüllt. Fehlen Unterlagen wie Software‑Stückliste oder Support‑Zeitraum, darf das Produkt nicht vertrieben werden.

• Nicht‑konforme Produkte zurückhalten: Bei Zweifeln an der Konformität oder bei einem erheblichen Sicherheitsrisiko darf das Produkt nicht in den Handel. Lagerware bleibt gesperrt, bis Mängel behoben sind; gegebenenfalls sind Rückrufe mit dem Hersteller zu organisieren.

• Dokumentation und Meldewege: Distributoren müssen Nachweise bereithalten und auf Anfrage der Behörden vorlegen. Werden Schwachstellen entdeckt, sind Hersteller und gegebenenfalls auch Behörden zu informieren. Dokumentation und Lieferkettenkontakte müssen zehn Jahre lang aufbewahrt werden.

• Pflicht bei Hersteller‑Ausfall: Wenn der Hersteller keine Sicherheitsupdates mehr liefert, muss der Distributor die Behörden und, soweit möglich, Kunden informieren. Restbestände können dadurch unverkäuflich werden.

• Begrenzter, aber definierter Verantwortungsbereich: Händler müssen die Sorgfalt beim Inverkehrbringen nachweisen. Obwohl sie keine vollständige technische Prüfung schulden, sind Verstöße teuer – Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes sind möglich.

Was macht eigentlich eine Einkäuferin für elektrische Messtechnik?

Die ersten Elektronik-Experimente und Computer-Erfahrungen am Sinclair ZX81 mit dem Vater, danach Ausbildung zur Kommunikationselektronikerin, dann zu Conrad Electronic: Susanne Storch ist Technikerin durch und durch – und brennt für ihren Job.

Was Distributoren jetzt tun sollten

Der CRA ist kein Papiertiger. Wer ab Ende 2027 Elektronikartikel verkaufen will, sollte jetzt Prozesse schaffen:

1. Lieferantenmanagement verbessern: Für jedes Produkt müssen CE‑Kennzeichnung, Konformitätsunterlagen, Software‑Stückliste und Support‑Zeitraum vorliegen. Die Lieferverträge sollten die fristgerechte Bereitstellung dieser Informationen regeln.

2. IT‑Systeme aufrüsten: Eine Datenbank muss Schwachstellenmeldungen, Software‑Stücklisten und Support‑Zeiträume erfassen und mindestens zehn Jahre aufbewahren können.

3. Schwachstellenmeldungen verarbeiten: Meldeprozesse und Schulungen sorgen dafür, dass Sicherheitsvorfälle erkannt und weitergeleitet werden.

4. Rollen klären: Wer Produkte unter eigener Marke vertreibt oder maßgeblich verändert, wird zum Hersteller und trägt mehr Verantwortung.

Damit steht fest: Viele Distributoren müssen ihre Organisationsstruktur und IT‑Systeme anpassen. Doch wie beurteilt die Branche die neuen Anforderungen, und welche Unterstützung können Händler erwarten? Wir haben beim Fachverband Bauelemente Distribution (FBDi) nachgefragt. 

Elektroniktrends verraten die Lieferkette von morgen

Geringe Vorlaufzeiten, steigende Komplexität, plötzliche Nachfragespitzen – die Elektronikmärkte sind ein Frühwarnsystem für Veränderungen. Wer deren Trends analysiert, kann zukünftige Anforderungen an die Lieferkette frühzeitig erkennen.

Die EU-Verordnung 2024/2847 verlangt, dass Hersteller, Importeure und Händler die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus sicherstellen. Wie schätzen Sie den Umfang dieser Anforderungen für die deutsche Distribution ein?

FBDi: Der Umfang der Pflichten hängt stark davon ab, welche Rolle die Distribution im konkreten Fall einnimmt – Hersteller, Importeur oder Händler.

• Händler, die keine Produkte importieren, sind vergleichsweise wenig betroffen. Sie müssen im Wesentlichen nur sicherstellen, dass die von ihnen vertriebene Ware CE-zertifiziert ist.
• Importeure hingegen werden im Rahmen des Cyber Resilience Act in die Verantwortung des Herstellers genommen. Sie müssen sicherstellen, dass der Hersteller alle EU-Vorgaben erfüllt hat. Das bedeutet insbesondere die Prüfung der CE-Kennzeichnung und deren korrekte Ausstellung – bei Risikoklasse II durch eine benannte Stelle, bei kritischen Produkten durch eine zugelassene Sicherheitsbewertungsstelle. Hinzu kommen weitere Aufgaben wie das Meldewesen, die Organisation der Verteilung von Sicherheitspatches sowie die zehnjährige Archivierung relevanter Unterlagen. Diese Anforderungen erweitern die bestehenden Prozesse eines Distributors erheblich.

Generell bringt der CRA für alle Marktteilnehmer tiefgreifende Pflichten mit sich: Sicherheitslücken melden, Updates über den gesamten Produktlebenszyklus dokumentieren und technische Unterlagen langfristig aufbewahren. Der damit verbundene Aufwand lässt sich heute noch schwer abschätzen – er reicht von umfassenden Mitarbeiterschulungen über den Aufbau neuer Prozesse bis hin zu umfangreichen Anpassungen der Ablaufstruktur.

Trotz des zusätzlichen bürokratischen Aufwands halten wir den CRA für einen wichtigen und notwendigen Schritt: Angesichts immer häufigerer und komplexerer Angriffe sind diese Maßnahmen notwendig, um unsere (Cyber-)Sicherheit zu verbessern.

Kritische Produkte müssen vor dem Verkauf von einer zugelassenen Stelle bewertet werden. Welche Produkte aus dem typischen Portfolio der Distributoren sind davon betroffen und wie aufwendig wird dieser Prozess?

FBDi: Die größte Herausforderung liegt derzeit in der noch nicht abgeschlossenen Klassifizierung der betroffenen Produkte. Externe Expertengruppen diskutieren intensiv – und teils kontrovers – über die Einstufung. Beispiel: USB-Sticks und Speicherkarten werden je nach Sichtweise entweder als „kritische Produkte“ der höchsten Risikoklasse oder gar nicht unter den CRA fallend eingestuft.

Für die Distribution bedeutet dies:

• Hoher organisatorischer Aufwand, insbesondere wenn für kritische Produkte Prozesse etabliert werden müssen, um innerhalb von 24 Stunden auf Meldepflichten reagieren zu können.
• Anpassung der Lieferantenverträge, um Reaktionszeiten und Verantwortlichkeiten klar zu regeln.
• Marktbereinigung ist wahrscheinlich, da nicht alle Broker oder kleinere Marktteilnehmer diese Anforderungen erfüllen können.

„E-Procurement hat Luft nach oben“

Welche aktuellen Themen beschäftigen die Distributionsbranche und ihre Kunden? Im Interview wirft Ralf Bühler, CEO von Conrad Electronic, einen Blick auf aktuelle Trends in der Distribution.

Der FBDi bietet ab September ein neues „Competence Team CRA“ an, damit sich Distributoren austauschen und Hilfestellungen erhalten. Welche konkreten Leistungen liefert dieses Team, und wie können Mitglieder davon profitieren?

FBDi: Unser neu gegründetes Competence Team CRA wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Hierbei werden wir von Fachjuristen unterstützt, um stets den aktuellen Entscheidungen folgen und diese rechtssicher auslegen zu können. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen. Der regelmäßige praxisnahe und verbandsinterne Erfahrungsaustausch ermöglicht unseren Mitgliedsunternehmen, wertvollen Wissensvorsprung im Umgang mit dem CRA zu erlangen.

Importeuren und Distributoren wird zugemutet, nur Produkte mit CE-Kennzeichnung zu liefern, die technische Dokumentation zu prüfen und bei Verdacht auf Sicherheitsrisiken Hersteller und Behörden zu informieren. Wie realistisch ist es, dass Distributoren diese Aufgaben im Alltag erfüllen können, und wo sehen Sie noch Klarstellungsbedarf?

FBDi: Der CRA ist in höchstem Maße zeitkritisch: Auch wenn die vollständige Anwendung erst am 11. Dezember 2027 greift, tritt die Meldepflicht für Schwachstellen bereits am 11. September 2026 in Kraft. Für Distributoren stellt sich die Frage, wie Lieferantenverträge rechtzeitig angepasst werden sollen, wenn harmonisierte Normen und delegierte Rechtsakte noch fehlen.

Selbst für erfahrene Distributionsunternehmen bedeutet die Rolle des Importeurs im CRA eine enorme Herausforderung:

• Aufbau neuer Prozesse mit sehr engen Reaktionszeiten
• Anpassung bestehender Software- und IT-Systeme
• Schulung der Mitarbeitenden in neuen Abläufen und Pflichten

Ständig präsent ist dabei das Risiko von Haftung, Produktrückrufen, Folgekosten, Imageschäden und Umsatzeinbußen.

Für Importe sind klare Vorgaben und frühzeitige Guidelines unverzichtbar. Die Distribution ist nicht das letzte Glied der Lieferkette – sie muss diese Informationen und Prozesse auch mit ihren Kunden abstimmen. Das erfordert ein intensives Studium der neuen Pflichten und eine genaue Analyse der prozesstechnischen Auswirkungen, um rechtzeitig und rechtskonform agieren zu können.

Was Elektronik-Distributoren 2025 bewegt

Unsere Umfrage unter Elektronik-Distributoren zeigt: 2024 war von starken Nachfragen, aber auch deutlichen Rückgängen geprägt. Hier analysieren Experten Trends, Herausforderungen und Perspektiven, die den Markt beeinflussen und künftig prägen.

Kleinere und mittelständische Distributoren verfügen oft nicht über große Compliance-Abteilungen. Welche spezifischen Herausforderungen erwarten Sie für diese Unternehmen, und wie will der FBDi sie unterstützen?

FBDi: Gerade für kleinere und mittelständische Distributoren sind die umfangreichen Herausforderungen des Cyber Resilience Act enorm. Der FBDi unterstützt seine Mitglieder gezielt mit:

• Fachvorträgen und Schulungen durch spezialisierte Juristen und Experten, um rechtliche und technische Anforderungen verständlich zu vermitteln.
• Praxisnahem Austausch im Competence Team CRA – hier werden konkrete Fragestellungen diskutiert und gemeinsam Lösungen erarbeitet.

Trotzdem bleibt die Sorge, dass insbesondere kleinere Unternehmen durch die Vielzahl an Auflagen, unklare Produktkategorisierungen und das Fehlen harmonisierter Normen überfordert werden könnten. Zwar sieht der CRA an einigen Stellen Erleichterungen für KMU und Start-ups vor, doch besteht das Risiko, dass diese in der Praxis nicht ausreichen, um Wettbewerbsnachteile zu verhindern.

Top 20: Die wertvollsten Wirtschaftszweige 2024

Welche Branchen bestimmten 2024 die Weltwirtschaft? Politische Entwicklungen, technologische Fortschritte und neue Geschäftsmodelle verändern die Märkte. Ein Blick auf die wertvollsten Wirtschaftszweige zeigt, welche Trends die Zukunft prägen.

Welche Forderungen hat der FBDi an die EU-Institutionen und die deutsche Politik, um die CRA so umzusetzen, dass sie die Cybersicherheit stärkt, ohne die Wertschöpfungskette für elektronische Bauteile zu blockieren?

FBDi: Der FBDi hat zwei zentrale Forderungen an EU-Institutionen und die deutsche Politik, um den Cyber Resilience Act (CRA) so umzusetzen, dass er die Cybersicherheit

wirksam stärkt, ohne die Wertschöpfungskette für elektronische Bauteile unnötig zu belasten:

1. Frühzeitige Klarheit und Rechtssicherheit

Zeitnahe Festlegung von Produktkategorien, harmonisierten Normen und delegierten Rechtsakten.

Ziel: Unternehmen müssen frühzeitig wissen, welche Anforderungen gelten, um Planungssicherheit zu haben und ihre Prozesse entsprechend ausrichten zu können.

2. Effektive und faire Marktüberwachung

Ausreichende personelle und technische Ausstattung der Marktüberwachungsbehörden, um Verstöße schnell und konsequent zu ahnden.

Hintergrund: Die steigende Komplexität und der wachsende Anteil an Konformitätskosten belasten insbesondere Distributoren und Hersteller, die sich um EU-konforme Produkte bemühen.

Wettbewerbsverzerrung: Anbieter aus Drittstaaten, die sich nicht an EU-Vorgaben halten, werden nur in einem Bruchteil der Fälle kontrolliert – obwohl Schätzungen zufolge über 50 % der Sendungen nicht konform sind.

Folge: Konformitätspflichten treffen vor allem die gesetzestreuen Marktteilnehmer und schwächen sie im Preiswettbewerb, insbesondere im Onlinehandel, wo der Preis oft das entscheidende Kriterium ist.