Nichtkonformität & Erhebliches Risiko (Art. 22-23)
Übersicht
Der CRA unterscheidet zwischen formaler Nichtkonformität (Art. 22) und Produkten mit erheblichem Cybersicherheitsrisiko (Art. 23). Diese Unterscheidung ist entscheidend: Art. 22 betrifft administrative Mängel (fehlende Dokumente, falsche Kennzeichnung), während Art. 23 substanzielle Sicherheitsprobleme adressiert. Beide Artikel ermächtigen die Marktüberwachungsbehörden zu Korrekturmaßnahmen bis hin zum Vertriebsstopp oder Rückruf.
RECHTSGRUNDLAGE
Art. 22 CRA (EU) 2024/2847: Verfahren bei formaler Nichtkonformität -- die Marktüberwachungsbehörde fordert den Wirtschaftsakteur auf, die Konformität innerhalb einer festgelegten Frist herzustellen.
Art. 23 CRA (EU) 2024/2847: Verfahren bei Produkten mit erheblichem Cybersicherheitsrisiko -- die Behörde ordnet Korrekturmaßnahmen an, wenn die wesentlichen Anforderungen (Anhang I) substanziell nicht erfüllt werden.
Art. 22 -- Formale Nichtkonformität
Die Marktüberwachungsbehörde verlangt Korrekturmaßnahmen, wenn sie einen der folgenden formalen Mängel feststellt:
| Formaler Mangel | Rechtsgrundlage | Beispiel |
|---|---|---|
| CE-Kennzeichnung nicht angebracht oder falsch angebracht | Art. 29-30 | CE-Zeichen fehlt auf dem Produkt oder der Verpackung |
| EU-Konformitätserklärung nicht erstellt oder fehlerhaft | Art. 28, Anhang V | DoC fehlt oder enthält nicht alle Pflichtangaben |
| Technische Dokumentation nicht verfügbar oder unvollständig | Art. 31, Anhang VII | Dokumentation nicht innerhalb der Frist vorlegbar |
| Kontaktdaten des Herstellers/Importeurs fehlen | Art. 10(15), Art. 13(19) | Kein Name, Adresse oder Kontaktmöglichkeit auf dem Produkt |
| Sonstige administrative Anforderungen nicht erfüllt | Diverse | Fehlende Angabe des Support-Zeitraums |
Verfahrensablauf
- Behörde stellt formale Nichtkonformität fest
- Wirtschaftsakteur wird informiert und erhält eine angemessene Frist zur Herstellung der Konformität
- Akteur beseitigt die Mängel innerhalb der Frist
- Falls Nichtkonformität fortbesteht: Behörde ordnet Beschränkung, Rücknahme oder Rückruf an
ACHTUNG
Formale Mängel mögen trivial erscheinen, können aber zu einem sofortigen Vertriebsstopp führen. Die vollständige Dokumentation muss jederzeit verfügbar sein.
Art. 23 -- Produkt mit erheblichem Cybersicherheitsrisiko
Stellt ein Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko dar, greift ein verschärftes Verfahren:
- Die Marktüberwachungsbehörde führt eine risikobasierte Bewertung durch
- Bei Feststellung eines erheblichen Risikos: Anordnung von Korrekturmaßnahmen mit Fristsetzung
- Der Hersteller muss innerhalb der gesetzten Frist Abhilfe schaffen
- Bei Untätigkeit: Beschränkung, Rücknahme oder Rückruf des Produkts
Art. 23 greift insbesondere, wenn die wesentlichen Anforderungen nach Anhang I substanziell nicht erfüllt werden -- etwa fehlende Verschlüsselung, nicht geschlossene bekannte Schwachstellen oder mangelhafter Update-Mechanismus.
ERHEBLICHES RISIKO
Ein erhebliches Cybersicherheitsrisiko kann zu Sofortmaßnahmen führen. Im Gegensatz zu formaler Nichtkonformität steht hier die tatsächliche Sicherheit der Nutzer im Vordergrund. Sanktionen nach Art. 64 (bis zu 15 Mio. EUR / 2,5% Umsatz) können zusätzlich verhängt werden.
Vergleich: Art. 22 vs. Art. 23
| Kriterium | Art. 22 -- Formale Nichtkonformität | Art. 23 -- Erhebliches Cybersicherheitsrisiko |
|---|---|---|
| Gegenstand | Administrative Mängel (Dokumentation, Kennzeichnung) | Substanzielle Sicherheitsmängel (Anhang I) |
| Typische Auslöser | Fehlende CE-Kennzeichnung, unvollständige DoC | Ungeschlossene Schwachstellen, fehlende Verschlüsselung |
| Risikobewertung | Nicht erforderlich | Risikobasierte Bewertung durch die Behörde |
| Korrekturfrist | Angemessene Frist | Frist mit Dringlichkeit je nach Risiko |
| Eskalation | Vertriebsstopp, Rücknahme | Vertriebsstopp, Rücknahme, Rückruf |
| Bußgeldrisiko | Stufe 2 (bis 10 Mio. EUR / 2%) | Stufe 1 (bis 15 Mio. EUR / 2,5%) |
Praktische Maßnahmen für BAUER GROUP
Checkliste: Formale Konformität sicherstellen
- [ ] CE-Kennzeichnung auf allen Produkten korrekt angebracht (CE-Kennzeichnung)
- [ ] EU-Konformitätserklärung für jedes Produkt erstellt und aktuell (EU-Konformitätserklärung)
- [ ] Technische Dokumentation vollständig und innerhalb von 10 Arbeitstagen vorlegbar
- [ ] Kontaktdaten (Name, Adresse, E-Mail/URL) auf dem Produkt oder der Verpackung
- [ ] Support-Zeitraum angegeben und öffentlich zugänglich
Reaktionsverfahren bei Behördenkontakt
| Schritt | Frist | Verantwortlich | Aktion |
|---|---|---|---|
| 1 | Sofort | Empfänger | Anfrage an ISB und Rechtsabteilung weiterleiten |
| 2 | 1 Arbeitstag | ISB | Art der Nichtkonformität bestimmen (formell vs. substanziell) |
| 3 | 3 Arbeitstage | Fachabteilung | Korrekturmaßnahmen identifizieren und Zeitplan erstellen |
| 4 | Gem. Frist | Fachabteilung | Korrekturmaßnahmen umsetzen |
| 5 | Nach Umsetzung | ISB | Nachweis an Behörde übermitteln |
| 6 | Laufend | ISB | Dokumentation aller Maßnahmen sicherstellen |
Eskalationspfad
Behördenanfrage eingehend
|
+-- ISB + Rechtsabteilung (Erstbewertung, 1 AT)
|
+-- Formale Nichtkonformität (Art. 22)?
| +-- Ja --> Fachabteilung korrigiert (Dokumente, Kennzeichnung)
| +-- Nachweis an Behörde innerhalb der Frist
|
+-- Erhebliches Risiko (Art. 23)?
+-- Ja --> Eskalation an Geschäftsleitung
+-- Sofortige Risikobewertung
+-- Ggf. Sicherheitsupdate / Rückruf einleiten
+-- Parallele Information an ENISA (falls Art. 14 betroffen)Weiterführende Seiten
- CE-Kennzeichnung -- Anforderungen an die korrekte Anbringung
- EU-Konformitätserklärung -- Inhalt und Form der DoC
- Marktüberwachung -- Behördenverfahren und Vorbereitung
- Sanktionen und Bußgelder -- Bußgeldrahmen bei Verstößen