Der neue EU Cyber Resilience Act (CRA) wird - beinahe unbemerkt - tiefgreifend verändern, wie viele Franchise- und Vertriebsnetze ihre digitalen Produkte entwickeln, einführen und betreuen. Ursprünglich als Instrument der Produktregulierung konzipiert, wird der CRA insbesondere für Franchisegeber eine zentrale Rolle spielen, sofern sie ihren Partnern Kassensoftware, Apps, Cloud-Tools oder vernetzte Geräte zur Verfügung stellen.
Was fällt in den Geltungsbereich?
Der CRA gilt für die meisten „Produkte mit digitalen Elementen“ - vereinfacht gesagt für Hardware oder Software, die direkt oder indirekt mit einem Netzwerk verbunden ist (z. B. Kassensysteme, Kundenbindungs-Apps, Selbstbedienungskioske, im Einzelhandel eingesetzte IoT-Geräte). Bestimmte Sektoren, die bereits stark durch EU-Recht reguliert sind (z. B. Medizinprodukte, Fahrzeuge), sind davon ausgenommen.
Wenn ein Franchisesystem seinen Filialen markeneigene Software, White-Label-Hardware oder ein gebündeltes „digitales Toolkit“ anbietet, fallen diese Produkte wahrscheinlich unter den CRA.
Wer ist der „Hersteller“ im Rahmen eines Franchise-Systems?
Der CRA übernimmt die „klassischen“ Rollen im Produktrecht:
- Hersteller - bezeichnet eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich (Artikel 3 (13) CRA).
- Einführer - bezeichnet eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke einer außerhalb der Union ansässigen oder niedergelassenen natürlichen oder juristischen Person in der Union in den Verkehr bringt (Artikel 3 (16) CRA).
- Händler - bezeichnet eine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers (Artikel 3 (17) CRA).
In vielen Netzwerken gilt der Franchisegeber (oder das Konzernunternehmen) als Hersteller seiner eigenen Softwareplattform oder seiner Markenprodukte. Ein Master-Franchisenehmer oder regionaler Vertriebspartner kann zum Einführer werden, wenn er Waren von außerhalb der EU bezieht. Einzelne Franchisenehmer, die als Verkaufsstellen fungieren, sind häufig als Händler einzustufen. Diese Einordnung ist wichtig: Jede Rolle bringt ihre eigenen Verpflichtungen und Risiken mit sich.
Wesentliche Verpflichtungen der CRA
Der CRA schreibt grob Folgendes vor:
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Hersteller gewährleisten, dass ihr Produkt mit digitalen Elementen gemäß den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil 1 der CRA konzipiert, entwickelt und hergestellt worden ist. (Artikel 13 (1) CRA).
- Schwachstellenbehandlung und Updates
Die Hersteller müssen Schwachstellen in ihren Systemen gemäß den in Anhang I Teil II festgelegten Anforderungen ermitteln, melden und beseitigen (Artikel 13 (3), (6) CRA). Zudem müssen sie gewährleisten, alle relevanten Sicherheitsaktualisierungen gemäß Anhang I Teil II Nummer 8 während des gesamten Unterstützungszeitraums zur Verfügung zu stellen. (Artikel 13 (9) CRA).
- Konformitätsbewertung und CE-Kennzeichnung
Bevor ein Produkt in Verkehr gebracht wird, müssen Hersteller eine Konformitätsbewertung durchführen, die technischen Unterlagen erstellen und die CE-Kennzeichnung anbringen. (Artikel 13 (12) CRA).
- Verpflichtungen für Einführer und Händler
Importeure und Händler müssen sicherstellen, dass nur CRA-konforme Produkte (mit CE-Kennzeichnung, Dokumentation und Herstellerangaben) auf den Markt gebracht werden (Artikel 19 (1), 20 (2)). Sie müssen mit den Behörden zusammenarbeiten, wenn sie Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen nicht den in dieser Verordnung festgelegten Verpflichtungen entspricht (Artikel 19 (8), 20 (6) CRA).
Für Franchise-Netzwerke wirft dies konkrete Fragen zur Unternehmensführung auf: Wer ist für den Schwachstellenmanagement-Prozess verantwortlich? Wer stellt den Filialen Sicherheitsupdates zur Verfügung? Wie wird sichergestellt, dass Franchisenehmer keine nicht konforme Hardware oder modifizierte Software verwenden?
Zeitplan und wie Franchise-Netzwerke jetzt handeln sollten
Diese Verordnung gilt ab dem 11. Dezember 2027. Für Hersteller gilt jedoch Artikel 14 mit seiner Meldepflicht für Vorfälle (bezüglich aktiv ausgenutzter Schwachstellen) bereits ab dem 11. September 2026. Für Franchise-Netzwerke, die in hohem Maße auf digitale Tools angewiesen sind, bleibt somit nur ein kurzes Zeitfenster.
Franchisegeber und Markeninhaber sollten damit beginnen:
- Erfassen Sie ihre Rolle(n) im Rahmen der CRA für jedes Produkt mit digitalen Elementen, das in den Mitgliedstaaten verwendet oder bereitgestellt wird.
- Verträge prüfen (Franchiseverträge, Master-Franchise-Verträge, Vertriebs- und IT-Lieferverträge), um die Zuständigkeiten für Cybersicherheit, Updates, die Bearbeitung von Vorfällen und Rückrufe an die CRA-Rollen anzupassen.
- Handbücher und Richtlinien aktualisieren, um klare Regeln für die Nutzung, Wartung und Aktualisierung digitaler Produkte auf Filialebene aufzunehmen.
- Einrichtung einer internen CRA-Governance, die die Bereiche Recht, IT-Sicherheit, Produktentwicklung und Franchise-Betrieb miteinander verbindet.
Praktische Tipps
Für viele Systeme wird die CRA kein rein technisches Thema sein. Sie wird zu einem zentralen Bestandteil der Gestaltung ihrer Franchise- und Vertriebsbeziehungen - und der Verteilung von Risiken und Haftung innerhalb des Netzwerks. Daher ist es unerlässlich, ein System zu entwickeln, das es ermöglicht, alle Verpflichtungen zu erfüllen, bevor die CRA im Dezember 2027 vollständig in Kraft tritt.
