CRA-Compliance-Kosten: So budgetieren Sie Konformitätsbewertung und Dokumentation
Praktischer Kostenrahmen für CRA-Compliance. Behandelt Konformitätsbewertungskosten nach Produktkategorie, Tooling-Investitionen und laufende Wartungsbudgets.
CRA Evidence-Team
Autor
11. Januar 2026
Aktualisiert 25. Februar 2026, 00:00:00 UTC
11 Min. Lesezeit
In this article
"Was wird CRA-Compliance kosten?" Diese Frage stellt jeder Hersteller, und niemand möchte sie mit konkreten Zahlen beantworten. Die Kosten variieren enorm je nach Produktkomplexität, aktuellem Reifegrad und Konformitätsbewertungsweg.
Dieser Leitfaden bietet einen praktischen Rahmen zur Schätzung Ihrer CRA-Compliance-Investition.
Tipp: Produkte der Standardkategorie können die Compliance für nur 15.000-50.000 € durch Selbstbewertung (Modul A) erreichen. Investieren Sie nicht zu viel, bevor Sie Ihre Produktklassifizierung bestätigt haben.
Zusammenfassung
- CRA-Compliance-Kosten reichen von 15.000 € (einfaches Produkt, Selbstbewertung) bis über 500.000 € (komplexes Produkt, Drittbewertung)
- Hauptkostentreiber: Konformitätsbewertungsweg, Produktkomplexität, aktueller Sicherheitsreifegrad
- Laufende Kosten (Schwachstellenmanagement, Updates) übersteigen oft die anfänglichen Compliance-Kosten
- KMU haben proportional höhere Pro-Produkt-Kosten als große Hersteller
- Budget planen: 12-18 Monate vor Dezember 2027
Kostenkategorien-Übersicht
CRA-Compliance-Kosten fallen in fünf Kategorien:
CRA COMPLIANCE KOSTENSTRUKTUR
┌─────────────────────────────────────────────────────────────┐
│ EINMALIGE KOSTEN │
├─────────────────────────────────────────────────────────────┤
│ 1. KONFORMITÄTSBEWERTUNG │
│ - Risikobewertung │
│ - Sicherheitstests │
│ - Dokumentation │
│ - Benannte-Stelle-Gebühren (falls zutreffend) │
│ │
│ 2. INFRASTRUKTUR-SETUP │
│ - SBOM-Tooling │
│ - Update-Bereitstellungsmechanismus │
│ - Schwachstellenmanagementsystem │
│ - Dokumentationsrepository │
│ │
│ 3. PRODUKT-SANIERUNG │
│ - Sicherheitslücken-Behebung │
│ - Architekturänderungen │
│ - Secure-Boot-Implementierung │
│ - Kryptographie-Upgrades │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ LAUFENDE KOSTEN │
├─────────────────────────────────────────────────────────────┤
│ 4. SCHWACHSTELLENMANAGEMENT │
│ - Überwachung und Triage │
│ - Patch-Entwicklung │
│ - Kundenbenachrichtigung │
│ - ENISA-Meldung │
│ │
│ 5. SUPPORTZEITRAUM-WARTUNG │
│ - Update-Verteilung │
│ - Sicherheitstests (laufend) │
│ - Dokumentationsaktualisierungen │
│ - Kundenservice │
└─────────────────────────────────────────────────────────────┘
Kostenschätzungen nach Produktkategorie
Standardprodukte (Modul A Selbstbewertung)
Die meisten Produkte fallen hierunter. Selbstbewertung hält die Kosten am niedrigsten.
STANDARDPRODUKT - KOSTENSCHÄTZUNG
SZENARIO: IoT-Sensor, bestehendes Produkt, moderater Sicherheitsreifegrad
────────────────────────────────────────────────────────────────
EINMALIGE KOSTEN:
Risikobewertung
├── Interner Aufwand (40-80 Stunden) 4.000 € - 8.000 €
└── Externer Berater (optional) 5.000 € - 15.000 €
Sicherheitstests
├── Schwachstellen-Scanning 1.000 € - 3.000 €
├── Penetrationstests 5.000 € - 15.000 €
└── Code-Review (falls zutreffend) 3.000 € - 10.000 €
Dokumentation
├── Technische Datei erstellen 5.000 € - 15.000 €
├── SBOM-Generierung Setup 1.000 € - 5.000 €
└── Konformitätserklärung und Anleitungen 1.000 € - 3.000 €
Infrastruktur
├── SBOM-Tooling 0 € - 5.000 €/Jahr
├── Update-Bereitstellungsmechanismus 5.000 € - 20.000 €
└── Schwachstellen-Tracking 0 € - 10.000 €/Jahr
────────────────────────────────────────────────────────────────
EINMALIG GESAMT: 25.000 € - 100.000 €
────────────────────────────────────────────────────────────────
LAUFENDE KOSTEN (pro Jahr):
Schwachstellenmanagement 10.000 € - 30.000 €
Update-Entwicklung und -Tests 15.000 € - 40.000 €
Dokumentationswartung 2.000 € - 5.000 €
Kundenservice (Sicherheit) 5.000 € - 15.000 €
────────────────────────────────────────────────────────────────
JÄHRLICH LAUFEND: 32.000 € - 90.000 €
────────────────────────────────────────────────────────────────
5-JAHRES-GESAMTBETRIEBSKOSTEN: 185.000 € - 550.000 €
PRO EINHEIT (10.000 Einheiten): 18,50 € - 55,00 €
Wichtige Klasse I (Modul A mit Normen ODER Modul B+C)
Höhere Prüftiefe, mehr Dokumentation, potenziell Drittbeteiligung.
WICHTIGE KLASSE I - KOSTENSCHÄTZUNG
SZENARIO: Smart-Home-Hub, Wichtige Klasse I, mit harmonisierten Normen
────────────────────────────────────────────────────────────────
BEI NUTZUNG HARMONISIERTER NORMEN (Modul A):
Risikobewertung
├── Umfassende Bewertung 8.000 € - 20.000 €
└── Normen-Gap-Analyse 5.000 € - 15.000 €
Sicherheitstests
├── Vollständige Sicherheitstest-Suite 15.000 € - 40.000 €
├── Normenkonformitätstests 10.000 € - 25.000 €
└── Drittvalidierung (optional) 10.000 € - 30.000 €
Dokumentation
├── Technische Datei (detailliert) 15.000 € - 35.000 €
├── Normenkonformitätsnachweis 5.000 € - 15.000 €
└── SBOM und zugehörige Dokumente 3.000 € - 8.000 €
────────────────────────────────────────────────────────────────
EINMALIG (Modul A mit Normen): 70.000 € - 190.000 €
────────────────────────────────────────────────────────────────
OHNE HARMONISIERTE NORMEN (Modul B+C erforderlich):
Alles oben, PLUS:
Benannte-Stelle-Gebühren
├── Antrag und Prüfung 5.000 € - 15.000 €
├── EU-Baumusterprüfung 20.000 € - 60.000 €
├── Testgebühren 10.000 € - 40.000 €
└── Zertifikatsausstellung 2.000 € - 5.000 €
────────────────────────────────────────────────────────────────
EINMALIG (Modul B+C): 110.000 € - 310.000 €
────────────────────────────────────────────────────────────────
LAUFENDE KOSTEN (pro Jahr):
Wie Standard, plus:
├── Normenüberwachung 2.000 € - 5.000 €
├── Erweiterte Tests 5.000 € - 15.000 €
└── NB-Überwachung (bei B+C) 5.000 € - 15.000 €
────────────────────────────────────────────────────────────────
JÄHRLICH LAUFEND: 45.000 € - 125.000 €
────────────────────────────────────────────────────────────────
Wichtige Klasse II (Pflicht Modul B+C oder H)
Drittbewertung erforderlich. Höhere Kosten unvermeidlich.
WICHTIGE KLASSE II - KOSTENSCHÄTZUNG
SZENARIO: Industrie-Firewall, Wichtige Klasse II
────────────────────────────────────────────────────────────────
EINMALIGE KOSTEN:
Risikobewertung
├── Umfassende Bedrohungsmodellierung 15.000 € - 40.000 €
└── Industrielle Sicherheitsbewertung 10.000 € - 30.000 €
Sicherheitstests
├── Vollständiges Sicherheitsaudit 25.000 € - 75.000 €
├── Industrieprotokolltests 15.000 € - 40.000 €
└── Konformitätstests 10.000 € - 30.000 €
Dokumentation
├── Technische Datei (umfangreich) 25.000 € - 60.000 €
├── Sicherheitsarchitektur-Dokumente 10.000 € - 25.000 €
└── Testberichte und Nachweise 5.000 € - 15.000 €
Benannte Stelle (Modul B+C)
├── Antrag und Planung 10.000 € - 25.000 €
├── EU-Baumusterprüfung 40.000 € - 100.000 €
├── Laborprüfungen 20.000 € - 60.000 €
└── Zertifizierung 5.000 € - 15.000 €
────────────────────────────────────────────────────────────────
EINMALIG GESAMT: 190.000 € - 515.000 €
────────────────────────────────────────────────────────────────
LAUFENDE KOSTEN (pro Jahr):
Erweitertes Schwachstellenmanagement 30.000 € - 80.000 €
Kontinuierliche Sicherheitstests 20.000 € - 50.000 €
NB-Überwachungsaudits 10.000 € - 25.000 €
Dokumentationswartung 5.000 € - 15.000 €
Kundenservice (Enterprise) 15.000 € - 40.000 €
────────────────────────────────────────────────────────────────
JÄHRLICH LAUFEND: 80.000 € - 210.000 €
────────────────────────────────────────────────────────────────
Kritische Produkte (Modul B+C + EUCC)
Höchste Anforderungen, höchste Kosten.
KRITISCHES PRODUKT - KOSTENSCHÄTZUNG
SZENARIO: Hardware-Sicherheitsmodul, Kritisch (Anhang IV)
────────────────────────────────────────────────────────────────
EINMALIGE KOSTEN:
Sicherheitsbewertung
├── Common-Criteria-Evaluierung 100.000 € - 300.000 €
├── Bedrohungsmodellierung und -analyse 30.000 € - 80.000 €
└── Kryptographische Bewertung 20.000 € - 60.000 €
Konformitätsbewertung
├── Modul B+C (Benannte Stelle) 75.000 € - 175.000 €
├── EUCC-Zertifizierung 100.000 € - 400.000 €
└── Laborprüfungen 50.000 € - 150.000 €
Dokumentation
├── Technische Datei (umfassend) 40.000 € - 100.000 €
├── Sicherheitszielbeschreibung 30.000 € - 80.000 €
└── Zertifizierungsnachweise 20.000 € - 50.000 €
────────────────────────────────────────────────────────────────
EINMALIG GESAMT: 465.000 € - 1.395.000 €
────────────────────────────────────────────────────────────────
LAUFENDE KOSTEN (pro Jahr):
Zertifizierungswartung 50.000 € - 150.000 €
Sicherheitsüberwachung und -reaktion 50.000 € - 120.000 €
Jährliche Bewertungen 30.000 € - 80.000 €
────────────────────────────────────────────────────────────────
JÄHRLICH LAUFEND: 130.000 € - 350.000 €
────────────────────────────────────────────────────────────────
Kostenvergleich Zusammenfassung
| Kategorie | Einmalig | Jährlich laufend | 5-Jahres-TCO |
|---|---|---|---|
| Standard (Modul A) | 25K-100K € | 32K-90K € | 185K-550K € |
| Wichtig I (Modul A) | 70K-190K € | 45K-125K € | 295K-815K € |
| Wichtig I (Modul B+C) | 110K-310K € | 50K-140K € | 360K-1,0M € |
| Wichtig II | 190K-515K € | 80K-210K € | 590K-1,6M € |
| Kritisch | 465K-1,4M € | 130K-350K € | 1,1M-3,2M € |
Warnung: Versteckte Kosten umfassen laufendes Schwachstellenmonitoring, Sicherheitsupdate-Bereitstellung und 5-Jahres-Support-Zusagen. Berücksichtigen Sie diese in Ihren Gesamtkosten der Compliance.
Kostentreiber
Was erhöht die Kosten
| Faktor | Auswirkung | Warum |
|---|---|---|
| Produktkomplexität | Hoch | Mehr Komponenten, größere Angriffsfläche, mehr Tests |
| Niedriger Sicherheitsreifegrad | Hoch | Gap-Sanierung vor Compliance möglich |
| Drittbewertung | Hoch | Benannte-Stelle-Gebühren sind erheblich |
| Mehrere Produkte | Mittel | Einige Kosten multiplizieren sich pro Produkt |
| Legacy-Architektur | Mittel | Redesign für sichere Updates erforderlich |
| Kurze Zeitspanne | Mittel | Eilzuschläge, parallele Arbeitsströme |
Was senkt die Kosten
| Faktor | Auswirkung | Warum |
|---|---|---|
| Bestehende Sicherheitspraktiken | Hoch | Weniger Sanierung, schnellere Dokumentation |
| Wiederverwendbare Infrastruktur | Hoch | SBOM-Tools, Update-Systeme bedienen mehrere Produkte |
| Bereits befolgte Normen | Mittel | Weniger Gap-Analyse, einfacher Modul A |
| Einfaches Produkt | Mittel | Weniger Angriffsfläche, schnellere Tests |
| Früher Start | Mittel | Keine Eilzuschläge, Zeit zur Optimierung |
DIY vs. Ausgelagert
Selbst machen (Intern)
Am besten für:
- Organisationen mit Sicherheitsexpertise
- Mehrere Produkte (Lernkurve amortisieren)
- Einfache/Standardprodukte
Kostenprofil:
- Niedrigere direkte Kosten
- Höherer Zeitaufwand
- Risiko von Nacharbeit bei Fehlern
Typischer interner Teambedarf:
INTERNES COMPLIANCE-TEAM (DIY)
Vollzeitrollen:
- Security Engineer (0,5-1 VZÄ)
- Compliance/Regulierung (0,25-0,5 VZÄ)
- Dokumentation (0,25 VZÄ)
Geschätzte jährliche Kosten: 80.000 € - 180.000 €
(Deckt mehrere Produkte ab)
Ausgelagert an Berater
Am besten für:
- Einmalige Compliance-Bedürfnisse
- Keine interne Sicherheitsexpertise
- Komplexe/Wichtige/Kritische Produkte
Kostenprofil:
- Höhere direkte Kosten
- Schnellere Umsetzung
- Expertise inklusive
Typische Beraterkosten:
BERATER-TAGESSÄTZE (EU-Durchschnitt)
Sicherheitsbewertung: 150 € - 300 €/Stunde
Technisches Schreiben: 100 € - 200 €/Stunde
Compliance-Beratung: 200 € - 400 €/Stunde
Penetrationstests: 1.000 € - 2.500 €/Tag
Vollständiges Compliance-Projekt:
- Standardprodukt: 30.000 € - 80.000 €
- Wichtige Klasse I: 60.000 € - 150.000 €
- Wichtige Klasse II: 100.000 € - 300.000 €
Hybrid-Ansatz (Empfohlen)
Am besten für: Die meisten Organisationen
HYBRID-ANSATZ
Intern:
- Produktwissen
- Laufende Wartung
- Dokumentationsaktualisierungen
- Tägliches Schwachstellenmanagement
Ausgelagert:
- Initiale Risikobewertung
- Penetrationstests
- Benannte-Stelle-Koordination
- Gap-Sanierung (spezialisiert)
Budgetplanungsrahmen
Phase 1: Bewertung (3-6 Monate vor Compliance)
BEWERTUNGSPHASE BUDGET
Produktklassifizierung 2.000 € - 10.000 €
Gap-Analyse 10.000 € - 40.000 €
Compliance-Roadmap 5.000 € - 15.000 €
────────────────────────────────────────────────────
GESAMT: 17.000 € - 65.000 €
Phase 2: Sanierung (6-12 Monate vorher)
SANIERUNGSPHASE BUDGET
Sicherheitsverbesserungen 20.000 € - 200.000 €
Architekturänderungen 10.000 € - 100.000 €
Tooling-Implementierung 5.000 € - 30.000 €
────────────────────────────────────────────────────
GESAMT: 35.000 € - 330.000 €
Phase 3: Konformitätsbewertung (3-6 Monate vorher)
KONFORMITÄTSBEWERTUNG BUDGET
Dokumentationsvorbereitung 10.000 € - 50.000 €
Tests 15.000 € - 100.000 €
Benannte Stelle (falls erforderlich) 40.000 € - 200.000 €
────────────────────────────────────────────────────
GESAMT: 65.000 € - 350.000 €
Phase 4: Laufend (Nach Compliance)
JÄHRLICHES LAUFENDES BUDGET
Schwachstellenmanagement 15.000 € - 50.000 €
Update-Entwicklung 20.000 € - 60.000 €
Dokumentationswartung 5.000 € - 15.000 €
Tools und Abonnements 5.000 € - 20.000 €
────────────────────────────────────────────────────
JÄHRLICH GESAMT: 45.000 € - 145.000 €
KMU-Überlegungen
Proportional höhere Kosten
KMU haben höhere Pro-Produkt-Kosten, weil:
- Fixkosten (Tools, Schulung) auf weniger Produkte verteilt
- Weniger bestehende Sicherheitsinfrastruktur
- Möglicherweise mehr externe Unterstützung nötig
Kostensenkungsstrategien für KMU
KMU KOSTENOPTIMIERUNG
1. Mit Gap-Analyse starten
- Genau wissen, was Sie brauchen, bevor Sie ausgeben
- Over-Engineering vermeiden
2. Open-Source-Tools nutzen
- SBOM: Syft, Trivy (kostenlos)
- Schwachstellen-Scanning: Trivy, Grype (kostenlos)
- Spart 5.000-20.000 €/Jahr
3. Normen nutzen
- Befolgen harmonisierter Normen ermöglicht Modul A
- Vermeidet Benannte-Stelle-Kosten
4. Geteilte Dienste
- Branchenkonsortien
- Managed-Compliance-Services
- Teilzeit-Sicherheitsteam
5. Phasenweiser Ansatz
- Höchstrisikohafte Produkte priorisieren
- Kosten über Zeit verteilen
6. Staatliche Förderung
- EU Digital Europe Programm
- Nationale KMU-Digitalisierungszuschüsse
- Regionale Cybersicherheitsprogramme
KMU-Budgetvorlage
KMU CRA BUDGET (Einzelnes Standardprodukt)
JAHR 1 (Compliance-Erreichung):
Bewertung und Planung 15.000 €
Gap-Sanierung 20.000 €
Dokumentation 10.000 €
Tests 10.000 €
Tools-Setup 5.000 €
Puffer (20%) 12.000 €
────────────────────────────────────────────
JAHR 1 GESAMT: 72.000 €
JAHRE 2-5 (Laufend):
Jährliche Wartung 30.000 €/Jahr
────────────────────────────────────────────
5-JAHRES-GESAMT: 192.000 €
Pro Einheit (5.000 Einheiten über 5 Jahre): 38,40 €
ROI-Überlegungen
Kosten der Nicht-Compliance
| Konsequenz | Potenzielle Kosten |
|---|---|
| Verwaltungsstrafen | Bis zu 15 Mio. € oder 2,5% des Umsatzes |
| Produktrücknahme | Entgangene Einnahmen + Rückrufkosten |
| Reputationsschaden | Kundenverlust, schwer zu quantifizieren |
| Marktzugangsverlust | Kann nicht in der EU verkaufen |
| Haftungsrisiko | Kundenansprüche |
Compliance-Vorteile
| Vorteil | Wert |
|---|---|
| Marktzugang | EU-Markt mit Milliardenwert |
| Kundenvertrauen | Wettbewerbsvorteil |
| Reduzierte Vorfälle | Niedrigere Breach-Kosten |
| Betriebliche Effizienz | Bessere Sicherheitspraktiken |
| Sorgfaltspflicht-Verteidigung | Begrenzte Haftung |
Budgetierungs-Checkliste
CRA COMPLIANCE BUDGETIERUNGS-CHECKLISTE
ERSTE BEWERTUNG:
[ ] Produkte klassifiziert (Standard/Wichtig/Kritisch)
[ ] Aktueller Sicherheitsreifegrad bewertet
[ ] Gap-Analyse abgeschlossen
[ ] Konformitätsweg bestimmt (A, B+C, H)
[ ] Zeitplan erstellt
EINMALIGES BUDGET:
[ ] Risikobewertungskosten
[ ] Sanierungskosten (falls Lücken bestehen)
[ ] Dokumentationsvorbereitung
[ ] Tests (intern und extern)
[ ] Benannte-Stelle-Gebühren (falls zutreffend)
[ ] Tool-Implementierung
[ ] Schulung
[ ] Puffer (15-25%)
LAUFENDES BUDGET:
[ ] Schwachstellenmanagement
[ ] Update-Entwicklung und -Tests
[ ] Dokumentationswartung
[ ] Tool-Abonnements
[ ] NB-Überwachung (falls zutreffend)
[ ] Kundenservice (Sicherheit)
RESSOURCENPLANUNG:
[ ] Interne VZÄ-Zuweisung
[ ] Externer Beraterbedarf
[ ] Zeitplanabstimmung mit Budget
GENEHMIGUNG:
[ ] Budget vom Management genehmigt
[ ] Phasenweiser Ausgabenplan
[ ] Fortschritts-Meilensteine definiert
Wie CRA Evidence hilft
CRA Evidence reduziert Compliance-Kosten:
- Integriertes Tooling: SBOM, Schwachstellen-Tracking, Dokumentation in einer Plattform
- Vorlagen: Vorgefertigte Dokumentation reduziert Vorbereitungszeit
- Automatisierung: Reduziert manuellen Aufwand für laufende Compliance
- Anleitung: Eingebaute Workflows reduzieren Beraterabhängigkeit
Schätzen Sie Ihre Compliance-Kosten unter app.craevidence.com.
Klassifizierung: Ihre Kosten hängen von der Klassifizierung ab — nutzen Sie unseren Produktklassifizierungsleitfaden.
Bewertung: Verstehen Sie die Bewertungskosten pro Modul in unserem Konformitätsbewertungsleitfaden.
Startups: Sehen Sie unseren startup-spezifischen Compliance-Leitfaden für budgetfreundliche Ansätze.
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Kostenschätzungen sind illustrativ und variieren je nach spezifischen Umständen.
In diesem Artikel behandelte Themen
Verwandte Artikel
Sind smarte Kameras wichtige Produkte im Sinne des EU...
Smarte Sicherheitskameras werden im CRA-Anhang III als wichtige Produkte...
9 Min.EU Cybersecurity Act 2: Lieferketten-Verbote,...
Am 20. Januar 2026 schlug die EU vor, den Cybersecurity Act vollständig zu...
9 Min.CRA-Produktklassifizierung: Ist Ihr Produkt Standard,...
Ein praktischer Leitfaden zur Bestimmung Ihrer CRA-Produktkategorie. Enthält...
8 Min.Does the CRA apply to your product?
Beantworte 6 einfache Fragen, um herauszufinden, ob dein Produkt unter den Geltungsbereich des EU Cyber Resilience Act fällt. Erhalte dein Ergebnis in weniger als 2 Minuten.
Bereit für CRA-Konformität?
Beginnen Sie mit der Verwaltung Ihrer SBOMs und Konformitätsdokumentation mit CRA Evidence.