CRA-Bußgelder können EUR 15 000 000 oder 2,5 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag für ein Unternehmen höher ist. Der Cyber Resilience Act gibt den Marktüberwachungsbehörden zwei Hebel: Verwaltungsgeldbußen und Produktmaßnahmen wie Abhilfemaßnahmen, Rücknahme, Rückruf oder Beschränkungen der Bereitstellung.
Diese Seite erklärt, was diese Befugnisse in der Praxis bedeuten und welche Nachweise ein Wirtschaftsakteur bereithalten sollte, bevor eine Behörde sie verlangt.
Zusammenfassung
- Der CRA kennt drei Bußgeldstufen. Die höchste Stufe betrifft die grundlegenden Cybersicherheitsanforderungen und die zentralen Herstellerpflichten.
- Der feste EUR-Betrag ist nicht immer die Obergrenze. Für Unternehmen gilt der Umsatzprozentsatz, wenn er höher liegt als der feste Betrag.
- Bußgelder sind nur ein Durchsetzungswerkzeug. Behörden können Abhilfemaßnahmen, Rücknahme, Rückruf oder Beschränkungen der Marktbereitstellung verlangen.
- Marktüberwachung beginnt mit Nachweisen. Technische Dokumentation, EU-Konformitätserklärung, SBOM-Nachweise, Schwachstellenprotokolle und Aufzeichnungen zum Unterstützungszeitraum sind die Grundlage, auf der Behörden Ihre Konformitätsbehauptung prüfen können.
- Die Größe des Akteurs zählt, ist aber kein Freibrief. Behörden müssen die Größe bei der Festsetzung der Geldbuße berücksichtigen, einschließlich Kleinstunternehmen, KMU und Start-ups.
Die vier Durchsetzungsanker: das höchste Bußgeld, der frühe Beginn der Meldepflicht, das Datum der Vollanwendung und die Produktmaßnahmen, die den Marktüberwachungsbehörden zur Verfügung stehen.
Welche Verwaltungsbußgelder können gelten?
Die Verordnung legt die EU-weiten Höchstbeträge für Verwaltungsgeldbußen fest. Die Mitgliedstaaten regeln die Details der Sanktionen, müssen aber im CRA-Rahmen bleiben, und die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
| Verstoßkategorie | Was sie auslöst | Maximale Verwaltungsgeldbuße |
|---|---|---|
| Zentrale Produktsicherheitspflichten | Wesentliche Cybersicherheitsanforderungen und zentrale Herstellerpflichten, einschließlich Schwachstellenbehandlung, Sicherheitsupdates, Nachweise zum Unterstützungszeitraum und verpflichtender Meldungen | EUR 15 000 000 oder, für Unternehmen, 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist |
| Marktzugang und Konformität | Prüfungen durch Importeure und Händler, CE-Kennzeichnung, Erklärungen, Konformitätsbewertung, Zusammenarbeit mit notifizierten Stellen und Marktüberwachungspflichten | EUR 10 000 000 oder, für Unternehmen, 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Irreführende Angaben | Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen oder Marktüberwachungsbehörden | EUR 5 000 000 oder, für Unternehmen, 1 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
Das höchste Bußgeld sollten Hersteller zuerst verstehen. Es deckt die Produktsicherheitssubstanz und die operativen Herstellerpflichten ab: Cybersicherheits-Risikobewertung, Schwachstellenbehandlung, Sicherheitsupdates, Offenlegung des Unterstützungszeitraums sowie die Meldung schwerwiegender Vorfälle oder aktiv ausgenutzter Schwachstellen. Die technische Dokumentation, die EU-Konformitätserklärung und die CE-Kennzeichnung fallen in die mittlere Bußgeldstufe (Marktzugang und Konformität).
Welche Verstöße sind besonders kritisch?
Der CRA bewertet nicht jeden möglichen Sachverhalt einzeln. Er steckt rechtliche Rahmen ab. In der Praxis liegt das größte Risiko bei Fehlern, die die Cybersicherheitssubstanz des Produkts betreffen, die Wahrhaftigkeit der Konformitätsbehauptung oder die Fähigkeit der Behörden, das Risiko zu bewerten.
| Muster | Warum es zählt | Wahrscheinlicher Rechtsbereich |
|---|---|---|
| Produkt auf dem EU-Markt bereitgestellt, ohne die grundlegenden Anforderungen aus Anhang I zu erfüllen | Die Aussage zur Produktsicherheit ist von Anfang an falsch | Höchstes Bußgeld |
| Keine wirksame Schwachstellenbehandlung während des Unterstützungszeitraums | Die Schwachstellenbehandlung läuft während des Unterstützungszeitraums nicht | Höchstes Bußgeld |
| Keine Meldung eines schwerwiegenden Vorfalls oder einer aktiv ausgenutzten Schwachstelle, sobald die Pflichtmeldung greift | Die Meldepflicht beginnt vor der Vollanwendung | Höchstes Bußgeld |
| Falscher Konformitätsweg für ein Wichtiges oder Kritisches Produkt | Die Konformitätserklärung ruht auf der falschen Bewertungsroute | Höchstes oder mittleres Bußgeld, je nach verletzter Pflicht |
| Fehlende oder ungültige EU-Konformitätserklärung, CE-Kennzeichnung oder Betreiberangaben | Die Marktzugangsunterlagen sind mangelhaft | Mittleres Bußgeld |
| Irreführung einer notifizierten Stelle oder einer Marktüberwachungsbehörde | Die Behörde kann sich nicht auf die übermittelten Angaben verlassen | Bußgeld für irreführende Angaben, möglicherweise schwerer bei weiteren Verstößen |
Die sicherste Lesart der Stufen lautet nicht "Welches Bußgeld werden wir bekommen?", sondern "Welche Nachweise müssen wir vorlegen können?" Eine unterschriebene Konformitätserklärung ohne technische Datei, SBOM-Nachweise, Schwachstellenprotokolle und eine begründete Konformitätsbewertung ist eine fragile Durchsetzungsposition.
Wie Behörden die Höhe der Geldbuße festsetzen
Die Höhe der Geldbuße ist keine mechanische Prozentrechnung. Bei der Festsetzung müssen Behörden den Verstoß, frühere ähnliche Bußgelder gegen denselben Akteur und die Größe des Wirtschaftsakteurs berücksichtigen.
| Faktor | Praktische Bedeutung |
|---|---|
| Art, Schwere und Dauer des Verstoßes sowie dessen Folgen | Eine kurzlebige Dokumentationslücke ist etwas anderes als ein ausgeliefertes Produkt mit einer ausnutzbaren Designschwäche. |
| Ob bereits Geldbußen gegen denselben Wirtschaftsakteur für ähnliche Verstöße verhängt wurden | Wiederholtes Verhalten in mehreren Mitgliedstaaten kann das Ergebnis verschärfen. |
| Größe und Marktanteil des Wirtschaftsakteurs | Kleinstunternehmen, KMU und Start-ups müssen bei der Festsetzung der Geldbuße berücksichtigt werden. |
Das bedeutet nicht, dass kleine Akteure das Recht ignorieren dürfen. Es bedeutet, dass die Sanktion verhältnismäßig sein muss. Auch ein kleiner Hersteller braucht einen belastbaren Konformitätsweg, technische Dokumentation, ein Verfahren zur Schwachstellenbehandlung und, soweit die Pflichten greifen, Meldefähigkeit.
Marktüberwachungsbefugnisse jenseits von Bußgeldern
Bußgelder sind nicht das einzige Risiko. Die CRA-Durchsetzung sitzt im Rahmen der EU-Marktüberwachung, einschließlich Regulation (EU) 2019/1020. Der CRA ergänzt das nationale Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen.
Stellt eine Behörde bei der Bewertung eines Produkts Nichtkonformität fest, kann sie den betreffenden Wirtschaftsakteur auffordern, geeignete Abhilfemaßnahmen zu ergreifen, das Produkt in Konformität zu bringen, es vom Markt zu nehmen oder innerhalb einer angemessenen Frist zurückzurufen. Ergreift der Wirtschaftsakteur keine angemessenen Abhilfemaßnahmen, können Behörden zur Beschränkung oder zum Verbot der Marktbereitstellung übergehen.
| Maßnahme | Operative Bedeutung |
|---|---|
| Abhilfemaßnahme | Nichtkonformität beheben, Dokumentation aktualisieren, Schwachstellen schließen, Anweisungen ändern oder das Produkt vor dem weiteren Vertrieb anpassen. |
| Rücknahme | Das Produkt nicht weiter auf dem Markt bereitstellen. Das betrifft in der Regel den unverkauften Bestand und die Vertriebskanäle. |
| Rückruf | Bereits an Nutzer gelieferte Produkte zurückholen oder bei ihnen beheben, soweit das Risiko es rechtfertigt. |
| Beschränkung oder Verbot | Die Bereitstellung des Produkts auf dem nationalen Markt begrenzen oder blockieren, mit möglichen EU-weiten Folgen durch Koordinierung. |
Formale Konformität ist kein Schutzschild. Ein Produkt kann den Unterlagen entsprechen und dennoch ein erhebliches Cybersicherheitsrisiko bergen. In diesem Fall können Behörden nach Artikel 57 zusätzliche Maßnahmen verlangen, um dem Risiko zu begegnen. Formale Unterlagen genügen nicht, wenn das Produkt risikobehaftet bleibt.
Was kann Durchsetzung auslösen?
Der CRA veröffentlicht keine feste Auslöserliste. Marktüberwachung kann proaktiv oder reaktiv erfolgen. Dies sind die Situationen, die ein Produkt am ehesten auf den Radar einer Behörde bringen:
| Auslöser | Was die Behörde wahrscheinlich verlangen wird |
|---|---|
| Aktiv ausgenutzte Schwachstelle oder schwerwiegender Sicherheitsvorfall | Meldenachweise, Schwachstellen-Triage, betroffene Versionen, Kundenkommunikation, Zeitplan der Behebung. |
| Beschwerde von Wettbewerber, Kunde oder Sicherheitsforscher | Technische Datei, Schwachstellenprotokolle, Nachweise zur Konformitätsbewertung und Sicherheitsbegründung des Produkts. |
| Produktstichproben oder Branchenkampagne | EU-Konformitätserklärung, Nutzerinformationen, CE-Kennzeichnung, SBOM-Nachweise und Testnachweise. |
| Bedenken eines Einführers oder Händlers | Identität des Herstellers, Angaben zum Einführer, Konformitätserklärung, Angaben zum Unterstützungszeitraum und Rückverfolgbarkeitsunterlagen. |
| Widersprüchliche öffentliche Aussagen | Nachweis, dass Marketing, Angaben zum Unterstützungszeitraum, Zusagen zu Sicherheitsupdates und die technische Datei zusammenpassen. |
Das Durchsetzungsrisiko ist dort am höchsten, wo das Unternehmen nicht erklären kann, warum das Produkt in den Anwendungsbereich fällt, welche Rolle es spielt, welchen Konformitätsweg es genutzt hat, welche Nachweise die Konformitätserklärung stützen und wie Schwachstellen während des Unterstützungszeitraums behandelt werden.
Wie eine Behördenanfrage aussehen kann
Eine Marktüberwachungsanfrage ist in der Regel zuerst ein Nachweisproblem und erst dann ein Streitfall. Der genaue Inhalt der Anfrage hängt vom Mitgliedstaat, vom Produkt und vom Risiko ab; eine CRA-fähige Akte sollte aber folgende Punkte schnell abrufbar machen:
| Nachweisbereich | Beispiele |
|---|---|
| Produktidentität und Geltungsbereich | Modell, Version, Zweckbestimmung, Software- oder Firmware-Versionen, Lösung zur Fernverarbeitung von Daten, Produktklasse. |
| Konformitätsbehauptung | EU-Konformitätserklärung, angewandte Normen, Modul der Konformitätsbewertung, Zertifikat einer notifizierten Stelle, soweit einschlägig. |
| Technische Dokumentation | Anhang VII technische Datei, Cybersicherheits-Risikobewertung, Architektur, Tests, Produktionskontrollen. |
| SBOM-Nachweise | Aktuelle SBOM, Komponentenabdeckung, Erzeugungsmethode, Aktualisierungsprozess, Umgang mit Lieferanten-SBOMs. |
| Schwachstellenbehandlung | CVD-Richtlinie, Sicherheitskontakt, Triage-Aufzeichnungen, Aufzeichnungen zur Behebung, Prozess für Sicherheitsupdates. |
| Pflichtmeldungen | Entscheidungsprotokolle zu schwerwiegenden Vorfällen und aktiv ausgenutzten Schwachstellen, soweit anwendbar Aufzeichnungen der ENISA- und CSIRT-Meldungen. |
| Unterstützungszeitraum | Offengelegter Unterstützungszeitraum, Datum des Support-Endes, Verfügbarkeit von Updates, Aufzeichnungen zur Kundeninformation. |
Der praktische Test ist einfach: Kann das Team, wenn die Behörde heute die Akte verlangt, schlüssige Nachweise vorlegen, ohne sie aus dem Gedächtnis neu zu rekonstruieren?
Was vor einer Anfrage bereitliegen sollte
Nutzen Sie diese Checkliste vor der ersten Durchsetzungsfrist:
| Bereich | Bereitschaftszustand |
|---|---|
| Geltungsbereich und Rolle | Sie können erklären, warum der CRA gilt, welche Rolle nach Artikel 3 Sie haben und ob eine Ausnahme nach Artikel 2 greift. |
| Produktklassifizierung | Sie wissen, ob das Produkt Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch ist. |
| Konformitätsweg | Sie können Modul A, B+C, H oder einen anderen zulässigen Weg begründen. |
| Technische Datei | Die Nachweise nach Anhang VII existieren, sind versioniert und passen zum verkauften Produkt. |
| Konformitätserklärung und CE-Kennzeichnung | Die DoC ist unterschrieben, richtig und mit der Nachweisakte abgeglichen. |
| SBOM | Die SBOM wird erzeugt, gepflegt und ist an die ausgelieferten Versionen gebunden. |
| Schwachstellenbehandlung | Eingang, Triage, Behebung, Offenlegung und Update-Auslieferung sind operativ. |
| Meldung | Entscheidungsfindung und Eskalation sind vor dem 11. September 2026 bereit. |
| Kommunikation | Kommunikation mit Kunden, Händlern, Einführern und Behörden ist dokumentiert. |
KMU, Kleinst- und Kleinhersteller sowie Open-Source-Verwalter
Kleinere Akteure erhalten wichtige Nuancen, aber keine Befreiung von der CRA-Konformität.
Kleinstunternehmen, KMU und Start-ups. Bei der Festsetzung der Geldbuße müssen Behörden die Größe des Akteurs berücksichtigen, einschließlich der Frage, ob es sich um ein Kleinstunternehmen, ein KMU oder ein Start-up handelt. Das wirkt auf die Verhältnismäßigkeit, nicht auf den Bestand der Pflicht.
Kleinst- und Kleinhersteller. Es gibt eine eng gefasste Erleichterung für zwei versäumte 24-Stunden-Frühwarnfristen. Sie beseitigt weder die Meldepflicht als Ganzes noch Abschlussberichte oder andere CRA-Pflichten.
Verwalter quelloffener Software. Open-Source-Verwalter sind von den meisten Verwaltungsgeldbußen ausgenommen, aber das Verwalterregime bleibt real: Sie brauchen eine Cybersicherheitsrichtlinie und müssen auf begründetes Verlangen mit Marktüberwachungsbehörden zusammenarbeiten. Ein nachgelagertes Unternehmen, das quelloffene Software in seinem eigenen kommerziellen Produkt ausliefert, ist für dieses Produkt in der Regel Hersteller, nicht Verwalter.
Häufig gestellte Fragen
Wie hoch ist das maximale CRA-Bußgeld?
Die höchste CRA-Bußgeldstufe liegt bei EUR 15 000 000 oder, für Unternehmen, 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Diese Stufe deckt die Nichteinhaltung der grundlegenden Cybersicherheitsanforderungen und der zentralen Herstellerpflichten ab.
Kann die CRA-Durchsetzung vor dem 11. Dezember 2027 beginnen?
Ja, für die Meldung schwerwiegender Vorfälle. Das CRA-Vollregime gilt ab dem 11. Dezember 2027, aber die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle greifen ab dem 11. September 2026. Auch Produkte, die bereits auf dem Markt sind, fallen ab diesem Datum unter die Meldepflicht.
Ist vor einem Bußgeld immer eine Warnung garantiert?
Nein. Marktüberwachung beginnt häufig mit Auskunftsverlangen, Bewertung und Schritten zur Abhilfe, aber der CRA garantiert keine Warnung vor jedem Bußgeld oder jeder Produktmaßnahme. Die Reaktion der Behörde hängt vom Risiko, vom Verstoß, von der Kooperation des Akteurs und von den nationalen Sanktionsregeln ab.
Kann eine Behörde einen Rückruf anordnen, auch wenn kein Bußgeld verhängt wurde?
Ja. Produktmaßnahmen und Verwaltungsgeldbußen sind getrennte Werkzeuge. Sind die Voraussetzungen erfüllt, können Marktüberwachungsbehörden Abhilfemaßnahmen, Rücknahme, Rückruf oder Beschränkungen der Bereitstellung verlangen, um ein erhebliches Cybersicherheitsrisiko zu begegnen. Ein Rückruf dient der Risikokontrolle, nicht nur der Bestrafung.
Sind kleine Unternehmen von CRA-Bußgeldern befreit?
Im Allgemeinen nicht. Die Größe des Akteurs ist ein Verhältnismäßigkeitsfaktor bei der Festsetzung der Geldbuße. Der CRA gewährt zudem Kleinst- und Kleinherstellern eine enge Erleichterung bei zwei konkreten 24-Stunden-Frühwarnfristen, und Open-Source-Verwalter sind von den meisten Verwaltungsgeldbußen ausgenommen. Damit entfallen die übrigen CRA-Pflichten jedoch nicht.