CRA-Bußgelder können 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag für ein Unternehmen höher ist. Der Cyber Resilience Act gibt Marktüberwachungsbehörden zwei Hebel: Bußgelder und Produktmaßnahmen wie Korrektur, Rücknahme, Rückruf oder Beschränkung der Bereitstellung.
Diese Seite erklärt, was das praktisch bedeutet und welche Nachweise ein Wirtschaftsakteur bereithalten sollte, bevor eine Behörde anfragt.
Zusammenfassung
- Der CRA hat drei Bußgeldstufen. Die höchste Stufe betrifft die grundlegenden Cybersicherheitsanforderungen aus Anhang I und die Herstellerpflichten aus den Artikeln 13 und 14.
- Der feste EUR-Betrag ist nicht immer die Obergrenze. Für Unternehmen gilt der Umsatzprozentsatz, wenn er höher ist.
- Bußgelder sind nur ein Werkzeug. Behörden können Korrekturmaßnahmen, Rücknahme, Rückruf oder Vertriebsbeschränkungen verlangen.
- Durchsetzung beginnt mit Nachweisen. Technische Dokumentation, EU-Konformitätserklärung, SBOM-Nachweise, Schwachstellenbehandlung und Supportzeitraum müssen belastbar sein.
- Größe zählt, ist aber keine Befreiung. Die Behörde muss Kleinstunternehmen, KMU und Start-ups bei der Bußgeldhöhe berücksichtigen.
Die vier Durchsetzungsanker: höchste Bußgeldstufe, früher Start der Artikel-14-Meldung, Vollanwendung und Produktmaßnahmen.
Welche CRA-Bußgeldstufen gibt es?
Die Verordnung setzt EU-weite Höchstbeträge für Verwaltungsgeldbußen. Die Mitgliedstaaten regeln die Details, müssen aber im CRA-Rahmen bleiben. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
| Stufe | Auslösender Verstoß | Maximales Bußgeld |
|---|---|---|
| Stufe 1 | Verstoß gegen Anhang I oder gegen Herstellerpflichten aus Artikel 13 und 14 | 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Stufe 2 | Verstoß gegen gelistete Pflichten von Wirtschaftsakteuren, Konformitätsbewertung, notifizierten Stellen und Marktüberwachung, unter anderem Artikel 18 bis 23, 28, 30 bis 33, 39, 41, 47, 49 und 53 | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Stufe 3 | Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen oder Marktüberwachungsbehörden | 5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
Hersteller sollten die erste Stufe zuerst verstehen. Sie betrifft nicht nur die Produktsicherheit in Anhang I, sondern auch die laufenden Herstellerpflichten: Risikobewertung, Schwachstellenbehandlung, Sicherheitsupdates, technische Dokumentation, EU-Konformitätserklärung, CE-Kennzeichnung, Supportzeitraum und Meldungen nach Artikel 14.
Welche Verstöße sind besonders kritisch?
Der CRA legt Bußgeldrahmen fest, keine vorgefertigte Rangliste aller Sachverhalte. Besonders kritisch sind Fehler, die die Cybersicherheit des Produkts, die Wahrheit der Konformitätserklärung oder die Prüfung durch Behörden betreffen.
| Muster | Warum es zählt | Typischer Bereich |
|---|---|---|
| Produkt erfüllt die grundlegenden Anforderungen aus Anhang I nicht | Die Sicherheitsbehauptung ist von Anfang an falsch | Stufe 1 |
| Keine funktionierende Schwachstellenbehandlung während des Supportzeitraums | Anhang I Teil II und Artikel 13 laufen nicht | Stufe 1 |
| Keine Meldung eines schwerwiegenden Sicherheitsvorfalls oder einer aktiv ausgenutzten Schwachstelle | Die Meldepflicht greift früher als die Vollanwendung | Stufe 1 |
| Falscher Konformitätsweg für ein wichtiges oder kritisches Produkt | Die EU-Konformitätserklärung steht auf falscher Grundlage | Stufe 1 oder 2 |
| Fehlende EU-Konformitätserklärung, CE-Kennzeichnung oder Betreiberangaben | Marktzugangsnachweise sind defekt | Stufe 2 |
| Irreführende Angaben gegenüber Behörde oder notifizierter Stelle | Die Behörde kann die Informationen nicht verwerten | Stufe 3, plus mögliche weitere Verstöße |
Die bessere Frage ist nicht: "Welches Bußgeld bekommen wir?" Die bessere Frage lautet: "Welche Nachweise können wir vorlegen?" Eine unterschriebene Konformitätserklärung ohne technische Datei, SBOM-Nachweise, Schwachstellenprotokolle und Begründung des Konformitätswegs ist eine schwache Position.
Wie wird die Bußgeldhöhe bestimmt?
Die Höhe ist keine reine Prozentrechnung. Behörden müssen den Verstoß, frühere ähnliche Bußgelder und die Größe des Wirtschaftsakteurs berücksichtigen.
| Faktor | Praktische Bedeutung |
|---|---|
| Art, Schwere, Dauer und Folgen des Verstoßes | Eine kurze Dokumentationslücke ist etwas anderes als ein ausgeliefertes Produkt mit ausnutzbarer Designschwäche. |
| Frühere ähnliche Bußgelder gegen denselben Wirtschaftsakteur | Wiederholungen in mehreren Mitgliedstaaten können das Ergebnis verschärfen. |
| Größe und Marktanteil | Kleinstunternehmen, KMU und Start-ups müssen bei der Bußgeldhöhe berücksichtigt werden. |
Das ist keine Freistellung. Auch ein kleiner Hersteller braucht einen belastbaren Konformitätsweg, technische Dokumentation, Schwachstellenbehandlung und Meldefähigkeit nach Artikel 14.
Marktüberwachung jenseits von Bußgeldern
CRA-Durchsetzung steht im Rahmen der EU-Marktüberwachung, einschließlich der Verordnung (EU) 2019/1020. Der CRA ergänzt das Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko darstellen.
Wenn eine Behörde Nichtkonformität feststellt, kann sie geeignete Korrekturmaßnahmen verlangen, die Konformität herstellen lassen, das Produkt vom Markt nehmen lassen oder einen Rückruf verlangen. Reagiert der Wirtschaftsakteur nicht ausreichend, kann die Behörde die Bereitstellung beschränken oder untersagen.
| Maßnahme | Operative Bedeutung |
|---|---|
| Korrekturmaßnahme | Nichtkonformität beheben, Dokumentation aktualisieren, Schwachstelle schließen, Hinweise ändern oder Produkt anpassen. |
| Rücknahme | Produkt nicht weiter auf dem Markt bereitstellen. Das betrifft typischerweise Lagerbestand und Vertriebskanäle. |
| Rückruf | Bereits gelieferte Produkte zurückholen oder beim Nutzer beheben, wenn das Risiko es verlangt. |
| Beschränkung oder Verbot | Verfügbarkeit auf dem nationalen Markt begrenzen oder blockieren, mit möglichen EU-weiten Folgen. |
Auch Artikel 57 ist wichtig: Ein Produkt kann formal konform wirken und trotzdem ein erhebliches Cybersicherheitsrisiko darstellen. Dann können Behörden Maßnahmen verlangen, obwohl die Unterlagen auf den ersten Blick vollständig aussehen.
Was kann Durchsetzung auslösen?
Es gibt keine feste Triggerliste. Marktüberwachung kann proaktiv oder reaktiv starten. Typische Auslöser sind:
| Auslöser | Was die Behörde wahrscheinlich sehen will |
|---|---|
| Aktiv ausgenutzte Schwachstelle oder schwerwiegender Sicherheitsvorfall | Artikel-14-Entscheidung, Triage, betroffene Versionen, Kundenkommunikation, Abhilfemaßnahmen. |
| Beschwerde von Kunde, Wettbewerber oder Sicherheitsforscher | Technische Datei, Schwachstellenprotokolle, Konformitätsbewertung und Sicherheitsbegründung. |
| Produktsampling oder Branchenaktion | EU-Konformitätserklärung, Nutzerinformationen, CE-Kennzeichnung, SBOM und Testnachweise. |
| Zweifel von Importeur oder Händler | Herstelleridentität, Importeurangaben, Konformitätserklärung, Supportzeitraum und Rückverfolgbarkeit. |
| Widersprüchliche öffentliche Aussagen | Nachweis, dass Marketing, Supportversprechen, Updatezusagen und technische Datei zusammenpassen. |
Das Risiko ist am höchsten, wenn ein Unternehmen nicht erklären kann, warum der CRA gilt, welche Rolle es hat, welchen Konformitätsweg es gewählt hat und wie Schwachstellen während des Supportzeitraums behandelt werden.
Welche Unterlagen sollten bereitliegen?
Eine Marktüberwachungsanfrage ist zuerst ein Nachweisproblem. Ein CRA-fähiger Ordner sollte diese Punkte schnell verfügbar machen:
| Bereich | Beispiele |
|---|---|
| Produktidentität und Geltungsbereich | Modell, Version, Zweckbestimmung, Software- oder Firmware-Versionen, Remote-Datenverarbeitung, Produktklasse. |
| Konformitätsbehauptung | EU-Konformitätserklärung, angewandte Normen, Konformitätsmodul, Zertifikat einer notifizierten Stelle. |
| Technische Dokumentation | Anhang-VII-Datei, Cybersicherheitsrisikobewertung, Architektur, Tests, Produktionskontrollen. |
| SBOM-Nachweise | Aktuelle SBOM, Komponentenabdeckung, Erzeugungsmethode, Aktualisierungsprozess, Lieferanten-SBOMs. |
| Schwachstellenbehandlung | CVD-Richtlinie, Sicherheitskontakt, Triage, Behebung, Sicherheitsupdates. |
| Artikel-14-Meldungen | Entscheidungsprotokolle, ENISA- und CSIRT-Meldungen, soweit anwendbar. |
| Supportzeitraum | Veröffentlichter Supportzeitraum, End-of-Support-Datum, Updateverfügbarkeit, Kundeninformationen. |
Der Praxistest ist einfach: Wenn eine Behörde heute anfragt, kann Ihr Team die Nachweise schlüssig liefern, ohne sie aus dem Gedächtnis neu aufzubauen?
KMU, Kleinst- und Kleinhersteller, Open-Source-Stewards
Kleinere Akteure bekommen Nuancen, aber keine allgemeine Befreiung.
Kleinstunternehmen, KMU und Start-ups. Bei der Bußgeldhöhe muss die Behörde die Größe berücksichtigen. Das betrifft die Verhältnismäßigkeit, nicht die Pflicht selbst.
Kleinst- und Kleinhersteller. Artikel 64(10)(a) befreit Hersteller, die Kleinstunternehmen oder kleine Unternehmen sind, von Verwaltungsgeldbußen für das Verpassen der 24-Stunden-Frühwarnungen in Artikel 14(2)(a) und 14(4)(a). Diese Erleichterung ist eng. Sie betrifft nur diese Fristen, nicht die Meldepflicht als solche und nicht andere CRA-Pflichten.
Verwalter quelloffener Software. Artikel 64(10)(b) befreit Open-Source-Software-Stewards von den Bußgeldern aus Artikel 64(3) bis (9). Das Steward-Regime bleibt relevant: Artikel 24 verlangt eine Cybersicherheitsrichtlinie und Zusammenarbeit mit Marktüberwachungsbehörden auf begründete Anfrage. Ein Unternehmen, das Open-Source-Software in einem eigenen kommerziellen Produkt ausliefert, ist für dieses Produkt meist Hersteller, nicht Steward.
Häufige Fragen
Wie hoch ist das maximale CRA-Bußgeld?
Die höchste CRA-Bußgeldstufe liegt bei 15 Mio. EUR oder, für Unternehmen, 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Diese Stufe betrifft Verstöße gegen Anhang I sowie gegen die Pflichten aus Artikel 13 und 14.
Kann Durchsetzung vor dem 11. Dezember 2027 beginnen?
Ja, für Artikel-14-Meldungen. Der CRA gilt vollständig ab dem 11. Dezember 2027, aber die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle gilt ab dem 11. September 2026. Auch Produkte, die bereits auf dem Markt sind, fallen ab diesem Datum unter diese Meldepflicht.
Ist vor einem Bußgeld immer eine Warnung garantiert?
Nein. Marktüberwachung beginnt oft mit Informationsanfragen, Bewertung und Korrekturmaßnahmen. Der CRA garantiert aber keine Warnung vor jedem Bußgeld und jeder Produktmaßnahme. Die Reaktion hängt vom Risiko, vom Verstoß, von der Kooperation und von den nationalen Bußgeldregeln ab.