Wer gegen den CRA verstößt, riskiert Geldbußen von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das ist der höchste Bußgeldrahmen nach Artikel 64 Absatz 2, der bei Nichteinhaltung der grundlegenden Anforderungen aus Anhang I sowie der Pflichten aus den Artikeln 13 und 14 gilt. Die SBOM-Pflicht ist in Anhang I verankert. Zwei Daten bestimmen Ihren Zeitplan. Die Meldepflicht für Schwachstellen nach Artikel 14 wird am 11. September 2026 verbindlich. Die volle CRA-Durchsetzung beginnt am 11. Dezember 2027. Produkte mit digitalen Elementen, die nach diesem Datum ohne eine konforme SBOM auf dem EU-Markt bereitgestellt werden, dürfen keine CE-Kennzeichnung tragen und können in der EU nicht rechtmäßig verkauft werden.
Zusammenfassung
- 11. September 2026: Die Meldepflicht für Schwachstellen und Sicherheitsvorfälle nach Artikel 14 gegenüber ENISA wird für Hersteller verbindlich
- 11. Dezember 2027: Volle CRA-Durchsetzung beginnt, einschließlich der SBOM-Pflicht aus Anhang I
- Höchstbetrag: 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, was höher ist), Artikel 64 Absatz 2
- Aufbewahrung: Die SBOM muss mindestens 10 Jahre ab der letzten Bereitstellung auf dem Markt aufbewahrt werden (Artikel 13 Absatz 13)
CRA-SBOM-Compliance-Fristen
Der CRA sieht eine gestaffelte Durchsetzung vor. Zwei Daten betreffen die SBOM-Compliance unmittelbar:
| Datum | Meilenstein |
|---|---|
| 11. September 2026 | Meldepflichten für Schwachstellen treten in Kraft. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden. |
| 11. Dezember 2027 | Volle Durchsetzung. Alle Produkte mit digitalen Elementen müssen die CRA-Anforderungen einschließlich vollständiger SBOMs erfüllen. |
Produkte mit digitalen Elementen, die nach Dezember 2027 ohne eine konforme SBOM auf dem EU-Markt bereitgestellt werden, dürfen keine CE-Kennzeichnung tragen und können in der EU nicht rechtmäßig verkauft werden. Den vollständigen Zeitplan zu notifizierten Stellen, harmonisierten Normen und der Meldepflicht nach Artikel 14 finden Sie im CRA-Umsetzungszeitplan.
Meldekaskade nach Artikel 14
Die „24 Stunden" sind nur der erste Schritt. Artikel 14 legt eine gestufte Meldekaskade gegenüber dem koordinierenden CSIRT und der ENISA fest, gleichzeitig über die einheitliche Meldeplattform nach Artikel 16.
| Schritt | Frist | Artikel | Auslöser |
|---|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden | Art. 14(2)(a) | Aktiv ausgenutzte Schwachstelle |
| Meldung von Schwachstellen | Innerhalb von 72 Stunden | Art. 14(2)(b) | Aktiv ausgenutzte Schwachstelle |
| Abschlussbericht | Spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme | Art. 14(2)(c) | Aktiv ausgenutzte Schwachstelle |
| Frühwarnung | Innerhalb von 24 Stunden | Art. 14(4)(a) | Schwerwiegender Sicherheitsvorfall |
| Meldung des Sicherheitsvorfalls | Innerhalb von 72 Stunden | Art. 14(4)(b) | Schwerwiegender Sicherheitsvorfall |
| Abschlussbericht | Innerhalb eines Monats nach Übermittlung der Meldung des Sicherheitsvorfalls | Art. 14(4)(c) | Schwerwiegender Sicherheitsvorfall |
Die Meldepflicht nach Artikel 14 gilt ab dem 11. September 2026. Wenn Ihr Produkt nach diesem Datum eine aktiv ausgenutzte Schwachstelle aufweist, müssen Sie dem koordinierenden CSIRT und der ENISA innerhalb von 24 Stunden eine Frühwarnung übermitteln, innerhalb von 72 Stunden eine ausführlichere Meldung und innerhalb von 14 Tagen einen Abschlussbericht. Dafür muss die Infrastruktur zur Schwachstellenüberwachung vor diesem Datum betriebsbereit sein. Die SBOM ist die Grundlage dieser Überwachung: Was Sie nicht dokumentiert haben, können Sie nicht verfolgen.
Folgen bei Nichteinhaltung
Verstöße gegen den CRA haben sowohl finanzielle als auch kommerzielle Konsequenzen. Die Marktüberwachungsbehörden der einzelnen EU-Mitgliedstaaten setzen diese Sanktionen durch.
| Finanziell | Kommerziell |
|---|---|
| Geldbußen bis 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (Art. 64(2)) | Rückruf oder Rücknahme des Produkts vom EU-Markt |
| Verstöße bei der gestuften Meldepflicht können gesonderte Geldbußen nach Art. 64(2) und 64(3) nach sich ziehen | Marktverbot: Nichtkonforme Produkte dürfen keine CE-Kennzeichnung tragen |
| Falsche oder unvollständige Angaben gegenüber Behörden: bis zu 5 Mio. EUR / 1 % (Art. 64(4)) | Lieferkettenauswirkungen: Kunden können Ihr Produkt möglicherweise nicht für ihre eigene CRA-Compliance nutzen |
Bußgeldrisiko nach Wirtschaftsakteuren
Artikel 64 sieht je nach verletzter Pflicht und verantwortlichem Wirtschaftsakteur unterschiedliche Höchstbeträge vor. Die SBOM-Pflicht liegt in Anhang I, sodass eine fehlende oder nichtkonforme SBOM bei Herstellern in den Anwendungsbereich von Artikel 64 Absatz 2 fällt.
| Wirtschaftsakteur | Verletzte Pflicht | Artikel | Höchstbetrag |
|---|---|---|---|
| Hersteller | Grundlegende Anforderungen aus Anhang I (einschl. SBOM) oder Pflichten aus Artikel 13 und 14 | Art. 64(2) | 15.000.000 EUR oder 2,5 % des weltweiten Jahresumsatzes |
| Einführer | Einführerpflichten nach Artikel 19 (Prüfung, Kennzeichnung, Dokumentation) | Art. 64(3) | 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes |
| Einführer als Hersteller | Artikel 22: Eigene Marke oder modifiziertes Produkt löst das vollständige Herstellerregime aus | Art. 64(2) | 15.000.000 EUR oder 2,5 % des weltweiten Jahresumsatzes |
| Händler | Händlerpflichten nach Artikel 20 (Prüfung, Zusammenarbeit mit der Marktüberwachung) | Art. 64(3) | 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes |
| Alle Wirtschaftsakteure | Falsche, unvollständige oder irreführende Angaben gegenüber Behörden | Art. 64(4) | 5.000.000 EUR oder 1 % des weltweiten Jahresumsatzes |
Artikel 22 überführt einen Einführer in das vollständige Herstellerregime, wenn er ein Produkt eines Dritten unter seiner eigenen Marke vertreibt oder die Software vor dem Weiterverkauf verändert. Das Bußgeldrisiko steigt von 10 Mio. EUR / 2 % auf 15 Mio. EUR / 2,5 %, und alle Pflichten aus Artikel 13 gelten, einschließlich der SBOM-Pflicht aus Anhang I.
Bei der Festsetzung der Geldbuße werden nach Artikel 64 Absatz 5 in jedem Einzelfall folgende Faktoren gebührend berücksichtigt:
| Faktor | Auswirkung |
|---|---|
| Art, Schwere und Dauer des Verstoßes | Schwerwiegendere und längere Verstöße führen zu höheren Geldbußen |
| Ob bereits Geldbußen für einen ähnlichen Verstoß verhängt wurden | Wiederholte Verstöße führen zu höheren Geldbußen |
| Größe des Wirtschaftsakteurs, insbesondere im Hinblick auf KMU und Start-up-Unternehmen | Kleinere Wirtschaftsakteure erhalten verhältnismäßig niedrigere Geldbußen |
Hersteller, die als Kleinst- oder Kleinunternehmen gelten, sind von Geldbußen für die verspätete Übermittlung der Frühwarnung nach Artikel 14 Absatz 2 Buchstabe a und Artikel 14 Absatz 4 Buchstabe a ausgenommen. Verwalter quelloffener Software sind von den in Artikel 64 Absätze 3 bis 9 geregelten Geldbußen ausgenommen. Die Pflichten aus Anhang I selbst gelten weiterhin; nur die verwaltungsrechtliche Sanktionsfolge entfällt in diesen spezifischen Situationen.
Häufig gestellte Fragen
Was ist die Höchststrafe nach dem CRA?
Artikel 64 Absatz 2 setzt den Höchstbetrag bei 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, was höher ist. Bei großen Unternehmen kann die Umsatzberechnung den festen Höchstbetrag weit übersteigen. Die Obergrenze von 15 Mio. EUR gilt nur, wenn 2,5 % des Umsatzes darunter liegen.
Kann ein Unternehmen vor der Frist im Dezember 2027 mit Bußgeldern belegt werden?
Produkte, die nach dem 11. Dezember 2027 auf den Markt gebracht werden, müssen vollständig compliant sein. Die Meldepflicht für Schwachstellen nach Artikel 14 gilt jedoch bereits ab dem 11. September 2026. Marktüberwachungsbehörden können diese Pflicht ab diesem Datum durchsetzen. Ein Unternehmen, das nach September 2026 eine bestätigte aktiv ausgenutzte Schwachstelle ignoriert, ist bereits einem Bußgeldrisiko ausgesetzt.
Gelten CRA-Bußgelder pro Produkt oder pro Unternehmen?
Geldbußen werden pro Verstoß festgesetzt, nicht pro verkaufter Einheit. Eine einzelne nichtkonforme Produktlinie stellt einen Verstoß dar, doch bei der Bußgeldberechnung werden das Ausmaß der Nichteinhaltung, die Anzahl der im Umlauf befindlichen Einheiten und etwaige finanzielle Vorteile berücksichtigt. Systematische Nichteinhaltung über mehrere Produktlinien hinweg wird in der Regel als gesonderte Verstöße behandelt.
Welche Behörde setzt den CRA in den einzelnen EU-Mitgliedstaaten durch?
Der CRA benennt keine einheitliche EU-weite Durchsetzungsbehörde. Jeder Mitgliedstaat benennt seine eigene Marktüberwachungsbehörde. Das BSI in Deutschland, ANSSI in Frankreich, ACN in Italien und CERT Polska in Polen sind die nationalen Stellen, die voraussichtlich eine führende Rolle einnehmen werden. Das EU Product Compliance Network koordiniert die grenzüberschreitende Durchsetzung, wenn Probleme mehrere Märkte betreffen.
Was löst eine CRA-Marktüberwachungsuntersuchung aus?
Häufige Auslöser sind Beschwerden von Wettbewerbern, von Kunden gemeldete Sicherheitsvorfälle, stichprobenartige Produktprüfungen durch Behörden, Auffälligkeiten bei Einfuhrkontrollen und öffentlich bekannte ungepatchte Schwachstellen. Behörden führen auch proaktive Branchenkampagnen mit Schwerpunkt auf risikoreichen Produktkategorien durch.
Wie lange muss eine SBOM nach dem Rückzug eines Produkts aufbewahrt werden?
Die technische Dokumentation, zu der die SBOM gehört, muss mindestens zehn Jahre nach der Bereitstellung des Produkts mit digitalen Elementen auf dem Markt oder für die Dauer des Supportzeitraums aufbewahrt werden, je nachdem, welcher Zeitraum länger ist (CRA Artikel 13 Absatz 13). Die SBOM muss während des gesamten aktiven Supportzeitraums aktuell bleiben, den der CRA auf mindestens 5 Jahre festlegt. Der vollständige Wortlaut aus der Verordnung: „Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die Marktüberwachungsbehörden auf."