Der Cyber Resilience Act (CRA) ist keine unverbindliche Empfehlung – er ist eine EU-Verordnung mit weitreichenden Durchsetzungsmechanismen. Hersteller, die die Anforderungen nicht erfüllen, riskieren empfindliche Bußgelder, Produktverbote und langfristigen Reputationsschaden. Dieser Artikel erklärt, welche Strafen bei CRA-Nichteinhaltung drohen und warum frühzeitiges Handeln wirtschaftlich sinnvoll ist.
Bußgelder: Bis zu 15 Millionen Euro oder 2,5 % des Umsatzes
Die CRA-Verordnung sieht ein abgestuftes Bußgeldsystem vor, das sich an der Schwere des Verstoßes orientiert.
Für Verstöße gegen die wesentlichen Sicherheitsanforderungen – also die Kernpflichten wie Security by Design, SBOM-Erstellung, Schwachstellenmanagement und sichere Standardeinstellungen – können Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Diese Obergrenze richtet sich an Unternehmen, die grundlegende Sicherheitsanforderungen systematisch ignorieren.
Für Verstöße gegen andere CRA-Pflichten – etwa Dokumentationsanforderungen, Meldepflichten oder Kennzeichnungspflichten – liegen die Bußgelder bei bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
Für irreführende oder unvollständige Angaben gegenüber Marktüberwachungsbehörden können Bußgelder von bis zu 5 Millionen Euro oder 1 Prozent des Jahresumsatzes verhängt werden.
Zum Vergleich: Diese Bußgeldrahmen bewegen sich auf dem Niveau der DSGVO und übertreffen die Strafen der meisten bestehenden Produktsicherheitsvorschriften deutlich. Die EU signalisiert damit, dass sie Cybersicherheit bei Produkten genauso ernst nimmt wie Datenschutz.
Produktrückruf und Marktverbot
Neben Bußgeldern haben Marktüberwachungsbehörden die Befugnis, direkt in den Vertrieb einzugreifen. Das umfasst Maßnahmen wie die Anordnung von Korrekturmaßnahmen innerhalb einer festgelegten Frist, ein Verbot der Bereitstellung des Produkts auf dem Markt, die Anordnung eines Produktrückrufs bei bereits verkauften Geräten sowie die Vernichtung nicht konformer Produkte.
Ein Marktverbot trifft Hersteller oft härter als ein Bußgeld. Wenn ein Produkt nicht mehr verkauft werden darf, entfallen nicht nur aktuelle Umsätze, sondern auch laufende Verträge, Wartungseinnahmen und geplante Folgeprojekte. Für Hersteller mit einem Kernprodukt kann ein Marktverbot existenzbedrohend sein.
Die Marktüberwachung wird durch nationale Behörden durchgeführt. In Deutschland ist das voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI), das bereits umfangreiche Erfahrung mit der Überwachung von IT-Sicherheitsprodukten hat.
Meldepflichten und deren Konsequenzen
Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA (Europäische Agentur für Cybersicherheit) melden. Innerhalb von 72 Stunden muss eine detaillierte Meldung mit Bewertung und geplanten Gegenmaßnahmen folgen.
Die Nichterfüllung dieser Meldepflicht ist ein eigenständiger Verstoß, der unabhängig von der Schwachstelle selbst geahndet werden kann. Das bedeutet: Selbst wenn Sie die Schwachstelle schnell beheben, aber die Meldung versäumen, drohen Sanktionen. Hersteller brauchen daher ab September 2026 einen funktionierenden Prozess für die Schwachstellenerkennung und -meldung.
Reputationsschaden und wirtschaftliche Folgen
Über die direkten Strafen hinaus hat CRA-Nichteinhaltung erhebliche indirekte Konsequenzen. Marktüberwachungsbehörden können Informationen über nicht-konforme Produkte öffentlich machen. Für B2B-Hersteller kann das bedeuten, dass Kunden – insbesondere große Unternehmen und öffentliche Auftraggeber – den Zulieferer wechseln.
In vielen Branchen ist CRA-Compliance bereits dabei, sich als Beschaffungskriterium zu etablieren. Hersteller von IoT-Geräten, industriellen Komponenten und Netzwerkausrüstung berichten, dass Kunden zunehmend Nachweise über Cybersicherheitsmaßnahmen verlangen. Wer CRA-Compliance nachweisen kann, hat einen Wettbewerbsvorteil. Wer es nicht kann, verliert Aufträge – noch bevor Behörden einschreiten.
Wer haftet: Hersteller, Importeure und Händler
Der CRA verteilt die Verantwortung auf die gesamte Lieferkette. Hersteller tragen die Hauptverantwortung für die Konformität des Produkts. Importeure müssen sicherstellen, dass nur konforme Produkte in die EU eingeführt werden. Händler müssen überprüfen, dass die erforderlichen Kennzeichnungen und Dokumente vorhanden sind.
Für Hersteller außerhalb der EU, die direkt auf dem EU-Markt verkaufen, greift die Pflicht zur Benennung eines Bevollmächtigten in der EU. Ohne diesen Bevollmächtigten darf das Produkt nicht auf dem EU-Markt bereitgestellt werden.
So vermeiden Sie CRA-Strafen
Die effektivste Strategie gegen CRA-Strafen ist naheliegend: rechtzeitig mit der Compliance beginnen. Die Übergangsfristen bis Dezember 2027 wirken lang, aber die Umsetzung der Anforderungen – insbesondere die Integration von Security by Design in bestehende Entwicklungsprozesse – braucht Zeit.
Beginnen Sie mit einer Bestandsaufnahme: Welche Ihrer Produkte fallen unter den CRA? In welche Kategorie (Standard, wichtig Klasse I/II, kritisch) fallen sie? Welche Anforderungen erfüllen Sie bereits, wo bestehen Lücken?
Kunnus hilft Herstellern digitaler Produkte, den Überblick über ihre CRA-Pflichten zu behalten und die Compliance systematisch aufzubauen. Von der SBOM-Verwaltung über das Schwachstellenmonitoring bis zur vollständigen technischen Dokumentation.
Machen Sie den ersten Schritt: Unsere kostenlose CRA-Reifegradanalyse zeigt Ihnen in wenigen Minuten, wo Sie stehen und was als nächstes zu tun ist. So vermeiden Sie böse Überraschungen, wenn die Enforcement-Fristen greifen.