„Wir sind ein kleiner Mittelständler mit 80 Leuten. Der Cyber Resilience Act ist was für Siemens und Bosch, nicht für uns." Diesen Satz höre ich ständig. Und er ist falsch.
Der CRA gilt für jeden Hersteller von Produkten mit digitalen Elementen. 8 Mitarbeitende oder 17.000.
Gilt der CRA wirklich für alle Hersteller?
Ja. Der EU Cyber Resilience Act macht keinen Unterschied nach Unternehmensgröße, wenn es um den Anwendungsbereich geht. Wer ein Produkt mit digitalen Elementen in Verkehr bringt, egal ob als Einzelunternehmer, Mittelständler oder Konzern, ist Hersteller im Sinne der Verordnung und trägt die volle Verantwortung.
Sichere Produktentwicklung, SBOM-Pflicht, Schwachstellenmanagement, technische Dokumentation und Meldepflichten. Diese Anforderungen muss jeder Hersteller leisten und nachweisen können. Unabhängig von der Größe.
Die Idee „Der CRA trifft nur die Großen" ist falsch, und gefährlich, wenn sie zur Compliance-Strategie wird.
Welche Erleichterungen sieht der CRA für KMU vor?
Der CRA enthält durchaus KMU-Erleichterungen. Aber sie betreffen das Verfahren, nicht den Sicherheitsstandard. Dazu gehören:
- Vereinfachte Dokumentation für die technischen Unterlagen
- Befreiung von bestimmten Bußgeldern für Kleinst- und Kleinunternehmen
- Dedizierte Helpdesks auf nationaler und EU-Ebene
- Bevorzugter Zugang zu Regulatory Sandboxes
Wichtig: Diese Erleichterungen greifen fast ausschließlich für Kleinst- und Kleinunternehmen (unter 50 Mitarbeitende). Mittlere Unternehmen mit 50 bis 249 Mitarbeitenden gehen bei den meisten Erleichterungen leer aus, und tragen damit faktisch den vollen Compliance-Aufwand, wie ein Großkonzern.
Eine detaillierte Übersicht der KMU-Erleichterungen inklusive Klassifizierungsregeln habe ich an anderer Stelle aufbereitet.
Mythos vs. Fakt
Mythos: Der CRA trifft nur die Großen.
Fakt: Die Sicherheitsanforderungen gelten für alle. Die Erleichterungen für KMU reduzieren den bürokratischen Aufwand, nicht den Compliance-Standard, und greifen fast ausschließlich für Kleinst- und Kleinunternehmen.
Wer gilt als KMU im Sinne des CRA?
Der CRA verweist über Artikel 3 Nr. 19 und Erwägungsgrund 5 auf die EU-Empfehlung 2003/361/EG. Drei Kategorien:
| Kategorie | Mitarbeitende | Umsatz oder Bilanz |
|---|---|---|
| Kleinstunternehmen | unter 10 | max. 2 Mio. EUR |
| Kleinunternehmen | unter 50 | max. 10 Mio. EUR |
| Mittlere Unternehmen | unter 250 | max. 50 Mio. EUR Umsatz / 43 Mio. EUR Bilanz |
Zwei oft übersehene Klassifizierungsregeln:
Mitarbeiterzahl ist zwingend, der Finanzschwellenwert alternativ. Sie müssen unter der Mitarbeiterobergrenze liegen. Bei den Finanzkriterien reicht, wenn einer der beiden Werte (Umsatz oder Bilanz) unter der Grenze liegt.
Konzernstrukturen zählen, erheblich. Partnerunternehmen und verbundene Unternehmen werden gemäß Artikel 6 der EU-Empfehlung eingerechnet. Eine 20-Personen-Tochter eines Großkonzerns ist kein Kleinunternehmen im Sinne des CRA.
Was Sie konkret prüfen sollten
1. Klassifizierung sauber durchrechnen. Mitarbeiterzahl, Umsatz, Bilanzsumme, inklusive aller Partner- und verbundenen Unternehmen. Ergebnis schriftlich festhalten.
2. Realitätscheck bei den Erleichterungen. Welche Erleichterung gilt für meine konkrete Größenkategorie? Bei mittleren Unternehmen ist die ehrliche Antwort meist: nicht viele.
3. Vollen Compliance-Stack planen. Auch wenn Erleichterungen greifen: Sichere Produktentwicklung, SBOM, Schwachstellenmanagement und Meldepflichten müssen Sie ohnehin leisten. Die Frage ist nur, wie viel Bürokratie obendrauf kommt.
4. Nutzen Sie die Helpdesks. Wenn Sie als Kleinst- oder Kleinunternehmen klassifizieren, sind die nationalen CRA-Helpdesks und Sandboxes echte Hilfsangebote. Wer sie nicht nutzt, verschenkt Ressourcen.
Häufig gestellte Fragen
Gilt der CRA auch für kleine Unternehmen? Ja. Der CRA gilt für jeden Hersteller von Produkten mit digitalen Elementen, unabhängig von der Unternehmensgröße. Sicherheitsanforderungen wie sichere Produktentwicklung, SBOM, Schwachstellenmanagement und Meldepflichten gelten gleichermaßen für 8-Personen-Betriebe und Großkonzerne.
Welche Erleichterungen sieht der CRA für KMU vor? Vereinfachte Dokumentation, Befreiung von bestimmten Bußgeldern, dedizierte Helpdesks und bevorzugter Zugang zu Regulatory Sandboxes. Diese Erleichterungen greifen aber fast ausschließlich für Kleinst- und Kleinunternehmen unter 50 Mitarbeitenden.
Wer gilt als KMU im Sinne des CRA? Der CRA verweist auf die EU-Empfehlung 2003/361/EG: Kleinstunternehmen (unter 10 Mitarbeitende), Kleinunternehmen (unter 50 Mitarbeitende), mittlere Unternehmen (unter 250 Mitarbeitende). Konzernstrukturen werden eingerechnet.
Müssen mittlere Unternehmen den vollen CRA-Aufwand leisten? Im Wesentlichen ja. Die KMU-Erleichterungen sind primär auf Kleinst- und Kleinunternehmen ausgerichtet. Mittlere Unternehmen müssen die volle technische Dokumentation, das vollständige Schwachstellenmanagement und alle Meldepflichten umsetzen.
Fazit
Der CRA trifft den Mittelstand, und zwar in voller Härte. Die Sicherheitsanforderungen gelten für alle. Die Erleichterungen für KMU reduzieren den bürokratischen Aufwand, nicht den Compliance-Standard.
Prüfen Sie Ihre KMU-Klassifizierung genau, bevor Sie sich auf Erleichterungen verlassen. Konzernstrukturen und Tochtergesellschaften werden eingerechnet. Eine 20-Personen-Tochter eines Großkonzerns ist im Sinne des CRA kein Kleinunternehmen.
Eine strukturierte CRA-Roadmap hilft auch Mittelständlern, den Aufwand realistisch zu planen, bevor der Stichtag aus der Theorie in die Praxis kippt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.