Der EU Cyber Resilience Act (CRA), formal Verordnung (EU) 2024/2847, stellt Hersteller vernetzter Produkte vor erhebliche neue Pflichten: Sichere Produktentwicklung, Schwachstellenmanagement, technische Dokumentation, Meldepflichten. Gerade kleine und mittlere Unternehmen fragen sich zurecht: Können wir das überhaupt stemmen?
Die gute Nachricht: Der CRA sieht in Artikel 3 Nr. 19 sowie Erwägungsgrund 5 explizite Erleichterungen für KMU vor. Die weniger gute Nachricht: Diese greifen nicht pauschal und unterscheiden sich je nach Unternehmensgröße deutlich.
Wer gilt als KMU im Sinne des CRA?
Der CRA definiert KMU nicht selbst. Stattdessen verweisen Artikel 3(19) und Erwägungsgrund 5 direkt auf die Empfehlung 2003/361/EG der Kommission, die drei Kategorien anhand von Mitarbeiterzahl und finanziellen Schwellenwerten festlegt:
Kleinstunternehmen beschäftigen weniger als 10 Personen und haben einen Jahresumsatz oder eine Bilanzsumme von höchstens 2 Millionen Euro.
Kleine Unternehmen beschäftigen weniger als 50 Personen und haben einen Jahresumsatz oder eine Bilanzsumme von höchstens 10 Millionen Euro.
Mittlere Unternehmen beschäftigen weniger als 250 Personen und haben einen Jahresumsatz von höchstens 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro.
Klassifizierungsregeln, die Hersteller oft falsch verstehen
Zwei Aspekte dieser Definitionen verdienen besondere Aufmerksamkeit, da sie häufig zu Fehlklassifizierungen führen.
Die Mitarbeiterzahl ist zwingend; der Finanzschwellenwert alternativ. Um für eine bestimmte Kategorie zu qualifizieren, muss ein Unternehmen unter der Mitarbeiterobergrenze liegen — das ist nicht verhandelbar. Bei den finanziellen Kriterien genügt es jedoch, wenn einer der beiden Werte (Umsatz oder Bilanzsumme) die Grenze unterschreitet. Ein Unternehmen mit 40 Mitarbeitenden, 12 Millionen Euro Umsatz, aber nur 8 Millionen Euro Bilanzsumme qualifiziert sich als kleines Unternehmen, weil die Bilanzsumme unter der 10-Millionen-Grenze liegt.
Konzernstrukturen zählen — erheblich. Erwägungsgrund 5 des CRA verlangt ausdrücklich, dass die Schwellenwerte gemäß Artikel 6 des Anhangs der Empfehlung 2003/361/EG berechnet werden. Das bedeutet: Partnerunternehmen und verbundene Unternehmen (Konzernstrukturen, Muttergesellschaften, Tochtergesellschaften) werden eingerechnet. Eine 20-Personen-Tochtergesellschaft eines Großkonzerns qualifiziert sich nicht als Kleinunternehmen im Sinne des CRA. Hersteller, die in größere Unternehmensstrukturen eingebettet sind, sollten ihre Klassifizierung sorgfältig prüfen.
Die vollständige Übersicht: CRA-Erleichterungen für KMU
Nachfolgend eine umfassende Übersicht über jede KMU-spezifische Erleichterungsmaßnahme und Unterstützungsbestimmung im CRA, aufgeschlüsselt nach den drei Unternehmensgrößenkategorien.
Übersicht
| Erleichterung | Kleinst | Klein | Mittel |
|---|---|---|---|
| Befreiung von Geldbußen bei Versäumnis der 24h-Frühwarnung (Art. 14) | ✅ | ✅ | ❌ |
| Vereinfachtes Formular für technische Dokumentation (Art. 33(5)) | ✅ | ✅ | ❌ |
| Reduzierte Gebühren bei Konformitätsbewertung durch Dritte | ✅ | ✅ | ✅ |
| Gezielte Schulungsprogramme durch Mitgliedstaaten | ✅ | ✅ | Teilweise |
| Dedizierte Helpdesks zur CRA-Umsetzung | ✅ | ✅ | ❌ |
| CSIRT-Helpdesk für Meldepflichten (Art. 14) | ✅ | ✅ | ✅ |
| Bevorzugter Zugang zu Regulatory Sandboxes | ✅ | ✅ | ❌ |
| Unternehmensgröße als mildernder Umstand bei Bußgeldern | ✅ | ✅ | ✅ |
Das Muster ist deutlich: Kleinst- und kleine Unternehmen profitieren vom vollen Umfang der Erleichterungen, während mittlere Unternehmen von mehreren der wirkungsvollsten Maßnahmen ausgeschlossen sind — darunter die Bußgeldbefreiung, das vereinfachte Dokumentationsformat, die dedizierten Helpdesks und der Sandbox-Zugang. Die folgenden Abschnitte untersuchen jede Maßnahme im Detail.
1. Befreiung von Geldbußen bei Versäumnis der 24-Stunden-Frühwarnung
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ❌
Artikel 14 des CRA verpflichtet Hersteller, eine Frühwarnung an das zuständige CSIRT innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle oder eines schweren Vorfalls zu übermitteln. Dies ist eine der engsten Fristen der Verordnung.
Kleinst- und kleine Unternehmen sind explizit von Geldbußen befreit, wenn sie dieses 24-Stunden-Fenster verfehlen. Das ist eine bedeutsame Erleichterung: Die Frühwarnpflicht bleibt bestehen, aber die finanzielle Sanktion bei Nichterfüllung entfällt. Mittlere Unternehmen erhalten keine solche Befreiung und unterliegen denselben Durchsetzungsregeln wie Großunternehmen.
2. Vereinfachtes Format für die technische Dokumentation
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ❌
Der CRA verpflichtet Hersteller zur Erstellung einer umfassenden technischen Dokumentation über die Cybersicherheitseigenschaften ihres Produkts, Risikobewertungen und Konformitätsnachweise. Für kleinere Unternehmen ohne dedizierte Regulatory-Affairs-Teams kann dies eine erhebliche Belastung darstellen.
Um dem zu begegnen, beauftragt Artikel 33(5) des CRA die Europäische Kommission, ein vereinfachtes Dokumentationsformat per delegiertem Rechtsakt zu erstellen, das speziell für Kleinst- und kleine Unternehmen konzipiert ist. Sobald veröffentlicht, sind notifizierte Stellen — die Drittorganisationen, die Konformitätsbewertungen durchführen — gesetzlich verpflichtet, in diesem vereinfachten Format eingereichte Dokumentationen zu akzeptieren.
Stand März 2026 ist dieses vereinfachte Format jedoch noch nicht veröffentlicht. Die Kommission arbeitet noch an ihren delegierten Rechtsakten und Umsetzungsleitlinien. Kleinst- und kleine Unternehmen sollten den Fortschritt der Kommission beobachten und ihr Recht auf Nutzung des vereinfachten Formats einfordern, sobald es verfügbar ist.
Mittlere Unternehmen müssen unabhängig davon das Standardformat für die Dokumentation verwenden.
3. Proportional reduzierte Konformitätsbewertungsgebühren
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ✅
Wenn ein Produkt in die Kategorie "wichtig" oder "kritisch" fällt und eine Konformitätsbewertung durch Dritte erfordert, können die damit verbundenen Gebühren erheblich sein. Der CRA schreibt vor, dass diese Gebühren für alle KMU-Kategorien, einschließlich mittlerer Unternehmen, proportional reduziert werden.
Dies ist eine von nur drei Erleichterungen, die alle drei KMU-Stufen umfasst. Die genauen Gebührenreduktionen werden von den notifizierten Stellen und den Umsetzungsleitlinien der Mitgliedstaaten abhängen.
4. Gezielte Schulungs- und Sensibilisierungsprogramme
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel: Teilweise
Die Mitgliedstaaten sind verpflichtet, gezielte Schulungs- und Sensibilisierungsmaßnahmen zu organisieren, um KMU beim Verständnis und der Einhaltung des CRA zu unterstützen. Für Kleinst- und kleine Unternehmen ist diese Unterstützung umfassend. Für mittlere Unternehmen ist die Verpflichtung eingeschränkt — Umfang und Tiefe der Unterstützung liegen im Ermessen der Mitgliedstaaten.
5. Dedizierte Umsetzungs-Helpdesks
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ❌
Der CRA sieht dedizierte Kommunikationskanäle — im Wesentlichen Helpdesks — vor, an die sich Kleinst- und kleine Unternehmen mit Fragen zur praktischen Umsetzung der Verordnungsanforderungen wenden können. Mittlere Unternehmen sind von dieser dedizierten Unterstützungsinfrastruktur ausgeschlossen.
6. CSIRT-Helpdesk für Meldepflichten
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ✅
Unabhängig von den allgemeinen Helpdesks sind CSIRTs (Computer Security Incident Response Teams) verpflichtet, allen KMU-Kategorien spezifische Unterstützung bei der Erfüllung ihrer Meldepflichten nach Artikel 14 zu bieten. Dies umfasst Anleitung zur Strukturierung von Meldungen, welche Informationen aufzunehmen sind und wie der Meldeprozess zu navigieren ist.
Dies ist eine praktische und willkommene Maßnahme, angesichts der prozeduralen Komplexität der Meldeprozesse — mit ihren gestaffelten Fristen (24-Stunden-Frühwarnung, 72-Stunden-Vorfallmeldung, 14-Tage-Abschlussbericht) — für Organisationen ohne etablierte Sicherheitsoperationen.
7. Bevorzugter Zugang zu Regulatory Sandboxes
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ❌
Der CRA ermutigt die Mitgliedstaaten, Regulatory Sandboxes einzurichten — kontrollierte Umgebungen, in denen Hersteller innovative Produkte unter regulatorischer Aufsicht testen können, bevor sie vollständig auf den Markt gebracht werden. Kleinst- und kleine Unternehmen erhalten bevorzugten Zugang zu diesen Sandboxes.
Für Unternehmen, die neuartige vernetzte Produkte entwickeln, könnte dies eine wertvolle Gelegenheit sein, Compliance-Ansätze frühzeitig zu validieren und regulatorische Sicherheit zu gewinnen. Mittlere Unternehmen erhalten keinen bevorzugten Zugang.
8. Unternehmensgröße als mildernder Umstand bei Bußgeldern
Berechtigt: Kleinst ✅ | Klein ✅ | Mittel ✅
Wenn Marktüberwachungsbehörden Bußgelder für CRA-Verstöße festlegen, sind sie verpflichtet, die Größe des Unternehmens als mildernden Umstand zu berücksichtigen. Dies gilt für alle drei KMU-Kategorien und ist von der spezifischen Bußgeldbefreiung unter Punkt 1 zu unterscheiden — es handelt sich um ein allgemeines Verhältnismäßigkeitsprinzip bei der Durchsetzung.
Das große Bild: Was KMU-Erleichterungen ändern — und was nicht
Es lohnt sich, explizit zu benennen, was diese Maßnahmen nicht tun: Sie reduzieren nicht die inhaltlichen Cybersicherheitsanforderungen des CRA. Jeder Hersteller — unabhängig von der Größe — muss weiterhin sicherstellen, dass Produkte mit digitalen Elementen sicher entwickelt werden, dass bekannte Schwachstellen behandelt und gepatcht werden, dass Sicherheitsupdates für die erwartete Produktlebensdauer bereitgestellt werden, und dass die Konformität mit den wesentlichen Anforderungen erklärt wird.
Die Erleichterungsmaßnahmen reduzieren den verfahrensrechtlichen und finanziellen Aufwand der Compliance, nicht den Compliance-Standard selbst. Einen vollständigen Überblick über alle CRA-Anforderungen finden Sie in unserem CRA-Leitfaden.
Hinweis zu Support-Zeiträumen
Ein praktischer Bereich, in dem KMU häufig Unsicherheit äußern, ist die Festlegung von Unterstützungszeiträumen — wie lange ein Hersteller nach dem Inverkehrbringen eines Produkts weiterhin Sicherheitsupdates bereitstellen muss. Der CRA verlangt, dass dieser Zeitraum die erwartete Produktlebensdauer widerspiegelt, schreibt aber keine genauen Zeiträume vor.
Um KMU hierbei zu unterstützen, ist die Administrative Kooperationsgruppe (ADCO) verpflichtet, Statistiken über durchschnittliche Unterstützungszeiträume nach Produktkategorien zu veröffentlichen. Diese Zahlen können als Marktbenchmark dienen und kleineren Herstellern einen vertretbaren Referenzpunkt bieten.
Empfehlungen für KMU-Hersteller
Prüfen Sie Ihre KMU-Klassifizierung sorgfältig. Verlassen Sie sich nicht auf informelle Schätzungen der Mitarbeiterzahl. Berechnen Sie die Schwellenwerte korrekt, einschließlich aller Partner- und verbundenen Unternehmensbeziehungen. Eine Fehlklassifizierung könnte bedeuten, dass Sie sich auf Erleichterungen verlassen, auf die Sie keinen Anspruch haben.
Als Kleinst- oder Kleinunternehmen: Bereiten Sie sich auf das vereinfachte Dokumentationsformat vor. Sobald die Kommission den delegierten Rechtsakt veröffentlicht, sind notifizierte Stellen verpflichtet, das Format zu akzeptieren. Beobachten Sie den Fortschritt und fordern Sie dieses Recht ein, sobald es verfügbar ist.
Als mittleres Unternehmen: Planen Sie wie ein Großunternehmen. Die meisten bedeutsamen verfahrensrechtlichen Erleichterungen (Bußgeldbefreiungen, vereinfachte Dokumentation, Helpdesks, Sandbox-Zugang) erstrecken sich nicht auf Ihre Kategorie. Die reduzierten Konformitätsbewertungsgebühren und die CSIRT-Unterstützung sind hilfreich, aber der Compliance-Aufwand wird weitgehend dem größerer Organisationen entsprechen.
Nehmen Sie frühzeitig Kontakt mit Ihrer nationalen Marktüberwachungsbehörde auf. Die im CRA skizzierten Schulungsprogramme, Helpdesks und Sensibilisierungsmaßnahmen hängen von der Umsetzung durch die Mitgliedstaaten ab. Eine frühzeitige Kontaktaufnahme stellt sicher, dass Sie über verfügbare Ressourcen informiert werden, sobald diese betriebsbereit sind.
Weiterführende Informationen
- CRA-Zusammenfassung: Die wichtigsten Fakten
- CRA-Anforderungen: Vollständige Übersicht
- CRA-Strafen bei Nichteinhaltung
- CRA-Countdown: Compliance-Roadmap 2026–2027
- Konformitätsbewertung und CE-Kennzeichnung
- Schwachstellenmanagement nach dem CRA
- SBOM erstellen für IoT-Hersteller
- CRA-Anwendungsbereich: Welche Produkte betroffen sind
- Warum manuelle CRA-Compliance scheitert
- FAQ: Alle KMU-Erleichterungen im Detail
Dieser Artikel basiert auf den Bestimmungen der Verordnung (EU) 2024/2847 (EU Cyber Resilience Act), mit besonderem Bezug auf Artikel 3(19), Erwägungsgrund 5, Artikel 14, Artikel 33(5) und die Empfehlung 2003/361/EG der Kommission. Er gibt den Verordnungstext wieder und stellt keine Rechtsberatung dar.