Requirements Cyber Resilience Act Compliance

Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren

6 Minuten zum Lesen
Lars Roith
Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren
Verkaufsverbot statt Bußgeld: Warum CRA-Sanktionen in der Tradition des Produktrechts stehen und was Safety Gate über die tatsächliche Durchsetzungspraxis in Europa zeigt.

Wenn Unternehmen zum ersten Mal mit dem Cyber Resilience Act konfrontiert werden, folgt oft dieselbe Frage: „Drohen uns jetzt Strafen und wie hoch sind diese?” Die Antwort ist differenzierter. Der CRA gehört zum europäischen Produktrecht und das kennt verschiedene Arten von Sanktionen. Wer CE-Prozesse kennt, kennt die Grundmechanik bereits, denn der CRA erweitert das bestehende System um eine neue Dimension: Cybersicherheit als Voraussetzung für die Marktzulassung.

Dieser Artikel erklärt, warum das eigentliche Risiko nicht das Bußgeld ist, welche Sanktionen der CRA konkret vorsieht, und was Safety Gate als EU-Schnellwarnsystem über die tatsächliche Durchsetzungspraxis im Produktrecht zeigt.

Nicht Bußgeld, sondern Marktzugang: die Sanktionslogik des Produktrechts

Das europäische Produktrecht funktioniert seit Jahrzehnten nach demselben Prinzip: Anforderungen werden definiert, Hersteller erklären Konformität, und Marktüberwachungsbehörden kontrollieren die Einhaltung. Dieses Prinzip ist Teil des sogenannten New Legislative Framework (NLF), auf dem auch die CE-Kennzeichnung basiert. Das NLF ist ein bewährtes System zur Durchsetzung produktbezogener Anforderungen im europäischen Binnenmarkt.

Bekannte Regelwerke wie die Maschinenverordnung (EU) 2023/1230, die Niederspannungsrichtlinie oder die Funkanlagenrichtlinie (RED) basieren alle auf dieser Logik. Verstöße gegen diese Vorschriften führen nicht primär zu Geldstrafen, sondern zu konkreten Eingriffen in den Marktzugang: Verkaufsverbote, Produktrückrufe, Marktzugangssperren.

Das eigentliche Risiko im Produktrecht war daher nie das Bußgeld, sondern der Verlust des Marktzugangs. Ein Verkaufsverbot für ein Produkt, welches das Kernsortiment eines Unternehmens ausmacht, kann wirtschaftlich weit schwerwiegender sein als jede Geldstrafe. Diese Mechanik ist für Hersteller, die CE-Prozesse kennen, keine Überraschung. Sie ist der etablierte Standard.

Cybersicherheit als Pflichtbedingung für das CE-Zeichen

Der Cyber Resilience Act ist kein eigenständiges IT-Sicherheitsgesetz, sondern ein Baustein des New Legislative Framework. Er fügt Cybersicherheitsanforderungen in die bestehende CE-Systematik ein: gleiche Struktur, gleiche Konformitätsbewertung, gleiche Marktüberwachung. Was sich ändert, ist der Inhalt. Cybersicherheit wird zur Pflichtbedingung für das CE-Zeichen, so wie die Maschinenrichtlinie heute Schutzmaßnahmen gegen mechanische Gefahren fordert.

TÜV Rheinland bringt es auf den Punkt: Cybersecurity has become a mandatory requirement for CE marking. Produkte ohne CRA-konforme CE-Kennzeichnung dürfen ab dem 11. Dezember 2027 nicht mehr in der EU verkauft werden. Diese Formulierung macht den Kernmechanismus klar: kein Bußgeld als erster Eingriff, sondern der Verlust des Rechts, das Produkt überhaupt auf den Markt zu bringen.

Was Hersteller konkret nachweisen müssen, umfasst sicheres Produktdesign, ein nachvollziehbares Schwachstellenmanagement, die Bereitstellung von Sicherheitsupdates über den gesamten Supportzeitraum und die Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen. Wer diese Anforderungen nicht erfüllt, riskiert nicht nur behördliche Maßnahmen, sondern verliert zudem die Grundlage, die Konformitätserklärung überhaupt ausstellen zu können. In unserer CRA-Artikelreihe haben wir alle diese Themen praxisnah aufgearbeitet, vom ersten Überblick CRA kompakt: Was kommt auf Maschinenbauer zu? über die Anforderungen aus Anhang I und die Dokumentationspflichten bis hin zum strukturierten Fahrplan In 10 Schritten zur CRA-Konformität bis 2028.

Die konkreten Sanktionen im CRA

Artikel 64 der Verordnung (EU) 2024/2847 legt einen gestuften Sanktionsrahmen fest. Die Mitgliedstaaten setzen die konkreten Bußgelder auf nationaler Ebene um, aber der EU-weit gültige Rahmen definiert die Obergrenzen:

VerstoßstufeBeispieleBußgeld-Obergrenze
Schwerwiegende VerstößeMissachtung grundlegender Cybersicherheitsanforderungen (Anhang I), fehlendes Schwachstellenmanagement, nicht gemeldete Sicherheitsvorfälle15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes
Mittlere VerstößeFehlerhafte Konformitätsbewertung, unzureichende technische Dokumentation10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Weitere VerstößeFalsche Angaben gegenüber Behörden5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Entscheidend ist aber, was neben den Bußgeldern möglich ist. Marktüberwachungsbehörden können Produktverbote verhängen, Rückrufe anordnen und den Marktzugang sperren. Für Maschinenbauer, deren gesamte Produktpalette auf digitalen Elementen basiert, kann ein Verkaufsstopp existenzbedrohend sein, weit über jede Geldstrafe hinaus. Das ist die eigentliche Drohkulisse des CRA: keine Geldstrafe, sondern das Ende des Verkaufs.

Das Produktrecht wird bereits durchgesetzt

Bei neuer Regulierung stellt sich immer dieselbe Frage: Die Maßnahmen stehen im Gesetz, aber werden sie auch umgesetzt? Im Produktrecht lautet die Antwort eindeutig ja. Wer Belege sucht, findet sie allerdings nicht in Bußgeldstatistiken, denn diese werden im Produktrecht nicht zentral erfasst. Die Durchsetzung zielt nicht auf Bestrafung, sondern auf Gefahrenabwehr. Das Instrument ist der direkte Markteingriff.

Safety Gate, das EU-Schnellwarnsystem für gefährliche Nichtlebensmittelprodukte (ehemals RAPEX), dokumentiert genau diese Eingriffe. Jedes Jahr melden Behörden aus EU-Mitgliedstaaten dort mehrere tausend Produkte: Verkaufsverbote, Rückrufe, Marktentnahmen. Die Kategorien reichen von Elektronik über Maschinen und Werkzeuge bis zu Funkprodukten. Und ein erheblicher Teil der betroffenen Produkte trägt CE-Kennzeichnung.

Das ist der entscheidende Punkt: Auch Produkte, die formell das CE-Zeichen tragen, werden regelmäßig vom Markt genommen, sei es wegen technischer Sicherheitsmängel, unzureichender Dokumentation oder fehlerhafter Konformitätsbewertung. Das CE-Zeichen schützt nur, wenn die dahinterliegenden Anforderungen tatsächlich erfüllt sind, und Marktüberwachungsbehörden prüfen das aktiv.

Der CRA wird in dieses bestehende System integriert. Er führt keine neue Durchsetzungslogik ein, er erweitert die bestehende Marktüberwachung um Cybersicherheitsanforderungen. Wer die CRA-Anforderungen nicht erfüllt, riskiert denselben Weg wie heute ein Produkt mit unzureichendem Brandschutz oder fehlender EMV-Dokumentation: Raus aus dem Markt.

Regulierung schafft Compliance-Strukturen

Markteingriffe und Verkaufsverbote sind das eine. Der eigentlich interessante Langzeiteffekt von Regulierung ist ein anderer: Unternehmen bauen strukturelle Fähigkeiten auf. Wer CE-Dokumentation heute kennt, erlebt das täglich. Risikoanalysen, Konformitätsbewertungsunterlagen und technische Dokumentation sind feste Bestandteile des Entwicklungsprozesses.

Ein vergleichender Blick auf die DSGVO zeigt, wie schnell solche Strukturen entstehen: Neue Rollen wurden geschaffen, der Datenschutzbeauftragte (DPO) wurde in vielen Organisationen zur Pflicht. Prozesse für Datenschutz-Folgenabschätzungen und Löschkonzepte wurden eingeführt. Sieben Jahre später sind diese Strukturen selbstverständlich. Der Unterschied zum Produktrecht: Bei der DSGVO war der Treiber die Bußgelddrohung. Im Produktrecht ist es der drohende Marktverlust. Beide Mechanismen wirken, wobei der Produktrecht-Mechanismus oft unmittelbarer greift.

Der CRA wird auf der Produktseite denselben Strukturierungseffekt auslösen. Cybersicherheitsverantwortliche werden in Produktteams integriert. Systematische Bedrohungs- und Risikoanalysen (TARA, STRIDE, PASTA als gängige Methoden zur strukturierten Schwachstellenbetrachtung) werden zur Pflicht in der Entwicklungsdokumentation. SBOM (Software Bill of Materials), strukturiertes Schwachstellenmanagement und koordinierte Offenlegung werden zu Standardprozessen. Wer sich erst jetzt mit diesen Themen auseinandersetzt, schaut zum leichteren Start in unseren Artikel: Cybersecurity-Risikobewertung in der Praxis.

Fristen und erste Schritte: Warum jetzt handeln entscheidend ist

Der CRA ist kein optionales Compliance-Thema, er entscheidet darüber, ob ein Produkt auf dem europäischen Markt verkauft werden darf. Die relevanten Fristen sind gesetzt: Ab dem 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen. Ab dem 11. Dezember 2027 müssen alle CRA-Anforderungen vollständig erfüllt sein.

Marktüberwachungsbehörden in den EU-Mitgliedstaaten bauen ihre Kapazitäten auf. Die Durchsetzungsphase kommt, und sie läuft über dieselben Marktüberwachungsstrukturen, die heute bereits tausende Produkte pro Jahr aus dem EU-Markt nehmen. Unternehmen, die heute anfangen, haben deutlich bessere Ausgangsbedingungen als jene, die bis kurz vor den Fristen warten.

Cybersicherheit im Produkt wird sich normalisieren, so wie CE-Dokumentation und Konformitätsbewertung heute selbstverständliche Bestandteile des Entwicklungsprozesses sind. Safety Gate zeigt es für das Produktrecht seit Jahren, die DSGVO zeigt es für den Datenschutz: Europäische Regulierung wird ernst genommen und konsequent durchgesetzt. Wer das als Risiko begreift, ist gut beraten, rechtzeitig zu handeln. Wer es als Chance begreift, kann sich gegenüber Wettbewerbern differenzieren.

Wie gehst du in deinem Unternehmen mit den CRA-Fristen um? Schau gerne bei uns auf LinkedIn vorbei und diskutiere mit.

Autoren

Lars Roith

Lars Roith

Lars ist Solution Consultant und berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.