Zum Inhalt springen
SBOMfunkSBOMfunk
Compliance-Grundlagen

CRA Bußgelder 2026: Was ein Verstoß wirklich kostet

21. April 20264 Min. LesezeitSBOMfunk-Team

CRA Bußgeld 2026: Bis 15 Mio. EUR oder 2,5 % Umsatz. Welche Verstöße kosten wie viel? Alle Bußgeldrahmen im Überblick — mit Rechenbeispiel.

Der Cyber Resilience Act sieht empfindliche Bußgelder vor — gestaffelt nach Schwere des Verstoßes. Dieser Artikel erklärt die drei Bußgeldrahmen, gibt ein Rechenbeispiel und zeigt, warum das Marktverbot oft schwerwiegender ist als die Geldbuße selbst.

Drei Bußgeldrahmen im CRA — wer zahlt wie viel?

Der CRA unterscheidet drei Kategorien von Verstößen mit unterschiedlichen Sanktionen. Es gilt jeweils der höhere der beiden genannten Beträge:

| Verstoß | Bußgeld (EUR) | Bußgeld (% Umsatz) | |---------|--------------|---------------------| | Grundlegende Sicherheitsanforderungen | bis 15 Mio. EUR | bis 2,5 % Jahresumsatz | | Meldepflichten (Art. 14) | bis 10 Mio. EUR | bis 2 % Jahresumsatz | | Informations-/Dokumentationspflichten | bis 5 Mio. EUR | bis 1 % Jahresumsatz |

Verstoß gegen grundlegende Anforderungen: Bis 15 Mio. EUR

Die schwerwiegendste Bußgeldkategorie betrifft Verstöße gegen die grundlegenden Cybersicherheitsanforderungen aus Annex I des CRA. Dazu gehören:

  • Keine SBOM oder unvollständige SBOM
  • Fehlende CE-Kennzeichnung oder falsche Konformitätserklärung
  • Keine aktive Schwachstellenbehebung über die Produktlebensdauer
  • Fehlende Disclosure Policy (security.txt)
  • Secure-by-Design-Prinzipien nicht eingehalten

Für ein mittelständisches Unternehmen mit 20 Mio. EUR Jahresumsatz: 2,5 % = 500.000 EUR. Bei einem größeren ISV mit 200 Mio. EUR Umsatz: 2,5 % = 5 Mio. EUR.

Meldepflicht-Verstöße: Bis 10 Mio. EUR

Verstöße gegen Art. 14 — die Meldepflicht bei aktiv ausgenutzten Schwachstellen — kosten bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes.

Typische Meldepflicht-Verstöße:

  • Versäumte 24h-Frühwarnung: Sie wussten von der Schwachstelle, haben aber nicht fristgerecht gemeldet
  • Unvollständige Meldung: Die eingereichte Meldung fehlte Pflichtfelder oder war inhaltlich falsch
  • Falsches Meldeziel: Meldung an eine falsche Behörde statt die ENISA SRP

Die 24h-Frist ist ohne automatisierte Unterstützung kaum einzuhalten — insbesondere wenn Ihr Produkt viele Abhängigkeiten hat und die Schwachstelle nachts oder am Wochenende entdeckt wird.

Informationspflichtverstöße: Bis 5 Mio. EUR

Die dritte Kategorie betrifft Dokumentations- und Informationspflichten:

  • Fehlende oder falsche Konformitätserklärung
  • Keine korrekte technische Dokumentation
  • Fehlende Produktbegleitinformationen für Nutzer
  • Falsche oder fehlende Marktüberwachungs-Informationen

Das Marktverbot: Schlimmer als das Bußgeld?

Neben Geldstrafen kann die zuständige Marktaufsichtsbehörde ein Marktverbot verhängen — das Produkt darf nicht mehr in der EU in Verkehr gebracht oder auf dem Markt bereitgestellt werden.

Für viele Hersteller ist das Marktverbot die eigentlich bedrohlichere Sanktion:

  • Ein IoT-Gerätehersteller mit 80 % EU-Umsatz verliert seinen Hauptmarkt
  • Ein SaaS-Anbieter kann keine neuen EU-Kunden gewinnen
  • Bestehende Kundenverträge können nicht verlängert werden

Das Marktverbot kann sofort verhängt werden — ohne vorherige Bußgeldstufe — wenn die Marktaufsichtsbehörde eine unmittelbare Gefährdung feststellt.

Rechenbeispiel: Was kostet ein Verstoß bei 5 Mio. EUR Umsatz?

Ein Softwarehersteller mit 5 Mio. EUR Jahresumsatz, 3 Produkten auf dem EU-Markt und fehlender SBOM:

Szenario: Eine aktiv ausgenutzte CVE wird entdeckt, Meldung erfolgt 36 Stunden zu spät.

  • Meldepflicht-Verstoß (Art. 14): 2 % von 5 Mio. EUR = 100.000 EUR
  • Ggf. zusätzlich: Verstoß grundlegende Anforderungen (keine SBOM): bis 125.000 EUR
  • Reputationsschaden und Kunden-Abwanderung: nicht quantifizierbar
  • SBOMfunk Pro 12 Monate: 4.188 EUR

Das Verhältnis von Compliance-Kosten zu Bußgeldrisiko macht deutlich: CRA-Compliance ist eine Investition, kein Kostenfaktor.

Was bedeutet das für die Praxis?

Drei Erkenntnisse für Hersteller:

1. Compliance ist günstiger als das Risiko: Selbst die günstigste SBOMfunk-Option (Starter, 199 EUR/Mo) kostet im Jahr 2.388 EUR — ein Bruchteil des kleinsten möglichen Bußgelds.

2. Die 24h-Frist ist ohne Automatisierung unrealistisch: Ein manueller Meldeprozess, der nachts oder am Wochenende ausgelöst werden muss, wird die 24h-Frist nicht zuverlässig einhalten. Automatisierung ist keine Option, sondern Notwendigkeit.

3. Das Marktverbot ist das eigentliche Damoklesschwert: Für die meisten KMU-Hersteller ist der EU-Markt existenziell. Ein Marktverbot — auch temporär — kann das Unternehmen gefährden. Diese Konsequenz ist gewichtiger als jedes Bußgeld.

CRA-Compliance für 199 EUR/Mo — oder riskieren Sie mehr. Beta-Zugang sichern und am 11.09.2026 ready sein.

#CRA Bußgeld#Marktverbot#CRA Strafe#EU-Verordnung#Compliance

CRA-Compliance in 30 Minuten aufsetzen

SBOMfunk automatisiert SBOM-Generierung, Vulnerability-Tracking und ENISA-Meldung. Testen Sie 14 Tage kostenlos.

Beta-Zugang sichernCRA-Pflicht-Check
Zurück zum Blog

Verwandte Artikel

Compliance-Grundlagen

Cyber Resilience Act für KMU: Kein Weg vorbei — aber ein strukturierter

Lesen
Compliance-Grundlagen

CRA Meldepflicht September 2026: Was Hersteller jetzt tun müssen

Lesen
SBOM-Tooling

CycloneDX vs SPDX: Welches SBOM-Format ist CRA-konform?

Lesen