CRA-Insights

Cyber Resilience Act

CRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht

CRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht

Stand: 2026-07-18

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verlangt nicht nur cybersichere Produkte mit digitalen Elementen – er hinterlegt seine Pflichten mit einem gestaffelten Sanktionsrahmen. Dieser findet sich in Artikel 64 und definiert Höchstbeträge für Verstöße. Wer die Größenordnung der möglichen Bußgelder kennt, kann den Aufwand für CRA-Konformität betriebswirtschaftlich richtig einordnen. Dieser Beitrag ordnet die Regelungen technisch-organisatorisch ein; er ersetzt keine Rechtsberatung.

Das Grundprinzip: „bis zu" und „je nachdem, welcher Betrag höher ist"

Artikel 64 arbeitet mit drei Sanktionsstufen. Jede Stufe nennt sowohl einen absoluten Euro-Betrag als auch einen Prozentsatz des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Verhängt werden kann jeweils bis zu dem höheren der beiden Werte. Für umsatzstarke Konzerne wirkt also der Prozentsatz als Obergrenze, für kleinere Unternehmen der feste Euro-Betrag. Es handelt sich um Maxima – die tatsächliche Höhe legen die zuständigen Behörden im Einzelfall verhältnismäßig fest.

Wichtig ist die Bezugsgröße: Der Prozentsatz bemisst sich am weltweiten Gesamtumsatz eines Unternehmens, nicht am Umsatz mit dem betroffenen Produkt. Bei Konzernstrukturen kann das erhebliche Beträge bedeuten. Zugleich verlangt die Verordnung, dass Sanktionen wirksam, verhältnismäßig und abschreckend sind – die Höchstwerte sind daher kein Automatismus, sondern der obere Rahmen, innerhalb dessen die Behörde Art und Schwere des Verstoßes, dessen Dauer, die Kooperationsbereitschaft und frühere Verstöße gewichtet.

Die drei Sanktionsstufen im Überblick

Höchstbetrag (je nachdem, welcher höher ist)Wofür (vereinfacht)
bis zu 15.000.000 € oder 2,5 % des weltweiten JahresumsatzesVerstoß gegen die grundlegenden Anforderungen aus Anhang I sowie gegen die Herstellerpflichten der Artikel 13 und 14 (u. a. Schwachstellenbehandlung und Meldepflichten).
bis zu 10.000.000 € oder 2 % des weltweiten JahresumsatzesVerstoß gegen sonstige Pflichten – etwa Pflichten von Einführern und Händlern sowie konformitätsbezogene Pflichten.
bis zu 5.000.000 € oder 1 % des weltweiten JahresumsatzesErteilung falscher, unvollständiger oder irreführender Auskünfte gegenüber notifizierten Stellen oder Marktüberwachungsbehörden.

Kernaussage: Die schwerwiegendsten Verstöße – gegen die Sicherheitsanforderungen des Produkts selbst und gegen Schwachstellenbehandlung und Meldung – liegen in der obersten Stufe. Wer prüfen will, ob und wie sein Produkt überhaupt betroffen ist, beginnt bei der Betroffenheitsanalyse.

Warum das nicht die DSGVO ist

Ein verbreiteter Irrtum: Man überträgt die aus der Datenschutz-Grundverordnung bekannten Zahlen (bis zu 20 Mio. € oder 4 % des Konzernumsatzes) einfach auf den CRA. Das ist falsch. Der CRA hat einen eigenen, niedriger angesetzten Höchstrahmen: Die oberste Stufe liegt bei 15 Mio. € bzw. 2,5 %, nicht bei 20 Mio. € bzw. 4 %. Der Prozentsatz bezieht sich zwar wie bei der DSGVO auf den weltweiten Jahresumsatz, die Sätze sind aber deutlich niedriger. Beide Regelwerke können nebeneinander greifen, wenn ein Sachverhalt sowohl Produktsicherheit als auch personenbezogene Daten berührt – sie ersetzen sich nicht.

Wer sanktioniert? Die Marktüberwachungsbehörden

Die Durchsetzung des CRA liegt bei den Marktüberwachungsbehörden der Mitgliedstaaten. Sie überwachen Produkte mit digitalen Elementen auf dem Markt, können Konformitätsnachweise, technische Dokumentation und Auskünfte anfordern, Korrekturmaßnahmen bis hin zu Rückruf oder Marktrücknahme anordnen und eben Bußgelder verhängen. In Deutschland ist die konkrete behördliche Zuständigkeit Gegenstand der nationalen Umsetzung. Für Unternehmen folgt daraus praktisch: Verlässliche, vollständige und korrekte Auskünfte an diese Behörden sind selbst eine sanktionsbewehrte Pflicht – die dritte Stufe (bis zu 5 Mio. € / 1 %) zielt genau auf falsche oder irreführende Angaben.

Zwei wichtige Ausnahmen (Carve-outs)

Kleinstunternehmen und kleine Unternehmen

Für Kleinstunternehmen und kleine Unternehmen gilt eine Erleichterung: Sie können nicht mit einem Bußgeld belegt werden, wenn sie allein die 24-Stunden-Frühwarnung (Art. 14 Abs. 2 lit. a / Abs. 4 lit. a) versäumen. Der Carve-out ist eng: Er gilt nur für diese Frühwarnung – nicht für die 72-Stunden-Meldung und nicht für den Abschlussbericht; deren Versäumen bleibt auch für Kleinstunternehmen und kleine Unternehmen bußgeldbewehrt. Das trägt der begrenzten Ressourcenlage kleiner Anbieter Rechnung, hebt die Melde- und Sicherheitspflicht als solche aber nicht auf.

Open-Source-Verwalter (Open-Source Software Stewards)

Der CRA kennt eine eigene, abgeschwächte Rolle für Open-Source-Software-Verwalter (Artikel 24). Das sind juristische Personen, die die Entwicklung freier und quelloffener Software für kommerzielle Zwecke systematisch unterstützen, ohne selbst Hersteller zu sein. Für sie gilt ein Regime mit reduzierten Pflichten – und entscheidend: Sie unterliegen nicht den Verwaltungsbußgeldern des Artikels 64. Einzelne, nicht-kommerzielle Open-Source-Beitragende fallen ohnehin nicht in den Anwendungsbereich. Der Grundgedanke: Wer freie Software fördernd begleitet, ohne sie im eigenen Namen als Produkt in Verkehr zu bringen, soll nicht das volle Haftungs- und Sanktionsgewicht eines Herstellers tragen.

Nicht nur Bußgelder: das eigentliche Durchsetzungsinstrumentarium

Die Geldbußen des Artikels 64 sind nur ein Teil des Durchsetzungsbildes. Marktüberwachungsbehörden können darüber hinaus anordnen, dass ein nicht-konformes Produkt vom Markt genommen oder zurückgerufen wird, den weiteren Vertrieb einschränken oder untersagen und Korrekturmaßnahmen erzwingen. Für die meisten Anbieter ist der drohende Vertriebsstopp oder Rückruf betriebswirtschaftlich das gewichtigere Risiko als die Geldbuße selbst – er trifft den Umsatz unmittelbar und kann Reputationsschäden nach sich ziehen. Die Bußgeldstufen sollten daher nicht isoliert, sondern als Teil dieses Gesamtinstrumentariums gelesen werden.

Was bedeutet das für die Vorbereitung?

Die Bußgeldstufen zeigen, worauf die Verordnung den größten Nachdruck legt: auf die grundlegenden Sicherheitsanforderungen und auf die Schwachstellenbehandlung samt Meldung. Genau diese Bereiche brauchen den größten organisatorischen Vorlauf. Da die Pflichten gestaffelt in Kraft treten und die Sanktionen erst mit der Anwendbarkeit der jeweiligen Pflicht greifen, lohnt der Blick auf die CRA-Fristen und den Zeitplan. Wer heute in Konformitätsprozesse investiert, reduziert nicht nur das Bußgeldrisiko, sondern vor allem das Risiko einer angeordneten Marktrücknahme – die betriebswirtschaftlich meist schwerer wiegt als die Geldbuße selbst.

  • Sicherheitsanforderungen (Anhang I) und Schwachstellenbehandlung/Meldung (Art. 13/14) sind die teuersten Verstöße – hier ansetzen.
  • Auskünfte an Behörden müssen korrekt und vollständig sein – auch das ist sanktioniert.
  • Kleinstunternehmen/kleine Unternehmen: keine Buße nur für die versäumte 24-Stunden-Frühwarnung (Art. 14 Abs. 2 lit. a / Abs. 4 lit. a) – 72-Stunden-Meldung und Abschlussbericht bleiben bußgeldbewehrt, Pflicht bleibt.
  • Open-Source-Verwalter: keine Verwaltungsbußgelder.

Einen Überblick über die Verordnung insgesamt bietet unsere Einführung zum Cyber Resilience Act.

Häufige Fragen

Wie hoch können CRA-Bußgelder maximal ausfallen?+
Nach Artikel 64 sind bis zu 15.000.000 € oder 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich – je nachdem, welcher Betrag höher ist. Das ist die oberste von drei Stufen und gilt für Verstöße gegen die grundlegenden Anforderungen (Anhang I) sowie die Artikel 13 und 14. Es handelt sich um einen Höchstbetrag, nicht um einen Regelwert.
Sind die CRA-Bußgelder genauso hoch wie bei der DSGVO?+
Nein. Die oberste CRA-Stufe liegt bei bis zu 15 Mio. € bzw. 2,5 % des weltweiten Jahresumsatzes und damit niedriger als der DSGVO-Höchstrahmen von 20 Mio. € bzw. 4 %. Beide Regelwerke können nebeneinander gelten, ersetzen sich aber nicht.
Gibt es Ausnahmen für kleine Unternehmen?+
Teilweise. Kleinstunternehmen und kleine Unternehmen können nicht mit einem Bußgeld belegt werden, wenn sie die 24-Stunden-Frühwarnung (Art. 14 Abs. 2 lit. a / Abs. 4 lit. a) versäumen. Der Carve-out gilt jedoch nur für diese Frühwarnung – nicht für die 72-Stunden-Meldung und nicht für den Abschlussbericht; deren Versäumen bleibt auch für diese Größenklassen bußgeldbewehrt. Die Melde- und Sicherheitspflichten selbst bleiben ohnehin bestehen.
Können Open-Source-Verwalter Bußgelder erhalten?+
Nein. Open-Source-Software-Verwalter im Sinne des Artikels 24 unterliegen nicht den Verwaltungsbußgeldern des Artikels 64. Sie tragen ein Regime mit reduzierten Pflichten. Einzelne, nicht-kommerzielle Open-Source-Beitragende fallen ohnehin nicht in den Anwendungsbereich der Verordnung.
Wer verhängt die Bußgelder und wann greifen sie?+
Die Marktüberwachungsbehörden der Mitgliedstaaten setzen die Verordnung durch und können Bußgelder verhängen. Da die CRA-Pflichten gestaffelt in Kraft treten, greifen die jeweiligen Sanktionen erst mit der Anwendbarkeit der betreffenden Pflicht. Ein Blick auf den CRA-Zeitplan hilft, den relevanten Zeitpunkt einzuordnen.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).