CRA-Insights

Cyber Resilience Act

Was kostet CRA-Compliance?

Was kostet CRA-Compliance?

Stand: 2026-07-18

„Was kostet CRA-Compliance?“ ist eine der meistgestellten Fragen zum Cyber Resilience Act – und zugleich eine, bei der pauschale Zahlen mehr schaden als helfen. Der Aufwand hängt an wenigen, klar benennbaren Treibern. Deshalb nennen wir hier bewusst keine Marktzahlen Dritter und kein Preisversprechen, sondern zeigen die Kostenlogik, drei illustrative Aufwands-Szenarien und wie Sie den Aufwand gezielt senken. Die konkreten Werte sind ausdrücklich als Schätzung zu verstehen und ersetzen keine produktbezogene Kalkulation.

Warum es keinen seriösen Pauschalpreis gibt

CRA-Compliance ist kein Einkauf von der Stange, sondern die Summe aus Produkteigenschaften, vorhandener Reife und Portfolio-Struktur. Zwei Hersteller mit demselben Umsatz können sich im Aufwand um eine Größenordnung unterscheiden – je nachdem, ob sie ein einzelnes Standardprodukt oder eine gewachsene Firmware-Familie ohne Abhängigkeits-Inventar betreuen. Wer nach einem Festpreis fragt, sollte die Gegenfrage erwarten: Welche Produktklasse, welche SBOM-Reife, welche Prozessreife? Erst daraus wird eine belastbare Zahl.

Die fünf Kostentreiber

TreiberWirkung auf den Aufwand
Produktklasse (Anhang III/IV)Standardprodukte laufen über Selbstbewertung (Modul A) – deutlich günstiger. Anhang III „wichtige“ Produkte: Klasse I erlaubt Selbstbewertung nur bei voller Anwendung harmonisierter Normen, sonst notifizierte Stelle; Klasse II immer notifizierte Stelle. Anhang IV „kritische“ Produkte sind am aufwändigsten (notifizierte Stelle, ggf. EU-Zertifizierungsschema).
SBOM-ReifeWer Abhängigkeiten bereits inventarisiert, hat einen Bruchteil des Aufwands gegenüber einem Greenfield-SBOM über gewachsene Firmware. Format maschinenlesbar: CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 (BSI TR-03183-2 v2.1.0).
ProzessreifeBestehendes Schwachstellen-Handling, eine CVD-Policy und ein sicherer SDLC senken den Erstaufwand massiv. Fehlt das, entsteht der PSIRT-/Meldeprozess-Aufbau als eigenes Teilprojekt.
Produktanzahl & WiederverwendungGemeinsame Plattformen und Module amortisieren den Nachweis über viele Produkte. Ein wiederverwendbares SBOM-Toolchain-Setup zahlt sich über das Portfolio aus.
Support-ZeitraumLange zugesagte Update-Zeiträume erzeugen laufende Kosten (Monitoring, Patch-Bereitstellung, Meldebereitschaft), nicht nur einmalige. Leitwert: mindestens fünf Jahre entlang der erwarteten Produktlebensdauer.

Einmalige vs. laufende Kosten

Ein häufiger Denkfehler ist, CRA-Compliance als Einmalprojekt zu budgetieren. Sie zerfällt in zwei Blöcke:

  • Einmalig (Projektaufwand): Gap-Analyse, Risikobewertung nach Art. 13 und Anhang I (Threat-Modeling als Methode), Aufbau des SBOM, technische Dokumentation nach Anhang VII, EU-Konformitätserklärung, CE-Kennzeichnung, ggf. Konformitätsbewertung durch eine notifizierte Stelle.
  • Laufend (Betrieb): Betrieb von PSIRT und CVD-Policy über den gesamten Support-Zeitraum, kontinuierliche Schwachstellenüberwachung, SBOM-Pflege bei jedem Release, Meldebereitschaft über die ENISA Single Reporting Platform sowie die Aufbewahrung der technischen Doku für zehn Jahre nach Inverkehrbringen.

Drei illustrative Szenarien (Aufwand, nicht Preis)

Die folgenden Szenarien beschreiben die relative Aufwandsstufe, keine Eurobeträge. Sie sind Schätzungen zur Einordnung.

A – Einzelnes Standardprodukt, gute Reife

Selbstbewertung (Modul A). Schwerpunkt: SBOM finalisieren, Risikobewertung dokumentieren, technische Doku (Anhang VII) und Konformitätserklärung erstellen. Überschaubarer, projektförmiger Aufwand – oft in Wochen planbar, wenn Vulnerability-Handling schon existiert.

B – Produktlinie, mittlere Reife

Mehrere Produkte auf gemeinsamer Plattform, Klasse I. Schwerpunkt: Plattform-Härtung, SBOM-Automatisierung in der CI/CD, PSIRT- und CVD-Aufbau, ggf. Anwendung harmonisierter Normen, um die Selbstbewertung zu ermöglichen. Deutlich größerer, teils wiederkehrender Aufwand – der Plattform-Ansatz senkt aber den Aufwand je Einzelprodukt.

C – Kritisches / Klasse-II-Produkt

Notifizierte Stelle, tiefe Nachweise (Penetrationstest, formale Risikobewertung), laufender Betrieb der Melde- und Update-Kette. Höchster Aufwand, planbar über einen mehrmonatigen Fahrplan – hier bestimmt die Kapazität der notifizierten Stelle den Zeitplan mit.

Ein durchgespieltes Beispiel: der Industrie-Router

Nehmen wir einen mittelständischen Hersteller eines managebaren Industrie-Routers. Router zählen zu den Anhang-III-Klasse-I-Beispielen. Ein möglicher Vorgehensweg wäre:

  • Klasseneinordnung prüfen: Router = wichtige Produkte, Klasse I. Selbstbewertung ist denkbar, sofern die einschlägigen harmonisierten Normen vollständig angewendet werden – sonst notifizierte Stelle.
  • SBOM über die Firmware aufbauen (CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1), mindestens Top-Level-Abhängigkeiten, als Teil der technischen Doku – eine allgemeine Veröffentlichungspflicht besteht nicht.
  • Meldeprozess zuerst aufsetzen: 24-h-Frühwarnung, 72-h-Meldung, Abschlussbericht – unterscheiden Sie sauber: 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme bei aktiv ausgenutzten Schwachstellen versus 1 Monat bei schweren Sicherheitsvorfällen.
  • Technische Doku (Anhang VII) und Konformitätserklärung erstellen, CE-Kennzeichnung anbringen, Doku zehn Jahre aufbewahren.

Der Clou: Weil der Meldeprozess bereits ab dem 11.09.2026 greift, ist er der erste konkrete Kostenblock – unabhängig davon, ob die Produktanforderungen später vollständig sitzen.

Kosten senken und richtig priorisieren

  • Meldeprozesse zuerst. Sie sind die erste harte Frist (11.09.2026) und mit vergleichsweise geringem Aufwand aufsetzbar. PSIRT, CVD-Policy und ein Draht zur ENISA-Plattform schützen vor den höchsten Bußgeldstufen.
  • Früh und ehrlich Gaps analysieren. Der teuerste Fehler ist Warten: nachträgliche Ertüchtigung einer im Markt befindlichen Produktlinie ist teurer als „by design“.
  • Wiederverwenden. SBOM-Toolchain, Härtungs-Baselines und Prozessdokumentation einmal bauen, über das Portfolio nutzen.
  • Klasse klären, bevor Sie eine notifizierte Stelle beauftragen. Bei Klasse I kann die vollständige Anwendung harmonisierter Normen die notifizierte Stelle vermeiden.

Zur Einordnung des finanziellen Risikos: Der CRA sieht gestaffelte Bußgelder vor – bis 15 Mio. € bzw. 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen Anhang I und die Art. 13/14-Pflichten, bis 10 Mio. € / 2 % bei sonstigen Pflichten und bis 5 Mio. € / 1 % bei falschen Angaben gegenüber Behörden (jeweils der höhere Betrag). Das ist der Maßstab, gegen den die Compliance-Kosten abzuwägen sind – als sachliche Einordnung, nicht als Drohkulisse.

Was Blackfort tut

Wir übersetzen die Kostenlogik in einen belastbaren, produktbezogenen Fahrplan: Klasseneinordnung, Gap-Analyse, SBOM-Aufbau, Meldeprozess- und PSIRT-Design sowie die technische Dokumentation nach Anhang VII – mit klarer Trennung von einmaligen und laufenden Kosten. So entsteht statt einer Pauschalzahl ein nachvollziehbares Budget je Produkt und Portfolio. Diese Darstellung ist schematisch und ersetzt keine Rechtsberatung; die konkrete Einordnung Ihres Produkts erfolgt fallbezogen.

Ein erster Schritt ohne Aufwand: der CRA-Betroffenheits-Check. Vertiefung zu Rechtsakt und Fristen im Cyber-Resilience-Act-Überblick, praxisnahe Einordnung für kleinere Hersteller unter CRA für KMU und branchenspezifische Beispiele unter Branchen. Für ein konkretes Aufwandsgespräch: Kontakt aufnehmen.

Häufige Fragen

Können Sie einen Festpreis für CRA-Compliance nennen?+
Erst nach einer Gap-Analyse. Produktklasse, SBOM- und Prozessreife bestimmen den Aufwand so stark, dass eine seriöse Zahl produkt- und portfoliobezogen entsteht – nicht als Pauschale. Die genannten Szenarien sind ausdrücklich Schätzungen zur Einordnung, kein Preisversprechen.
Was ist der günstigste erste Schritt?+
In der Regel der Meldeprozess. Er greift als erste harte Pflicht ab dem 11.09.2026, ist mit vergleichsweise geringem Aufwand aufsetzbar (PSIRT, CVD-Policy, Anbindung an die ENISA Single Reporting Platform) und deckt einen der bußgeldbewehrten Bereiche früh ab. Danach folgen SBOM und technische Doku.
Sind die Kosten einmalig oder laufend?+
Beides. Einmalig sind Gap-Analyse, Risikobewertung, SBOM-Aufbau, technische Doku nach Anhang VII, Konformitätserklärung und CE-Kennzeichnung. Laufend sind der Betrieb von PSIRT und CVD-Policy über den Support-Zeitraum, Schwachstellenüberwachung, SBOM-Pflege je Release und die Aufbewahrung der technischen Doku über zehn Jahre.
Warum ist eine notifizierte Stelle teurer als die Selbstbewertung?+
Standardprodukte laufen über Selbstbewertung (Modul A). Anhang-III-Klasse-I-Produkte erlauben Selbstbewertung nur bei voller Anwendung harmonisierter Normen, sonst wird eine notifizierte Stelle nötig; Klasse II und kritische Anhang-IV-Produkte erfordern sie immer. Externe Prüfung, tiefere Nachweise und die Kapazitätsplanung der Stelle erhöhen Aufwand und Vorlaufzeit.
Bis wann muss ich mit CRA-Kosten rechnen?+
Der CRA ist seit dem 10.12.2024 in Kraft. Die Melde- und Berichtspflichten nach Art. 14 gelten ab dem 11.09.2026, die volle Anwendbarkeit aller Produktanforderungen ab dem 11.12.2027. Ein früher Meldeprozess ist damit der erste konkrete Kostenblock; der Produktanforderungs-Teil kann bis 2027 geplant werden. Diese Angaben sind schematisch und ersetzen keine Rechtsberatung.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).