
Stand: 2026-07-18
„Was kostet CRA-Compliance?“ ist eine der meistgestellten Fragen zum Cyber Resilience Act – und zugleich eine, bei der pauschale Zahlen mehr schaden als helfen. Der Aufwand hängt an wenigen, klar benennbaren Treibern. Deshalb nennen wir hier bewusst keine Marktzahlen Dritter und kein Preisversprechen, sondern zeigen die Kostenlogik, drei illustrative Aufwands-Szenarien und wie Sie den Aufwand gezielt senken. Die konkreten Werte sind ausdrücklich als Schätzung zu verstehen und ersetzen keine produktbezogene Kalkulation.
Warum es keinen seriösen Pauschalpreis gibt
CRA-Compliance ist kein Einkauf von der Stange, sondern die Summe aus Produkteigenschaften, vorhandener Reife und Portfolio-Struktur. Zwei Hersteller mit demselben Umsatz können sich im Aufwand um eine Größenordnung unterscheiden – je nachdem, ob sie ein einzelnes Standardprodukt oder eine gewachsene Firmware-Familie ohne Abhängigkeits-Inventar betreuen. Wer nach einem Festpreis fragt, sollte die Gegenfrage erwarten: Welche Produktklasse, welche SBOM-Reife, welche Prozessreife? Erst daraus wird eine belastbare Zahl.
Die fünf Kostentreiber
| Treiber | Wirkung auf den Aufwand |
|---|---|
| Produktklasse (Anhang III/IV) | Standardprodukte laufen über Selbstbewertung (Modul A) – deutlich günstiger. Anhang III „wichtige“ Produkte: Klasse I erlaubt Selbstbewertung nur bei voller Anwendung harmonisierter Normen, sonst notifizierte Stelle; Klasse II immer notifizierte Stelle. Anhang IV „kritische“ Produkte sind am aufwändigsten (notifizierte Stelle, ggf. EU-Zertifizierungsschema). |
| SBOM-Reife | Wer Abhängigkeiten bereits inventarisiert, hat einen Bruchteil des Aufwands gegenüber einem Greenfield-SBOM über gewachsene Firmware. Format maschinenlesbar: CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 (BSI TR-03183-2 v2.1.0). |
| Prozessreife | Bestehendes Schwachstellen-Handling, eine CVD-Policy und ein sicherer SDLC senken den Erstaufwand massiv. Fehlt das, entsteht der PSIRT-/Meldeprozess-Aufbau als eigenes Teilprojekt. |
| Produktanzahl & Wiederverwendung | Gemeinsame Plattformen und Module amortisieren den Nachweis über viele Produkte. Ein wiederverwendbares SBOM-Toolchain-Setup zahlt sich über das Portfolio aus. |
| Support-Zeitraum | Lange zugesagte Update-Zeiträume erzeugen laufende Kosten (Monitoring, Patch-Bereitstellung, Meldebereitschaft), nicht nur einmalige. Leitwert: mindestens fünf Jahre entlang der erwarteten Produktlebensdauer. |
Einmalige vs. laufende Kosten
Ein häufiger Denkfehler ist, CRA-Compliance als Einmalprojekt zu budgetieren. Sie zerfällt in zwei Blöcke:
- Einmalig (Projektaufwand): Gap-Analyse, Risikobewertung nach Art. 13 und Anhang I (Threat-Modeling als Methode), Aufbau des SBOM, technische Dokumentation nach Anhang VII, EU-Konformitätserklärung, CE-Kennzeichnung, ggf. Konformitätsbewertung durch eine notifizierte Stelle.
- Laufend (Betrieb): Betrieb von PSIRT und CVD-Policy über den gesamten Support-Zeitraum, kontinuierliche Schwachstellenüberwachung, SBOM-Pflege bei jedem Release, Meldebereitschaft über die ENISA Single Reporting Platform sowie die Aufbewahrung der technischen Doku für zehn Jahre nach Inverkehrbringen.
Drei illustrative Szenarien (Aufwand, nicht Preis)
Die folgenden Szenarien beschreiben die relative Aufwandsstufe, keine Eurobeträge. Sie sind Schätzungen zur Einordnung.
A – Einzelnes Standardprodukt, gute Reife
Selbstbewertung (Modul A). Schwerpunkt: SBOM finalisieren, Risikobewertung dokumentieren, technische Doku (Anhang VII) und Konformitätserklärung erstellen. Überschaubarer, projektförmiger Aufwand – oft in Wochen planbar, wenn Vulnerability-Handling schon existiert.
B – Produktlinie, mittlere Reife
Mehrere Produkte auf gemeinsamer Plattform, Klasse I. Schwerpunkt: Plattform-Härtung, SBOM-Automatisierung in der CI/CD, PSIRT- und CVD-Aufbau, ggf. Anwendung harmonisierter Normen, um die Selbstbewertung zu ermöglichen. Deutlich größerer, teils wiederkehrender Aufwand – der Plattform-Ansatz senkt aber den Aufwand je Einzelprodukt.
C – Kritisches / Klasse-II-Produkt
Notifizierte Stelle, tiefe Nachweise (Penetrationstest, formale Risikobewertung), laufender Betrieb der Melde- und Update-Kette. Höchster Aufwand, planbar über einen mehrmonatigen Fahrplan – hier bestimmt die Kapazität der notifizierten Stelle den Zeitplan mit.
Ein durchgespieltes Beispiel: der Industrie-Router
Nehmen wir einen mittelständischen Hersteller eines managebaren Industrie-Routers. Router zählen zu den Anhang-III-Klasse-I-Beispielen. Ein möglicher Vorgehensweg wäre:
- Klasseneinordnung prüfen: Router = wichtige Produkte, Klasse I. Selbstbewertung ist denkbar, sofern die einschlägigen harmonisierten Normen vollständig angewendet werden – sonst notifizierte Stelle.
- SBOM über die Firmware aufbauen (CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1), mindestens Top-Level-Abhängigkeiten, als Teil der technischen Doku – eine allgemeine Veröffentlichungspflicht besteht nicht.
- Meldeprozess zuerst aufsetzen: 24-h-Frühwarnung, 72-h-Meldung, Abschlussbericht – unterscheiden Sie sauber: 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme bei aktiv ausgenutzten Schwachstellen versus 1 Monat bei schweren Sicherheitsvorfällen.
- Technische Doku (Anhang VII) und Konformitätserklärung erstellen, CE-Kennzeichnung anbringen, Doku zehn Jahre aufbewahren.
Der Clou: Weil der Meldeprozess bereits ab dem 11.09.2026 greift, ist er der erste konkrete Kostenblock – unabhängig davon, ob die Produktanforderungen später vollständig sitzen.
Kosten senken und richtig priorisieren
- Meldeprozesse zuerst. Sie sind die erste harte Frist (11.09.2026) und mit vergleichsweise geringem Aufwand aufsetzbar. PSIRT, CVD-Policy und ein Draht zur ENISA-Plattform schützen vor den höchsten Bußgeldstufen.
- Früh und ehrlich Gaps analysieren. Der teuerste Fehler ist Warten: nachträgliche Ertüchtigung einer im Markt befindlichen Produktlinie ist teurer als „by design“.
- Wiederverwenden. SBOM-Toolchain, Härtungs-Baselines und Prozessdokumentation einmal bauen, über das Portfolio nutzen.
- Klasse klären, bevor Sie eine notifizierte Stelle beauftragen. Bei Klasse I kann die vollständige Anwendung harmonisierter Normen die notifizierte Stelle vermeiden.
Zur Einordnung des finanziellen Risikos: Der CRA sieht gestaffelte Bußgelder vor – bis 15 Mio. € bzw. 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen Anhang I und die Art. 13/14-Pflichten, bis 10 Mio. € / 2 % bei sonstigen Pflichten und bis 5 Mio. € / 1 % bei falschen Angaben gegenüber Behörden (jeweils der höhere Betrag). Das ist der Maßstab, gegen den die Compliance-Kosten abzuwägen sind – als sachliche Einordnung, nicht als Drohkulisse.
Was Blackfort tut
Wir übersetzen die Kostenlogik in einen belastbaren, produktbezogenen Fahrplan: Klasseneinordnung, Gap-Analyse, SBOM-Aufbau, Meldeprozess- und PSIRT-Design sowie die technische Dokumentation nach Anhang VII – mit klarer Trennung von einmaligen und laufenden Kosten. So entsteht statt einer Pauschalzahl ein nachvollziehbares Budget je Produkt und Portfolio. Diese Darstellung ist schematisch und ersetzt keine Rechtsberatung; die konkrete Einordnung Ihres Produkts erfolgt fallbezogen.
Ein erster Schritt ohne Aufwand: der CRA-Betroffenheits-Check. Vertiefung zu Rechtsakt und Fristen im Cyber-Resilience-Act-Überblick, praxisnahe Einordnung für kleinere Hersteller unter CRA für KMU und branchenspezifische Beispiele unter Branchen. Für ein konkretes Aufwandsgespräch: Kontakt aufnehmen.
Häufige Fragen
Können Sie einen Festpreis für CRA-Compliance nennen?+
Was ist der günstigste erste Schritt?+
Sind die Kosten einmalig oder laufend?+
Warum ist eine notifizierte Stelle teurer als die Selbstbewertung?+
Bis wann muss ich mit CRA-Kosten rechnen?+
Quellen
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).