Was droht, wenn Unternehmen die Vorgaben des Cyber Resilience Acts (CRA) nicht einhalten? Wir erklären das Sanktionssystem des CRA von Bußgeldern bis zu Vertriebsverboten und Produktrückrufen.
Wann verstoßen Unternehmen gegen die Vorgaben des Cyber Resilience Acts?
Hersteller, Importeure und Händler können auf mehrere Arten gegen den CRA verstoßen und dadurch Sanktionen auslösen.
Die Verordnung (EU) 2024/2847 legt erstmals Cybersicherheitsanforderungen für nahezu alle Hard- und Softwareprodukte fest, die eine Datenverbindung zu einem Gerät oder Netzwerk herstellen können und die in der EU in Verkehr gebracht werden.
Damit einher gehen zum einen produktbezogene Pflichten, insbesondere Security by Design und eine kontinuierliche Update-Pflicht zur Beseitigung von Schwachstellen. Zum anderen bestehen akteursbezogene Pflichten, vor allem Konformitätsbewertungen und -erklärungen, technische Dokumentationen sowie die Einhaltung von Meldepflichten.
Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten bereits ab dem 11. September 2026. Die übrigen Pflichten des CRA gelten ab 11. Dezember 2027.
Wer ist in Deutschland für die Überwachung der CRA-Vorgaben zuständig?
Die Durchsetzung des CRA liegt bei den nationalen Marktüberwachungsbehörden nach Art. 52 CRA. In Deutschland übernimmt diese Rolle das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die Behörden können Produkte stichprobenartig oder anlassbezogen prüfen und dabei die weitreichenden Befugnisse der Verordnung (EU) 2019/1020 zur Marktüberwachung nutzen, etwa Auskunftsverlangen, Zugang zu technischer Dokumentation und Testkäufe.
Was passiert, wenn Unternehmen die CRA-Anforderungen nicht einhalten?
Die Antwort des CRA auf Verstöße ist zweigleisig:
- Zum einen drohen Geldbußen, deren Rahmen Art. 64 CRA vorgibt.
- Zum anderen, und in der Praxis oft schwerwiegender, verfügen die Marktüberwachungsbehörden nach Art. 52 ff. CRA über eine ganze Reihe von Korrektur- und Beschränkungsmaßnahmen. Sie können die Bereitstellung eines Produkts einschränken oder untersagen, seine Rücknahme vom Markt anordnen oder einen Rückruf verlangen.
Beide Sanktionswege schließen sich nicht aus, sondern können gemeinsam für denselben Verstoß verhängt werden.
Hinzu kommen zivilrechtliche Haftungsrisiken, die durch parallele EU-Rechtsakte deutlich verschärft wurden.
Welche Bußgelder drohen nach Art. 64 CRA?
Art. 64 CRA verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen festzulegen. Für die Geldbußen gibt die Verordnung drei nach Schwere des Verstoßes abgestufte Obergrenzen vor. Maßgeblich ist dabei jeweils der höhere Betrag:
- Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen nach Anhang I sowie gegen die zentralen Hersteller-Pflichten aus Art. 13 CRA (unter anderem Risikobewertung, Security by Design, Schwachstellenmanagement) und die Meldepflichten aus Art. 14 CRA.
- Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen gegen die übrigen Pflichten der Verordnung, etwa die Pflichten von Einführern und Händlern sowie die Anforderungen an Konformitätsbewertung, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung.
- Bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes drohen, wenn gegenüber notifizierten Stellen oder Marktüberwachungsbehörden auf deren Auskunftsverlangen falsche, unvollständige oder irreführende Angaben gemacht werden.
Dabei gelten folgende Vorgaben und Ausnahmen:
- Bei der Bemessung im Einzelfall berücksichtigen die Behörden insbesondere Art, Schwere, Dauer und Folgen des Verstoßes sowie die Größe des Unternehmens.
- Gegen Kleinstunternehmen (beschäftigen weniger als 10 Personen und Jahresumsatz bzw. Jahresbilanz überschreitet nicht 2 Mio. Euro) oder Kleinunternehmen (beschäftigen weniger als 50 Personen und Jahresumsatz bzw. Jahresbilanz übersteigt nicht 10 Mio. Euro) können keine Bußgelder für Verstöße gegen die unverzügliche Meldepflicht (innerhalb von 24 Stunden) von Schwachstellen und Vorfällen verhängt werden.
- Eine weitere Ausnahme enthält Art. 64 CRA für Verwalter quelloffener Software, sogenannte Open Source Software Stewards. Gegen sie werden grundsätzlich keine Geldbußen verhängt.
- Ob öffentliche Stellen mit Bußgeldern belegt werden können, dürfen die Mitgliedstaaten selbst entscheiden. In Deutschland plant der Gesetzgeber über § 70 BSIG zu regeln, dass, ähnlich wie im Datenschutzrecht, keine Bußgelder gegenüber Behörden verhängt werden. Der entsprechende Gesetzesentwurf befindet sich noch in der Beratung im Bundestag.
Geldbußen können ausdrücklich zusätzlich zu anderen Korrektur- oder Beschränkungsmaßnahmen verhängt werden, die die Marktüberwachungsbehörde für denselben Verstoß anordnet. Ein Unternehmen kann also gleichzeitig ein Bußgeld zahlen und sein Produkt vom Markt nehmen müssen.
Welche weiteren Sanktionen können Marktüberwachungsbehörden verhängen?
Birgt ein Produkt ein erhebliches Cybersicherheitsrisiko, greift das nationale Verfahren nach Art. 54 CRA. Die Behörde bewertet das Produkt und fordert den verantwortlichen Wirtschaftsakteur zunächst auf, innerhalb einer gesetzten Frist Korrekturmaßnahmen zu ergreifen, also das Produkt konform zu machen.
Geschieht das nicht, eskaliert das Verfahren. Die Behörde kann dann die Bereitstellung des Produkts auf dem nationalen Markt beschränken oder untersagen und damit faktisch den Marktzugang entziehen, die Rücknahme des Produkts vom Markt anordnen und so den Vertriebsweg stoppen oder den Rückruf bereits an Endnutzer ausgelieferter Produkte verlangen.
Diese Maßnahmen wirken zunächst national, werden aber über das Schutzklauselverfahren der Union nach Art. 55 CRA an die Kommission und die übrigen Mitgliedstaaten gemeldet. Erheben diese keine Einwände, gilt die Maßnahme als gerechtfertigt, und die anderen Mitgliedstaaten müssen entsprechende Maßnahmen treffen.
Bei unionsweiten Risiken für den Binnenmarkt kann die Kommission nach Art. 56 CRA unter Einbeziehung der ENISA sogar selbst per Durchführungsrechtsakt Korrektur- oder Beschränkungsmaßnahmen bis hin zu Rücknahme und Rückruf anordnen.
Expertentipp: Zwei Regelungen werden dabei häufig übersehen:
Nach Art. 57 CRA kann die Behörde Maßnahmen auch gegen formal konforme Produkte ergreifen, wenn diese dennoch ein erhebliches Cybersicherheitsrisiko für Gesundheit, Sicherheit oder andere öffentliche Interessen darstellen.
Und schon eine formale Nichtkonformität nach Art. 58 CRA, etwa eine fehlerhaft angebrachte CE-Kennzeichnung, eine fehlende EU-Konformitätserklärung oder unvollständige technische Dokumentation, kann bei fortdauerndem Verstoß in Beschränkung, Verbot, Rücknahme oder Rückruf münden.
Ergänzend ermöglicht Art. 60 CRA koordinierte, gleichzeitige Kontrollaktionen mehrerer Behörden zu bestimmten Produktkategorien, sogenannte Sweeps.
Welche Haftungsrisiken kommen zu den behördlichen Sanktionen hinzu?
Neben dem behördlichen Sanktionsregime verschärft sich auch die zivilrechtliche Haftung. Die neue Produkthaftungsrichtlinie (EU) 2024/2853 erfasst erstmals ausdrücklich Software und macht fehlende Sicherheitsupdates oder unzureichendes Schwachstellenmanagement zu einem möglichen Produktfehler. Die Nichteinhaltung der CRA-Anforderungen kann damit unmittelbar Schadensersatzansprüche geschädigter Personen begründen. Die Umsetzung der Richtlinie in Deutschland steht unmittelbar bevor.
Zudem hat der CRA die Richtlinie über Verbandsklagen (EU) 2020/1828 geändert. Verstöße gegen den CRA können künftig Gegenstand von Sammelklagen qualifizierter Einrichtungen sein.
Hinzu kommen vertragliche Risiken gegenüber Geschäftskunden, etwa aus Zusicherungen zur CRA-Konformität in Lieferverträgen, sowie erhebliche Reputationsschäden, wenn ein Rückruf oder Vertriebsverbot öffentlich bekannt wird.
Fazit: CRA-Compliance ist günstiger als jede Sanktion
Das Sanktionssystem des Cyber Resilience Act ist bewusst so ausgestaltet, dass sich Konformität lohnt. Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes können mit Vertriebsverboten, Rücknahmen und Rückrufen sowie mit zivilrechtlicher Haftung zusammentreffen. Das kann auch mittelständische Unternehmen schnell ins Straucheln bringen.
Wir empfehlen daher, die CRA-Anforderungen frühzeitig umzusetzen, statt auf die erste behördliche Prüfung zu warten. Sinnvoll ist es außerdem, die Kommunikation mit der Marktüberwachungsbehörde bereits jetzt vorzubereiten. Wer Zuständigkeiten intern festlegt, technische Dokumentation und EU-Konformitätserklärung auskunftsbereit hält und Prozesse für Meldepflichten und behördliche Auskunftsverlangen etabliert, kann im Ernstfall schnell, vollständig und korrekt reagieren – und vermeidet damit nicht zuletzt das eigenständige Bußgeldrisiko für falsche oder unvollständige Angaben gegenüber der Behörde.