Bußgeldrahmen Art. 64 CRA

CRA Bußgeld-Kalkulator

Der Cyber Resilience Act sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor — es gilt immer der höhere Betrag.

Geben Sie Ihren Umsatz ein und sehen Sie, welches Risiko auf Ihr Unternehmen entfällt.

Ihr maximales Bußgeld berechnen

Weltweiter Jahresumsatz (€)

100.000 € 10 Mrd. €

Tragen Sie den konsolidierten weltweiten Jahresumsatz Ihres Unternehmens bzw. Konzerns ein (Grundlage: Art. 64 EU 2024/2847).

Art des Verstoßes

Wesentliche Sicherheitsanforderungen verletzt Schwerster Verstoß

Anhang I-Anforderungen nicht erfüllt oder Herstellerpflichten nach Art. 13 CRA verletzt. Beispiel: Keine Schwachstellenbehandlung, fehlende Sicherheits-Updates, kein VDP.

Bis zu 15.000.000 € oder 2,5 % des Jahresumsatzes

Rechtsgrundlage: Art. 64 Abs. 1 EU-Verordnung 2024/2847

Sonstige Pflichten verletzt Erheblicher Verstoß

Verstöße gegen Registrierungs-, Kennzeichnungs- oder Kooperationspflichten. Beispiel: Fehlende CE-Kennzeichnung, keine Marktaufsichts-Kooperation, fehlende DoC.

Bis zu 10.000.000 € oder 2 % des Jahresumsatzes

Rechtsgrundlage: Art. 64 Abs. 2 EU-Verordnung 2024/2847

Irreführende Angaben gegenüber Behörden Falschaussage

Falsche oder irreführende Informationen an Marktaufsichtsbehörden oder ENISA. Beispiel: Fehlerhafte Konformitätserklärung, unrichtige Schwachstellen-Meldungen.

Bis zu 5.000.000 € oder 1 % des Jahresumsatzes

Rechtsgrundlage: Art. 64 Abs. 3 EU-Verordnung 2024/2847

Grundlage: Art. 64 EU-Verordnung 2024/2847 (Cyber Resilience Act). Es gilt immer der höhere Betrag aus Festbetrag und Prozentwert. Für KMU und Kleinstunternehmen können abweichende Obergrenzen gelten.

Jetzt handeln

Compliance kostet einen Bruchteil des Bußgelds

Das CRA Evidence Pack liefert alle Vorlagen, Checklisten und technischen Dokumente, die Sie für eine nachweisliche CRA-Konformität benötigen — fertig für Ihre Branche und Risikoklasse.

Evidence Pack ansehen → Kostenloser RouteCheck

Häufige Fragen zu CRA-Bußgeldern

Wer kann CRA-Bußgelder verhängen?

Zuständig sind die nationalen Marktaufsichtsbehörden der EU-Mitgliedstaaten. In Deutschland wird das voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Abstimmung mit weiteren Behörden sein. Die Behörden können ab September 2026 aktiv werden (Art. 71 Abs. 2 CRA).

Ab wann gelten die Bußgelder?

Die Marktaufsichtsbehörden werden ab 11. September 2026 operativ tätig (Art. 71 Abs. 2 CRA). Die vollständige Geltung des CRA — inklusive aller Konformitätspflichten — tritt am 11. Dezember 2027 in Kraft. Bußgelder für Verstöße gegen die ab Dez. 2027 geltenden Vollpflichten sind ab diesem Datum möglich.

Gilt das Bußgeld für das gesamte Unternehmen oder pro Produkt?

Die Obergrenze orientiert sich am weltweiten Jahresumsatz des gesamten Unternehmens (bzw. Konzerns). Ein Bußgeld wird pro Verstoßfall verhängt, nicht pauschal pro Produkt. Bei mehreren Verstößen oder Produkten können Behörden mehrere separate Verfahren einleiten. Grundlage ist Art. 64 EU-Verordnung 2024/2847.

Können Bußgelder angefochten werden?

Ja. Wie bei vergleichbaren EU-Verordnungen (z. B. DSGVO) können Bußgeldbescheide vor nationalen Verwaltungsgerichten angefochten werden. Maßgeblich sind die jeweiligen nationalen Rechtsbehelfsverfahren. Eine proaktive Compliance-Dokumentation erleichtert die Verteidigung erheblich — und verringert das Risiko, überhaupt in ein Verfahren zu geraten.

Gibt es Sonderregelungen für kleine Unternehmen?

Für Kleinstunternehmen und KMU sieht Art. 64 CRA vor, dass Behörden bei der Festsetzung von Bußgeldern auf die Zahlungsfähigkeit achten müssen. Die Obergrenzen gelten dennoch formal. Der Verordnungstext enthält zudem Erwägungsgründe zur verhältnismäßigen Anwendung. Eine verlässliche Aussage zur konkreten Praxis ist erst nach Etablierung der nationalen Aufsichtspraxis möglich.

Quellen & Rechtsgrundlagen

Art. 64 EU-Verordnung 2024/2847 (Cyber Resilience Act) — Bußgelder und Sanktionen
Art. 71 CRA — Inkrafttreten und Übergangsfristen
Anhang I CRA — Wesentliche Cybersicherheitsanforderungen
EU-Verordnung 2024/2847, Amtsblatt der Europäischen Union, 20. November 2024

Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.