Cluster D · Strafen & Haftung

BSI und CRA-Marktaufsicht in der Praxis

Verfasst am
Lesezeit
6 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Das BSI ist Deutschlands federführende CRA-Marktaufsichtsbehörde. Welche Befugnisse es hat, was es zuerst anfordert und wie Unternehmen kooperieren sollten.

Inhaltsverzeichnis
  1. Das BSI als CRA-Marktaufsichtsbehörde
  2. Die Befugnisse des BSI: Was es darf
  3. Anlassprüfung versus Stichprobe: Wie Prüfungen entstehen
  4. Was das BSI zuerst anfordert
  5. Kooperativer Umgang: Warum es sich rechnet
  6. Der Sonderfall: Kritische Produkte und erhöhte Aufmerksamkeit
  7. Was das bedeutet für Ihre Vorbereitung
  8. Weiterführende Artikel

BSI und CRA-Marktaufsicht: Wie läuft das in der Praxis ab?

Pflichten ohne Durchsetzung sind Absichtserklärungen. Das weiß der EU-Gesetzgeber — und deshalb hat er Marktaufsichtsbehörden mit weitreichenden Befugnissen ausgestattet. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik die federführende Behörde. Was das konkret bedeutet, bleibt für viele Unternehmen noch unklar.

Das BSI als CRA-Marktaufsichtsbehörde

Nach dem BSI-Gesetz ist das BSI bereits heute für die Cybersicherheit kritischer Systeme in Deutschland zuständig. Mit dem CRA wird seine Rolle erheblich ausgeweitet: Es wird zur primären Marktaufsichtsbehörde für Produkte mit digitalen Elementen auf dem deutschen Markt.

Konkret bedeutet das: Wird ein Produkt in Deutschland verkauft und erfüllt CRA-Anforderungen nicht, ist das BSI zuständig für die Durchsetzung. Kooperiert wird dabei mit der EU-Agentur für Cybersicherheit ENISA, die auf europäischer Ebene koordiniert — und mit Behörden anderer Mitgliedstaaten, etwa wenn ein Produkt in mehreren EU-Ländern gleichzeitig vertrieben wird.

Was viele falsch verstehen: Die ENISA hat in diesem System keine direkten Durchsetzungsbefugnisse gegenüber Unternehmen. Sie koordiniert, erstellt Leitlinien und pflegt die europäische Schwachstellendatenbank. Die eigentliche behördliche Handlung — Dokumentenanforderung, Prüfung, Sanktion — liegt bei den nationalen Behörden wie dem BSI. Punkt.

Die Befugnisse des BSI: Was es darf

Das CRA gibt Marktaufsichtsbehörden ein breites Instrumentarium (Art. 54 ff. der Verordnung EU 2024/2847):

Dokumentenanforderung: Jederzeit kann das BSI verlangen, dass ein Hersteller technische Dokumentation, Konformitätserklärungen und andere Nachweise vorlegt. Gesetzlich fixiert ist die Frist nicht — aber in der behördlichen Praxis sind “wenige Tage” der übliche Erwartungsrahmen bei einem aktiven Verdachtsfall.

Produktprüfung: Geprüft werden kann selbst oder durch akkreditierte Stellen. Das umfasst technische Tests, Code-Analysen und Konfigurationsprüfungen. Bei nachgewiesenen Verstößen trägt der Hersteller die Kosten.

Korrekturmaßnahmen: Bei festgestellten Mängeln kann das BSI den Hersteller zur Nachbesserung innerhalb einer gesetzten Frist verpflichten. Das ist die häufigste Maßnahme — keine sofortige Sanktion, sondern eine Aufforderung zur Compliance.

Verkaufsverbot: Stellt ein Produkt ein erhebliches Cybersicherheitsrisiko dar oder liegen schwerwiegende CRA-Verstöße vor, kann das BSI den weiteren Verkauf untersagen. Das schärfste operative Mittel unterhalb der Bußgeldebene.

Rückruf und Marktrücknahme: Rückrufaktionen für bereits ausgelieferte Produkte kann das BSI anordnen. Bei Software-Produkten bedeutet das typischerweise das Erzwingen von Updates oder das Abschalten von Cloud-Diensten.

Bußgelder: Die Verhängung von Geldbußen nach Art. 64 CRA liegt beim BSI als zuständiger Behörde. Wichtig: Das BSI handelt nicht wie ein Staatsanwalt, der einen Tatbestand beweisen muss — es handelt als Verwaltungsbehörde. Das Beweismaß ist niedriger, die Verfahren sind schneller.

Anlassprüfung versus Stichprobe: Wie Prüfungen entstehen

Zwei grundlegend verschiedene Prüfungsszenarien existieren — und die meisten Unternehmen unterschätzen, welches in der Praxis häufiger vorkommt.

Anlassprüfung startet mit einem konkreten Auslöser:

  • Eine Schwachstelle in Ihrem Produkt wird öffentlich bekannt — etwa in der CVE-Datenbank oder durch einen Sicherheitsbericht
  • Ein Wettbewerber oder Marktbeobachter erstattet Beschwerde beim BSI
  • Ein Kunde oder Nutzer meldet einen Sicherheitsvorfall, der auf ein Produktversagen zurückgeführt wird
  • Medienberichte über ein Sicherheitsproblem mit Ihrem Produkt lösen eine behördliche Reaktion aus

Stichprobenprüfung ist systematisch und anlasslos:

  • Das BSI prüft Produktkategorien nach eigenem Ermessen und Risikoeinschätzung
  • Europäische Koordinierungsmaßnahmen können zu gleichzeitigen Prüfungen in mehreren Mitgliedstaaten führen
  • Neue Produkte in Hochrisiko-Kategorien werden häufiger in den ersten Jahren nach CRA-Geltungsbeginn geprüft

Was hier viele falsch verstehen: Die meisten CRA-Prüfungen werden nicht durch aggressive Behörden ausgelöst — sondern durch Wettbewerber-Beschwerden oder öffentliche Schwachstellenberichte. Wer dann keine Dokumentation hat, verliert schnell.

Ein Hersteller von industriellen MQTT-Gateways — eingesetzt in Industrie-4.0-Umgebungen — ist ein realistisches Ziel: Solche Produkte sind netzwerkfähig, oft schlecht dokumentiert, und Wettbewerber kennen den Markt genau. Ein gezielter Brief an das BSI kann ein Verfahren auslösen. Kein paranoides Szenario — das ist Wettbewerbsrealität in regulierten Märkten, die wir aus anderen Bereichen (z. B. CE-Kennzeichnung bei Elektroprodukten) seit Jahrzehnten kennen.

Was das BSI zuerst anfordert

Beginnt eine Anlassprüfung, folgt typischerweise eine Aufforderung zur Vorlage von Unterlagen. Aus der behördlichen Logik und den CRA-Anforderungen ergibt sich, was zuerst kommt:

Technische Dokumentation (Annex VII des CRA): Das ist das zentrale Dokument. Beschrieben werden muss, wie das Produkt aufgebaut ist, welche Cybersicherheitsanforderungen adressiert wurden, welche Bedrohungen analysiert wurden und wie der Sicherheits-Entwicklungsprozess (SDLC) aussieht. Ein Hersteller ohne technische Dokumentation hat keine Verteidigungslinie. Keine.

EU-Konformitätserklärung: Ein formal unterzeichnetes Dokument, das erklärt, welche Normen und Anforderungen das Produkt erfüllt. Ohne dieses Dokument ist die CE-Kennzeichnung unzulässig — und ohne CE-Kennzeichnung ist das Inverkehrbringen auf dem EU-Markt verboten.

SBOM (Software Bill of Materials): Eine maschinenlesbare Liste aller Softwarekomponenten einschließlich Open-Source-Bibliotheken und deren Versionen. Damit kann das BSI prüfen, ob bekannte Schwachstellen (CVEs) in den verwendeten Komponenten vorhanden sind. Wer keine SBOM hat, kann Sicherheitsfragen des BSI nicht beantworten.

Schwachstellen-Meldedokumentation: Ist der Prüfungsanlass eine Schwachstelle, wird das BSI fragen, wann Sie die Schwachstelle entdeckt haben, was Sie dem BSI (Pflicht nach Art. 14 CRA) und den Nutzern mitgeteilt haben und welche Maßnahmen ergriffen wurden. 24 Stunden für die Erstmeldung an BSI/ENISA — das ist die gesetzliche Frist.

Genau hier stolpert ein IoT-Startup, das embedded Software für Heizungssteuerungen entwickelt, besonders leicht: Die Software läuft, das Produkt ist am Markt — aber SBOM und Meldedokumentation existieren nicht. Sobald eine CVE in einer verwendeten Open-Source-Bibliothek auftaucht, beginnt die Uhr zu laufen. 24 Stunden.

Kooperativer Umgang: Warum es sich rechnet

Behördenverfahren im CRA-Kontext sind keine Strafverfahren. Das klingt beruhigend — und das sollte es auch sein, unter einer Bedingung: aktive Kooperation. Das BSI hat ein strukturelles Interesse daran, dass Hersteller compliant werden, nicht daran, möglichst viele Bußgelder zu verhängen. Die Kapazitäten der Behörde sind begrenzt; eskalierte Verfahren binden Ressourcen.

Kooperativer Umgang bedeutet konkret:

  • Fristen einhalten oder proaktiv um Verlängerung bitten (bevor sie ablaufen)
  • Angeforderte Dokumente vollständig und strukturiert liefern
  • Mängel eingestehen und einen Korrekturzeitraum vorschlagen, statt zu bestreiten
  • Einen internen Ansprechpartner benennen, der kontinuierlich erreichbar ist

Wer kooperativ agiert, erhält häufig Verlängerungen, kann Verfahren durch Selbstverpflichtungen abschließen und landet seltener in öffentlichen Durchsetzungsmaßnahmen. Wer verzögert, unvollständig liefert oder Anforderungen ignoriert, provoziert eskalierendes Handeln.

Das ist keine Theorie — das ist die behördliche Logik aller Marktaufsichtsverfahren, die wir aus Datenschutz (DSGVO, Landesbeauftragte), Produktsicherheit (Gewerbeaufsicht) und Finanzmarkt (BaFin) kennen. CRA wird sich nicht fundamental anders verhalten.

Der Sonderfall: Kritische Produkte und erhöhte Aufmerksamkeit

Das CRA unterscheidet zwischen Standard-Produkten und Produkten der Klasse I und II (erhöhtes Risiko). Klasse-II-Produkte — etwa Firewalls, Intrusion-Detection-Systeme, Industriesteuerungen — benötigen eine Prüfung durch eine Notified Body und stehen unter erhöhter Marktaufsichts-Aufmerksamkeit.

Was viele CRA-Berater nicht sagen: Fällt Ihr Produkt in Klasse I oder II und beginnt das BSI-Prüfverfahren ohne vollständige technische Dokumentation, ist das Risiko eines Verkaufsverbots wesentlich höher als bei einem Standard-Produkt. Aussetzen kann die Behörde das Inverkehrbringen, bis die Dokumentation vorliegt. Bei laufendem Vertrieb kann das erhebliche wirtschaftliche Folgen haben — Lieferverzögerungen, Vertragsstrafen, Kundenverlust. Kein theoretisches Szenario.

Nutzen Sie den CRA RouteCheck, um die Klassifikation Ihres Produkts zu prüfen, bevor Sie mit der Dokumentation beginnen.

Was das bedeutet für Ihre Vorbereitung

Marktaufsicht ist kein abstraktes Zukunftsszenario. Bereits heute baut das BSI seine CRA-Kompetenzen auf, führt Pilotprüfungen durch und entwickelt Prüfmethoden. Wer erst auf einen Behördenbescheid wartet, hat zu diesem Zeitpunkt kaum noch Zeit, die geforderten Dokumente zu erstellen.

Die Vorbereitung folgt einer klaren Priorität: Technische Dokumentation und SBOM zuerst, dann Konformitätserklärung, dann Prozesse für Schwachstellen-Meldung. Wer diese drei Elemente hat, kann einem BSI-Schreiben gelassen entgegensehen.

Wer keines davon hat, sollte mit der Arbeit heute beginnen — nicht nach dem ersten Behördenschreiben.

Weiterführende Artikel

Quellen:

  • EU-Verordnung 2024/2847 (Cyber Resilience Act), Art. 14 (Schwachstellen-Meldepflichten), Art. 54–60 (Marktaufsicht), Art. 64 (Sanktionen). Volltext: EUR-Lex
  • BSI-Gesetz (BSIG): Gesetze im Internet
  • ENISA: Rolle und Aufgaben unter dem CRA: ENISA CRA-Seite

Kein Rechtsgutachten. Indikative Einschätzung auf Basis öffentlich verfügbarer Rechtsquellen und behördlicher Verfahrenspraxis. Für konkrete Compliance-Fragen wenden Sie sich an einen auf IT-Recht spezialisierten Anwalt oder das BSI direkt.

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.