Cluster E · Kosten & Fristen

Was kostet CRA-Compliance? Realistische Zahlen für KMU

Verfasst am
Lesezeit
9 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Konkrete Kostenschätzungen für CRA-Compliance: SBOM-Tooling, Notified Body, technische Dokumentation. Was KMU realistisch einplanen müssen — echte Zahlen.

Inhaltsverzeichnis
  1. Das Ausgangsszenario
  2. Kostenblock 1: Risikoanalyse
  3. Kostenblock 2: SBOM-Erstellung und -Pflege
  4. Kostenblock 3: Technische Dokumentation
  5. Kostenblock 4: Rechtsberatung
  6. Kostenblock 5: Notified Body — nur wenn relevant
  7. Kostenblock 6: Laufende CVE-Überwachung
  8. Gesamtkosten: Was ein KMU einplanen sollte
  9. Einmalige Implementierungskosten (Default-Klasse, 1 Produkt)
  10. Laufende Jahreskosten
  11. Vergleich: Was kostet ein Sicherheitsvorfall?
  12. Vergleich: Was kostet ein CRA-Bußgeld?
  13. Warum früh investieren günstiger ist
  14. Wie Sie die Kosten senken

Was kostet CRA-Compliance? Realistische Zahlen für KMU

Die meisten Artikel über den Cyber Resilience Act beschreiben Pflichten. Konkrete Zahlen? Fehlanzeige. Das ist ein Problem — Hersteller müssen Budgets planen, Ressourcen zuweisen und oft Entscheidungen über ihr gesamtes Produktportfolio treffen.

Dieser Artikel liefert eine realistische Kostenaufstellung für ein typisches KMU mit einem IoT-Produkt in der Default-Klasse — also die große Mehrzahl der betroffenen Unternehmen. Danach kommt der Vergleich mit den Kosten eines Sicherheitsvorfalls und einem Bußgeld, damit die Relation stimmt.

Disclaimer: Diese Zahlen sind Erfahrungswerte und Schätzungen aus öffentlich zugänglichen Marktdaten, Ausschreibungen und Fachpublikationen. Sie ersetzen keine individuelle Beratung, geben aber eine belastbare Orientierung.

Das Ausgangsszenario

Ein deutsches KMU, 20 Mitarbeiter, entwickelt und vertreibt ein industrielles IoT-Gerät zur Gebäudeautomatisierung. Das Produkt enthält:

  • Embedded Linux (OpenWRT-Basis)
  • 40–60 OSS-Abhängigkeiten
  • OTA-Update-Fähigkeit über proprietären Cloud-Kanal
  • WLAN und Ethernet-Schnittstellen
  • REST-API für Integration in Leitsysteme

CRA-Klassifikation: Default (keine erhöhten Anforderungen, kein Notified Body nötig). Selbst-Assessment über interne Konformitätsprüfung reicht aus. Das ist der günstigste Fall — und trotzdem nicht trivial.

Kostenblock 1: Risikoanalyse

Was es ist: Systematische Analyse der Sicherheitsrisiken des Produkts nach CRA Anhang I, Teil I. Basis für alle weiteren Maßnahmen. Ohne vollständige Risikoanalyse lässt sich weder die technische Dokumentation noch die Konformitätserklärung sauber erstellen.

Intern durchgeführt:

  • Erfahrener Entwickler mit Sicherheitskenntnissen: 40–80 Stunden
  • Stundensatz intern kalkuliert (inkl. Overhead): 80–120 €/h
  • Kostenrahmen: 3.200–9.600 €

Was hier viele falsch verstehen: Eine Risikoanalyse ist kein Abhaken einer Checkliste. Sie muss das Bedrohungsmodell (Angriffsvektoren, Assets, Angreiferprofil), bekannte Schwachstellenklassen der verwendeten Technologien und die Maßnahmen zur Risikominderung dokumentieren. Das STRIDE-Modell ist ein guter Ausgangspunkt.

Extern vergeben:

  • Spezialisierte Beratungsfirma für Embedded Security: 5.000–20.000 €
  • Vorteil: strukturiertes Ergebnis, CRA-konformes Format, verwertbar für Dokumentation
  • Nachteil: externes Wissen, das intern nicht bleibt

Wiederkehrend: Eine Risikoanalyse ist kein einmaliger Vorgang. Bei signifikanten Produktänderungen oder neuen CVEs mit hohem CVSS-Score muss sie aktualisiert werden. Rechnen Sie mit 10–20 Stunden pro Jahr für die Pflege.

Kostenblock 2: SBOM-Erstellung und -Pflege

Was es ist: Eine Software Bill of Materials (SBOM) listet alle Komponenten des Produkts — direkte und transitive Abhängigkeiten — mit Versionsnummern und Lizenzen. CRA Anhang VII verlangt sie als Teil der technischen Dokumentation. Ohne SBOM keine saubere CVE-Überwachung.

Kostenlose Tools:

  • Syft (Anchore): Open Source, erzeugt SBOM im CycloneDX- oder SPDX-Format, gut für Container-Images und Dateisysteme. Kosten: 0 €, Einrichtungsaufwand 4–8 Stunden.
  • Trivy (Aqua Security): SBOM-Erzeugung plus CVE-Scan, gut für CI-Integration. Kosten: 0 €.
  • cdxgen: Breite Sprachunterstützung (Node, Python, Java, Rust, Go). Kosten: 0 €.

Kostenlose Tools reichen für viele KMU vollständig aus. Der Aufwand liegt in der korrekten Integration in den Build-Prozess — nicht im Tool selbst.

Kommerzielle Tools:

  • Dependency-Track (OWASP): selbstgehostet, kostenlos, aber Betriebsaufwand 5–10 h/Monat
  • Snyk, Black Duck, Mend.io: 2.000–8.000 €/Jahr für kleine Teams
  • Finite State, Anchore Enterprise: 5.000–20.000 €/Jahr

Empfehlung für Default-Klasse KMU: Syft + Dependency-Track (selbstgehostet) deckt die CRA-Anforderungen vollständig ab. Toolkosten: nahezu null. Betriebsaufwand: 5–10 Stunden/Monat.

Kostenrahmen SBOM:

  • Einmalige Einrichtung: 800–3.000 € (intern)
  • Laufend: 500–2.000 €/Monat (Betriebsaufwand intern), oder 0–8.000 €/Jahr für SaaS-Tools

Kostenblock 3: Technische Dokumentation

Was es ist: CRA Anhang VII definiert, was die technische Dokumentation enthalten muss — Produktbeschreibung, Risikoanalyse, Sicherheitsanforderungen, Testberichte, SBOM, Anleitung für sichere Inbetriebnahme und Nutzung. Marktüberwachungsbehörden können sie jederzeit anfordern.

Intern erstellt:

  • Technischer Redakteur oder Entwickler: 20–50 Stunden
  • Kostenrahmen: 1.600–6.000 € (intern)
  • Qualität und Struktur sind entscheidend. Eine schlecht strukturierte Dokumentation schützt nicht, wenn die Behörde Unterlagen anfordert.

Extern vergeben:

  • Technischer Redakteur mit CRA-Erfahrung: 5.000–15.000 €
  • Beratung, die Dokumentation erstellt und interne Mitarbeiter schult: 8.000–20.000 €

Laufende Pflege:

  • Bei jedem Produktrelease: 5–15 Stunden Update-Aufwand
  • Jährliche Überprüfung: 10–20 Stunden

Kostenblock 4: Rechtsberatung

Was es ist: Konformitätserklärung (DoC) nach CRA Art. 28, rechtssichere Vulnerability Disclosure Policy (VDP), ggf. Überprüfung von AGB und Kaufverträgen auf CRA-Konformität.

Das ist der Punkt, den viele übersehen: Die DoC ist zwar ein Dokument, das der Hersteller selbst ausfüllt und unterzeichnet — keine externe Prüfung, sondern eine Selbsterklärung. Trotzdem sollte ein Anwalt den ersten Entwurf prüfen. Falschaussagen in der DoC sind ein eigenständiges Haftungsrisiko.

Kostenrahmen:

  • Anwaltliche Prüfung DoC-Template: 1.500–4.000 €
  • Erstellung rechtssichere VDP: 1.000–3.000 €
  • Vollständige rechtliche Begleitung (DoC + VDP + AGB-Anpassung): 3.000–8.000 €
  • Kanzlei mit spezialisierter Cybersecurity/Produktrecht-Expertise liegt im oberen Bereich

Einmalig, danach nur bei wesentlichen Änderungen Anpassung nötig.

Kostenblock 5: Notified Body — nur wenn relevant

Was es ist: Für Produkte der Klassen Important I und Important II ist eine Konformitätsbewertung durch eine akkreditierte Stelle (Notified Body) verpflichtend. Für Default-Klasse-Produkte gilt Selbst-Assessment — dieser Kostenblock entfällt.

Sobald das Produkt als Important eingestuft wird (z. B. bestimmte industrielle Steuerungen, Netzwerkinfrastruktur, Produkte in kritischer Infrastruktur):

  • Important I (Typ-Prüfung durch Notified Body): 4.000–25.000 €
  • Important II (vollständige Qualitätssicherung): 15.000–60.000 €
  • Zeitaufwand: 3–12 Monate bis zur Zertifizierung

In der Praxis erleben wir: Dieser Kostenblock ist für viele KMU der eigentliche Show-Stopper — besonders wenn sie ihr Produkt in die falsche Klasse einordnen oder sich durch Produktänderungen in eine höhere Klasse manövrieren.

Kostenblock 6: Laufende CVE-Überwachung

Was es ist: CRA Art. 13 verlangt, dass Hersteller aktiv ausgenutzten Schwachstellen unverzüglich adressieren und Sicherheitsupdates über den gesamten Support-Zeitraum bereitstellen. Das erfordert ein laufendes Monitoring der verwendeten Abhängigkeiten.

Intern, manuell:

  • 5–10 Stunden/Monat für ein Produkt mit 40–60 Abhängigkeiten
  • Kostenrahmen: 400–1.200 €/Monat (intern)

Automatisiert (CI-Integration):

  • Dependabot (GitHub): kostenlos, reagiert auf neue CVEs automatisch
  • Renovate Bot: kostenlos, breite Sprachunterstützung
  • Trivy in CI: kostenlos, Alerts bei kritischen CVEs
  • Kostenrahmen: 0–200 €/Monat (Tool) + 2–5 Stunden/Monat Review

Kommerzielle Lösungen:

  • Snyk, Mend.io: 500–3.000 €/Jahr für kleine Teams
  • Bieten besseren False-Positive-Filter und Prioritisierung

Konkret bedeutet das: Dependabot/Renovate + Trivy deckt die grundlegenden Anforderungen ab. Wichtig ist nicht das Tool, sondern dass kritische CVEs tatsächlich in einem definierten SLA gepatcht werden — und dass dieser Prozess dokumentiert ist.

Gesamtkosten: Was ein KMU einplanen sollte

Einmalige Implementierungskosten (Default-Klasse, 1 Produkt)

MaßnahmeKonservativRealistischExtern vergeben
Risikoanalyse3.200 €6.000 €10.000 €
SBOM-Einrichtung800 €2.000 €5.000 €
Technische Dokumentation1.600 €4.000 €12.000 €
Rechtsberatung3.000 €5.000 €8.000 €
Gesamt einmalig8.600 €17.000 €35.000 €

Laufende Jahreskosten

MaßnahmeMinimalRealistisch
CVE-Monitoring2.400 €6.000 €
Dokumentationspflege800 €2.400 €
Risikoanalyse-Updates800 €1.600 €
Rechtskosten laufend0 €1.000 €
Gesamt jährlich4.000 €11.000 €

Gesamtbild: 15.000–50.000 € Initialaufwand, 5.000–15.000 €/Jahr laufend.

Was viele CRA-Berater nicht sagen: Die teuerste Maßnahme ist übrigens nicht die SBOM. Es ist die Erkenntnis, dass das eigene Produkt — oft ein industrielles MQTT-Gateway oder eine embedded-Software für Heizungssteuerungen — wesentliche Sicherheitsanforderungen nach Anhang I schlicht nicht erfüllt und neu entwickelt werden muss.

Vergleich: Was kostet ein Sicherheitsvorfall?

Diese Zahlen entstammen dem IBM Cost of a Data Breach Report 2024 und Branchenberichten für den europäischen Mittelstand:

  • Durchschnittliche Kosten eines Sicherheitsvorfalls (KMU, DACH): 180.000–420.000 €
  • Downtime-Kosten bei einem Ransomware-Angriff: 7.500–25.000 €/Tag
  • Kosten für forensische Untersuchung: 15.000–80.000 €
  • Reputationsschaden (schwer quantifizierbar): In Kundenbefragungen nannten 31 % der B2B-Käufer einen öffentlichen Sicherheitsvorfall beim Hersteller als Grund für Lieferantenwechsel

Für ein Produkt, das Teil kritischer Infrastruktur ist — auch industrielle IoT-Geräte können das sein — kommen regulatorische Meldepflichten nach NIS2 und potenzielle Produkthaftungsansprüche der Kunden hinzu.

Vergleich: Was kostet ein CRA-Bußgeld?

CRA Art. 64 sieht vor:

  • Bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes (der höhere Wert) bei den schwersten Verstößen (keine Konformität mit wesentlichen Anforderungen)
  • Bis zu 10 Mio. € oder 2 % für weniger schwerwiegende Verstöße
  • Bis zu 5 Mio. € oder 1 % für unrichtige Auskünfte

Für ein KMU mit 3 Mio. € Jahresumsatz sind das 75.000 €–375.000 € an Bußgeldobergrenze. Hinzu kommt das Verkaufsverbot, das den laufenden Cashflow stoppt.

Ein realistisches Bußgeld für ein KMU, das erstmalig und ohne böswillige Absicht gegen CRA-Anforderungen verstößt, wird erfahrungsgemäß deutlich unter der Obergrenze liegen — aber selbst 30.000–50.000 € in Kombination mit einem vorläufigen Verkaufsverbot sind für ein 20-Personen-Unternehmen kritisch. Das klingt abstrakt. Ist es aber nicht.

Warum früh investieren günstiger ist

Die Compliance-Kosten sehen auf dem Papier hoch aus. In der Relation zum Gesamtbild sind sie es nicht:

  • Compliance-Kosten sind planbar, einmalig hoch, dann sinkend
  • Vorfall-Kosten sind unplanbar, treffen in der schlechtesten Zeit, und übersteigen Compliance-Kosten in 90 % der Fälle
  • Bußgelder kommen on top, nicht statt der anderen Kosten

Wer jetzt mit der Dokumentation beginnt, baut außerdem Know-how auf, das sich im Vertrieb auszahlt. Industriekunden fragen zunehmend nach Sicherheitsnachweisen. Eine saubere SBOM und eine vollständige technische Dokumentation sind Verkaufsargumente — besonders wenn der Wettbewerb noch nicht so weit ist.

Wie Sie die Kosten senken

Priorität 1: Intern aufbauen, extern nur für Spitzenleistung. Die wichtigsten Kompetenzen — Risikoanalyse, Dokumentation, CVE-Triage — sollten intern vorhanden sein. Externe Berater beschleunigen den Start und setzen Standards, ersetzen aber nicht das interne Verständnis.

Priorität 2: Tool-Stack kostenlos halten, solange er ausreicht. Syft, Dependency-Track und Trivy decken SBOM und CVE-Monitoring vollständig ab. Für ein Default-Klasse-Produkt gibt es keine zwingende Notwendigkeit für kommerzielle Tools.

Priorität 3: Templates kaufen, nicht bei null anfangen. Risikoanalyse-Templates, DoC-Vorlagen und VDP-Muster für CRA existieren am Markt. Sie sparen nicht die inhaltliche Arbeit, aber die Strukturierungsarbeit.

Weiterführend:

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.