Bei den schwersten Verstößen drohen unter dem Cyber Resilience Act (CRA) Geldbußen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Diese CRA Sanktionen sind der Durchsetzungshebel hinter den Pflichten, die der Cyber Resilience Act Herstellern, Importeuren und Händlern auferlegt. Wer die Reichweite der Geldbußen kennt, ordnet auch das Gewicht der einzelnen Pflichten richtig ein.
Artikel 64 der Verordnung (EU) 2024/2847 verpflichtet die Mitgliedstaaten, Sanktionen für Verstöße gegen den CRA festzulegen. Die Verordnung gibt dafür drei nach Schwere abgestufte Obergrenzen für Geldbußen vor, von bis zu 15 Millionen Euro bis zu 5 Millionen Euro. Die konkrete Ausgestaltung und Verhängung bleibt nationalem Recht überlassen, die Sanktionen müssen aber wirksam, verhältnismäßig und abschreckend sein.
Die Festlegung der Sanktionen selbst liegt damit bei den Mitgliedstaaten. Nach Artikel 64 Absatz 1 erlassen sie die Vorschriften, treffen die zur Umsetzung erforderlichen Maßnahmen und teilen diese der Kommission mit. Der CRA setzt nur den europaweit einheitlichen Rahmen, indem er die Obergrenzen und die zu sanktionierenden Pflichten benennt.
Die drei Sanktionsstufen im Detail
Der CRA staffelt die Obergrenzen für Geldbußen nach der Schwere des Verstoßes. Maßgeblich ist, gegen welche Pflicht verstoßen wurde. Bei Unternehmen gilt jeweils der höhere der beiden Werte, also entweder der feste Eurobetrag oder der prozentuale Anteil am weltweiten Jahresumsatz des vorangegangenen Geschäftsjahres.
| Stufe | Obergrenze | Betroffene Pflichten |
|---|---|---|
| 1 | bis 15 Mio. EUR oder 2,5 % | Grundlegende Cybersicherheitsanforderungen (Anhang I), Herstellerpflichten (Art. 13), Meldepflichten (Art. 14) |
| 2 | bis 10 Mio. EUR oder 2 % | Pflichten von Importeuren und Händlern (Art. 18 bis 23), benannten Stellen und weitere Verfahrenspflichten (u. a. Art. 28, 30 bis 33, 39, 41, 47, 49, 53) |
| 3 | bis 5 Mio. EUR oder 1 % | Falsche, unvollständige oder irreführende Angaben gegenüber benannten Stellen und Marktüberwachungsbehörden |
Die oberste Stufe trifft den Kern der Verordnung. Sie greift, wenn ein Produkt die grundlegenden Cybersicherheitsanforderungen aus Anhang I nicht erfüllt, oder wenn ein Hersteller gegen seine Pflichten aus Artikel 13 oder gegen die Meldepflichten nach Artikel 14 verstößt. Ein vernetzter Embedded Controller mit Web-Interface, der ohne wirksamen Schutz gegen unbefugten Zugriff in Verkehr gebracht wird, fällt damit in die schärfste Sanktionskategorie.
Die mittlere Stufe erfasst vor allem Verfahrens-, Verifizierungs- und Kennzeichnungspflichten. Dazu gehören die Pflichten von Importeuren und Händlern sowie eine Reihe von Pflichten benannter Stellen und weiterer Akteure.
Die niedrigste Stufe sanktioniert ausschließlich Falschangaben gegenüber benannten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin.
Wie bemisst die Behörde die Höhe der Geldbuße?
Innerhalb der Obergrenzen ist die konkrete Höhe nicht beliebig. Die Marktüberwachungsbehörde berücksichtigt in jedem Einzelfall alle relevanten Umstände und ausdrücklich drei Kriterien:
- Art, Schwere und Dauer des Verstoßes samt seinen Folgen (Buchstabe a),
- ob bereits dieselbe oder eine andere Marktüberwachungsbehörde dem Wirtschaftsakteur für einen ähnlichen Verstoß Geldbußen auferlegt hat (Buchstabe b),
- sowie Größe und Marktanteil des Akteurs, insbesondere mit Blick auf Kleinst-, kleine und mittlere Unternehmen (KMU) einschließlich Start-ups (Buchstabe c).
Diese Kriterien können sowohl mildernd als auch erschwerend wirken. Erwägungsgrund 120 stellt klar, dass ein fortdauernder Verstoß desselben Akteurs in mehreren Mitgliedstaaten erschwerend wirken kann, während die Berücksichtigung bereits in anderen Mitgliedstaaten verhängter Sanktionen mildernd wirkt.
Der Gesamtbetrag aller Geldbußen, die mehrere Mitgliedstaaten für dieselbe Art von Verstoß gegen denselben Akteur verhängen, muss dem Grundsatz der Verhältnismäßigkeit entsprechen. Wird eine Geldbuße gegen eine Person verhängt, die kein Unternehmen ist, trägt die Behörde nach Erwägungsgrund 121 dem allgemeinen Einkommensniveau im betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Person Rechnung.
Welche Erleichterung gilt für Kleinst- und Kleinunternehmen?
Für Kleinst- und Kleinunternehmen gibt es eine gezielte Ausnahme. Diese Hersteller werden nicht mit Geldbußen belegt, wenn sie allein die 24-Stunden-Frist für die Frühwarnung bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall versäumen (Artikel 14 Absatz 2 Buchstabe a oder Artikel 14 Absatz 4 Buchstabe a). Die Meldepflicht selbst bleibt bestehen, nur die schärfste Sanktion für das reine Verfehlen dieser ersten Frist entfällt.
Diese Erleichterung greift allerdings erst durch die Berichtigung vom 2. Juli 2025 so, wie sie gedacht war. In der ursprünglich veröffentlichten Fassung nahm der CRA die Befreiung nur von den Absätzen 3 bis 9 des Sanktionsartikels aus, nicht aber von Absatz 2. Genau dort ist jedoch die schärfste Geldbuße von bis zu 15 Millionen Euro angesiedelt, unter die ein Verstoß gegen die Meldepflichten des Artikels 14 fällt. Nach dem ursprünglichen Wortlaut hätten Kleinst- und Kleinunternehmen für das Versäumen der 24-Stunden-Frist also trotz der vorgesehenen Ausnahme mit der höchsten Sanktionsstufe belegt werden können. Die Berichtigung erstreckt die Befreiung nun auf die Absätze 2 bis 9 und bezieht damit die oberste Stufe ein. Damit ändert sie die Sanktionslage für diese Unternehmen real: Das reine Verfehlen der Frühwarnfrist kann nicht mehr mit der 15-Millionen-Geldbuße geahndet werden.
Die Hintergründe dieser und weiterer Korrekturen ordnen wir im Beitrag zur Klarstellung zum CRA ein.
Warum Open-Source-Verwalter von Geldbußen ausgenommen sind
Eine zweite Ausnahme betrifft die Verwalter quelloffener Software. Die Geldbußen gelten für sie bei keinem Verstoß gegen die Verordnung. Diese Befreiung ist umfassend und nicht auf einzelne Pflichten begrenzt. Erwägungsgrund 120 ergänzt, dass die Mitgliedstaaten gegen Open-Source-Verwalter auch keine anderweitigen finanziellen Sanktionen verhängen sollen.
Welche besondere Rolle diese Akteure unter dem CRA einnehmen, behandeln wir gesondert im Beitrag zu Open-Source-Software unter dem CRA.
Wer verhängt die CRA Sanktionen?
Der CRA setzt die Obergrenzen, die Durchsetzung selbst liegt bei den Mitgliedstaaten. Welche Stelle eine Geldbuße konkret verhängt, hängt vom jeweiligen Rechtssystem ab. Die Mitgliedstaaten können ihre Vorschriften so anwenden, dass die Geldbußen von zuständigen nationalen Gerichten oder von anderen Stellen entsprechend der national festgelegten Zuständigkeitsverteilung verhängt werden. Die Anwendung muss in allen Mitgliedstaaten eine gleichwertige Wirkung haben. In Deutschland greift damit die übliche Aufteilung zwischen Marktüberwachungsbehörden und gerichtlicher Kontrolle.
Wann die zugrunde liegenden Pflichten zu welchem Zeitpunkt greifen, ergibt sich aus den Übergangsfristen des Cyber Resilience Act; die Sanktionsfähigkeit eines Verstoßes setzt voraus, dass die verletzte Pflicht zum fraglichen Zeitpunkt bereits anwendbar war.
Verhältnis zu Marktrücknahme und Rückruf
Geldbußen stehen nicht für sich allein. Sie können je nach den Umständen des Einzelfalls zusätzlich zu anderen Korrektur- oder einschränkenden Maßnahmen verhängt werden, die eine Marktüberwachungsbehörde für denselben Verstoß auferlegt.
Solche Maßnahmen reichen von der Anordnung, ein Produkt mit den Anforderungen in Einklang zu bringen, über die Beschränkung der Bereitstellung bis zur Marktrücknahme und zum Rückruf bereits ausgelieferter Produkte. Sie folgen dem allgemeinen Marktüberwachungsrahmen der Verordnung (EU) 2019/1020, auf den der CRA aufsetzt.
Damit kann ein einzelner Verstoß mehrere Folgen zugleich auslösen: die Pflicht, das Produkt zu korrigieren oder vom Markt zu nehmen, und daneben eine Geldbuße. Verhängt eine Behörde eine Geldbuße, teilt sie dies den Marktüberwachungsbehörden der anderen Mitgliedstaaten über das Informations- und Kommunikationssystem entsprechend der Verordnung (EU) 2019/1020 mit. Die Durchsetzung ist damit europaweit vernetzt.