Cyber Resilience Act
Bußgelder und Marktüberwachung
Der CRA wird durch nationale Marktüberwachungsbehörden durchgesetzt, die Produkte prüfen, Unterlagen anfordern und nicht konforme Produkte vom Markt nehmen können. Der Rahmen für Bußgelder ist gestaffelt: Am höchsten geahndet werden Verstöße gegen die grundlegenden Sicherheitsanforderungen (Anhang I) sowie die Pflichten aus den Artikeln 13 und 14.
Warum diese Pflicht wichtig ist
Die Bußgeldhöhe unterstreicht, dass der CRA kein Papiertiger ist. Neben Geldbußen droht das wirtschaftlich oft schwerere Risiko, dass ein Produkt vom EU-Markt genommen wird. Für Kleinst- und Kleinunternehmen sind Erleichterungen vorgesehen, die Grundpflichten bleiben aber bestehen.
So setzen Sie die Pflicht um
- 1Bußgeldrisiken den einzelnen CRA-Pflichten zuordnen (höchste Stufe: Anhang I, Art. 13, Art. 14)
- 2Nachweisfähigkeit sicherstellen (Dokumentation, Meldungen, Konformität)
- 3Prozess für die Zusammenarbeit mit der Marktüberwachung festlegen
- 4Verantwortlichkeiten für CRA-Konformität in der Organisation verankern
- 5Konformitätsstatus regelmäßig intern überprüfen
Diese Nachweise sind gefragt
- Übersicht der CRA-Pflichten mit zugeordnetem Bußgeldrisiko
- Belege der Konformität (Dokumentation, Erklärungen, Meldungen)
- Benannte Verantwortliche für die CRA-Konformität
Häufige Fehler
Risiko nur finanziell gesehen
Der Fokus liegt allein auf der Geldbuße, obwohl die Marktrücknahme eines Produkts oft der größere Schaden ist.
Kein Verantwortlicher
Niemand ist klar für die CRA-Konformität zuständig, sodass Pflichten zwischen Entwicklung, Vertrieb und Recht untergehen.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Meldepflicht
Eine Meldepflicht verpflichtet Organisationen, bestimmte Sicherheitsvorfälle oder Datenpannen innerhalb festgelegter Fristen an Behörden und gegebenenfalls Betroffene zu melden.
Häufig gestellte Fragen
Wie hoch sind die Bußgelder nach dem CRA?
Verstöße gegen die grundlegenden Anforderungen (Anhang I) sowie die Pflichten aus Artikel 13 und 14 können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Für andere Verstöße gelten niedrigere Stufen.
Wer setzt den CRA durch?
Nationale Marktüberwachungsbehörden. Sie können Unterlagen anfordern, Produkte prüfen, Korrekturmaßnahmen verlangen und nicht konforme Produkte vom Markt nehmen.
Gibt es Erleichterungen für kleine Unternehmen?
Ja. Der CRA sieht für Kleinst- und Kleinunternehmen bestimmte Erleichterungen vor, etwa bei den Meldefristen. Die grundlegenden Pflichten gelten jedoch weiterhin.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
