Kurzfassung. Für einen typischen EU-KMU-Hersteller (20 bis 50 Vollzeitkräfte, eine Produktlinie, kein bestehendes CVD-Programm) liegen die erwarteten Kosten für die Einhaltung der CRA-Meldefrist nach Artikel 14 am 11. September 2026 bei rund 39.700 Euro, mit einem 90-%-Konfidenzintervall von etwa 33.900 bis 45.500 Euro. Das deckt rund 60 Personentage interner Arbeit, rund 3 Personentage externer Rechtsprüfung und rund 3.800 Euro an Werkzeugen ab. Die Varianz wird vom Prozessdesign und der Einrichtung der Bedrohungserkennung dominiert. Das sind die Teile der Arbeit, die am stärksten vom Ausgangsreifegrad eines Herstellers abhängen.
Die Frist, die 2026 tatsächlich eintrifft
Viel CRA-Berichterstattung vermengt zwei sehr unterschiedliche Meilensteine. Die Frist am 11. Dezember 2027 ist die große: vollständige Konformität, CE-Kennzeichnung, grundlegende Anforderungen nach Anhang I, der ganze regulatorische Apparat. Die Frist am 11. September 2026 ist enger gefasst, aber sie hat Zähne, und sie kommt zuerst.
Durchsetzbar am 11. September 2026 ist Artikel 14: die Pflicht, ENISA (über das benannte nationale CSIRT) zu benachrichtigen, wenn in einem auf dem EU-Markt befindlichen Produkt mit digitalen Elementen eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Sicherheitsvorfall festgestellt wird. Die drei Fristen, die greifen, sind:
- 24 Stunden. Frühwarnung an das benannte CSIRT (das an ENISA weiterleitet).
- 72 Stunden. Vollständige Schwachstellen- oder Vorfallmeldung mit technischem Detail.
- 14 Tage. Abschlussbericht bei Schwachstellen, oder 1 Monat bei schwerwiegenden Vorfällen.
Sie gilt für Produkte, die bereits auf dem Markt sind, einschließlich jedes Produkts, das am 11. September 2026 noch unterstützt wird. Befindet sich Ihr Produkt am 11. September 2026 noch in seinem Support-Lebenszyklus, sind Sie in der Pflicht. Bußgelder für Verstöße gegen Artikel 14 können 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen, je nachdem, was höher ist, wobei Kleinst- und Kleinunternehmen ausdrücklich von Bußgeldern speziell für das Versäumen der 24-Stunden-Frühwarnung ausgenommen sind (Erwägungsgrund 120) und Marktüberwachungsbehörden den KMU-Status bei der Bemessung jeder Strafe berücksichtigen müssen (Artikel 47).
Dieser letzte Punkt ist für die folgende Kostenschätzung wichtig: Ein KMU baut kein Compliance-Theater im Goldman-Sachs-Format. Es baut einen glaubwürdigen, verhältnismäßigen Prozess, der einer Prüfung standhalten kann.
Warum PERT dafür?
Compliance-Projekte sind aus zwei Gründen schätzungsresistent. Die Arbeit ist von Natur aus neu (die meisten KMU tun dies zum ersten Mal), und der Umfang ist auslegungsbedürftig (Artikel 14 sagt „unverzüglich“ neben der 24-Stunden-Frist und lässt Raum für Streit über Randfälle). Punktschätzungen wirken falsch. PERT (Program Evaluation and Review Technique) begegnet dem, indem es drei ehrliche Fragen zu jeder Aufgabe stellt.
- O, optimistisch. Bester Fall des Aufwands, wenn alles zusammenpasst.
- M, wahrscheinlich. Das häufigste Ergebnis.
- P, pessimistisch. Realistischer schlimmster Fall (nicht katastrophal, nur schlecht).
Die erwarteten Kosten für jede Aufgabe sind dann:
E = (O + 4M + P) / 6
Und die Standardabweichung ist:
σ = (P − O) / 6
Summen aggregieren sich durch Addition; die Gesamtvarianz ist die Summe der einzelnen Varianzen (unter Annahme der Unabhängigkeit auf Aufgabenebene), und das Gesamt-σ ist deren Quadratwurzel. Das Ergebnis ist eine belastbare Mittelwertschätzung mit einem quantifizierten Unsicherheitsband. Viel ehrlicher als eine einzelne Zahl.
Ein Vorbehalt vorweg: Die Konfidenzintervalle von PERT sind nur dann gut kalibriert, wenn die Aufgabendauern annähernd glockenförmig sind. Compliance-Aufgaben haben hässliche rechte Ausläufer (der Regulierer ändert die Leitlinie; der Rechtsberater geht in den Urlaub; ein echter Vorfall trifft mitten in der Umsetzung ein). Behandeln Sie die untenstehende Obergrenze als Planungsuntergrenze, nicht als Obergrenze.
Arbeitsaufschlüsselung: was ein KMU tatsächlich aufbauen muss
Die Frist im September 2026 erfordert kein vollständiges Programm zur koordinierten Offenlegung von Schwachstellen. Aber sie erfordert genug Infrastruktur, um (unter Druck) innerhalb von 24 Stunden zu erkennen, zu entscheiden und zu melden. Rückwärts von dieser operativen Anforderung gedacht, ist der minimal tragfähige Umfang:
- Scoping und Lückenbewertung. Produkte im Geltungsbereich bestätigen, identifizieren, was fehlt.
- Richtlinie zur CVD/Offenlegung von Schwachstellen. Entworfen, geprüft, veröffentlicht (Artikel-13-Basis; pragmatisch nötig, um überhaupt Meldungen zu empfangen).
- Eingangsmechanismus.
security.txt, Kontaktkanal, PGP oder gleichwertige sichere Nachrichtenübermittlung. - PSIRT-/Reaktionsprozessdesign. Benannte Rollen, Eskalation, Entscheidungsbefugnis für „wird dies aktiv ausgenutzt?“.
- Fähigkeit zur Erkennung aktiver Ausnutzung. Kundenmeldekanäle, Überwachung von Bedrohungsinformationen, interne Auslöser.
- Artikel-14-Meldevorlagen und Runbook. Vorentworfene Einreichungen, Entscheidungsbaum, wer-unterschreibt-was.
- CSIRT-Kontaktregister. Welches nationale CSIRT, in welchem Mitgliedstaat, mit aktuellen Kontakten.
- Interne Schulung und Sensibilisierung. Entwicklung, Support, Geschäftsleitung dazu, was die Uhr auslöst.
- Tabletop-Übung. Eine vollständige Simulation vor dem Go-live.
- Werkzeuge (SaaS-Abonnement). Prüfpfad, sichere Kommunikation, Meldeablauf.
- Externe Rechtsprüfung. Freigabe der Richtlinie und der Meldevorlagen durch Rechtsbeistand.
- Operative Reserve. Kapazität, den Prozess vom 11. September bis zum Jahresende tatsächlich zu betreiben.
PERT-Kostentabelle
Interner Mischsatz 500 €/Tag; externe Rechts-/Beratungsleistung 1.200 €/Tag. Werkzeuge sind direkte Kosten.
| # | Aufgabe | O (€) | M (€) | P (€) | E (€) | σ (€) |
|---|---|---|---|---|---|---|
| 1 | Scoping und Lückenbewertung | 2.340 | 5.460 | 10.920 | 5.850 | 1.430 |
| 2 | Entwurf der CVD-Richtlinie | 1.920 | 4.480 | 9.600 | 4.907 | 1.280 |
| 3 | Einrichtung des Eingangsmechanismus | 1.000 | 2.500 | 6.000 | 2.833 | 833 |
| 4 | PSIRT-/Prozessdesign | 1.500 | 4.000 | 9.000 | 4.417 | 1.250 |
| 5 | Erkennung aktiver Ausnutzung | 1.000 | 3.000 | 7.500 | 3.417 | 1.083 |
| 6 | Vorlagen und Runbook | 1.000 | 2.500 | 5.000 | 2.667 | 667 |
| 7 | CSIRT-Kontaktregister | 500 | 1.000 | 2.500 | 1.167 | 333 |
| 8 | Interne Schulung | 1.000 | 2.000 | 4.000 | 2.167 | 500 |
| 9 | Tabletop-Übung | 500 | 1.500 | 3.000 | 1.583 | 417 |
| 10 | Werkzeuge (SaaS, erstes Jahr) | 1.000 | 3.000 | 10.000 | 3.833 | 1.500 |
| 11 | Externe Rechtsprüfung | 1.200 | 3.600 | 8.400 | 4.000 | 1.200 |
| 12 | Operative Reserve (Sept. bis Dez. 2026) | 1.000 | 2.500 | 6.000 | 2.833 | 833 |
| Summen | 13.960 | 35.540 | 81.920 | 39.674 € | 3.532 € |
Erwartete Gesamtkosten: 39.674 €. Aggregiertes σ: 3.532 €.
Mit einem 90-%-Konfidenzintervall in Normalapproximation (E ± 1,645σ): rund 33.900 bis 45.500 €. Das 95-%-Intervall (±1,96σ) weitet sich auf etwa 32.750 bis 46.600 €.
Die einzelne größte Position ist das anfängliche Scoping und die Lückenbewertung, was Sinn ergibt. Für ein KMU ohne vorheriges Programm werden hier die Entscheidungen getroffen, die jede nachgelagerte Aufgabe prägen. Die unsicherste Position sind die Werkzeuge (σ = 1.500 €), was die große Kluft zwischen der Einführung einer Freemium-SaaS-Lösung und einer schwereren kommerziellen Plattform widerspiegelt.
Was die Varianz verbirgt
Das aggregierte σ von 3.532 € wirkt relativ zum Mittelwert von 39.674 € eng. Das liegt daran, dass das Modell die Unabhängigkeit der Aufgaben annimmt. In Wirklichkeit pflanzt sich eine einzige schlechte vorgelagerte Entscheidung fort: Stuft Ihre Lückenbewertung ein Produkt fälschlich als außerhalb des Geltungsbereichs ein, machen Sie die Richtlinie, die Vorlagen, die Schulung und das Tabletop neu. Eine Korrelation zwischen den Aufgaben würde die realistische Obergrenze um 30 bis 50 % weiten.
Eine ehrlichere Planungszahl für KMU-Vorstände lautet daher: Budgetieren Sie 40.000 Euro für den Erwartungsfall, halten Sie 15.000 bis 20.000 Euro an Reserve bereit, und seien Sie nicht überrascht, wenn das Gesamtergebnis näher bei 55.000 bis 60.000 Euro landet, sobald Sie die Opportunitätskosten des Personals zusätzlich zur direkten Arbeit berücksichtigen.
Was die Zahl bewegt
Der größte einzelne Hebel ist der Ausgangsreifegrad. Ein KMU, das bereits Folgendes hat:
- Ein Sicherheitspostfach und einen grundlegenden Triage-Prozess. Spart rund 8.000 €.
- Ein SOC-2- oder ISO-27001-Programm. Spart rund 10.000 € (der größte Teil der Dokumentation existiert).
- Eine bestehende Kundensupport-Funktion, die die Erfassung übernehmen kann. Spart rund 3.000 €.
…kann plausibel unter 25.000 € landen. Ein KMU, das bei absolut null beginnt, mit Vertrieb in mehreren Ländern und ohne interne Sicherheitsfähigkeit, landet nördlich von 60.000 € und sollte das einplanen.
Der zweite Hebel ist Eigenbau gegen Zukauf bei den Werkzeugen. Ein selbstgebauter Prüfpfad- und Meldeablauf rund um geteilte Postfächer und Tabellen ist technisch möglich und oberflächlich günstig. Er scheitert in der Regel beim ersten Mal, wenn er unter regulatorischer Prüfung Nachweise liefern muss, also genau dann, wenn es darauf ankommt. SaaS-Werkzeuge, die eigens für Artikel 14 gebaut sind (einschließlich der kostenlosen Stufe von CVD Portal), sind dafür ausgelegt, genau diese Aufgabe zu erledigen, und entfernen Aufgabe 10 als nennenswerte Kostenposition.
Der dritte Hebel ist, ob Sie Hersteller eines Produkts oder vieler sind. Die obige Schätzung nimmt eine einzige Produktlinie an. Jede zusätzliche Produktlinie im CRA-Geltungsbereich fügt rund 2.000 bis 4.000 € an Grenzkosten hinzu, hauptsächlich bei Vorlagen, Schulung und dem Tabletop.
Was diese Schätzung bewusst ausschließt
Um den Umfang ehrlich zu halten, sind drei Kategorien nicht in der 40.000-Euro-Zahl enthalten.
- Konformitätsarbeit nach Anhang I für die Frist im Dezember 2027 (SBOM-Erstellung, Secure-by-Design-Kontrollen, technische Akte, CE-Kennzeichnung). Das ist ein separates, viel größeres Budget, typischerweise das 3- bis 5-Fache dieser Zahl für dasselbe KMU-Profil.
- Einbindung einer notifizierten Stelle für wichtige oder kritische Produkte nach Anhang III/IV. Nicht durch Artikel 14 ausgelöst.
- Kosten der Vorfallreaktion, falls Sie tatsächlich eine Artikel-14-Meldung einreichen müssen. Die Kosten dafür, bereit zu sein, werden hier modelliert; die Kosten dafür, eine echte zu betreiben, sind vorfallspezifisch und nicht gedeckelt.
Die Verhältnismäßigkeitsdividende
Ein unterschätztes Merkmal des CRA für KMU: Die Verordnung schreibt ausdrücklich eine verhältnismäßige Durchsetzung vor. Artikel 47 verpflichtet Marktüberwachungsbehörden, den KMU-Status zu berücksichtigen; Erwägungsgrund 120 verlangt dies erneut bei der Bemessung von Bußgeldern; und Kleinst- sowie Kleinunternehmen sind von Bußgeldern für das Versäumen der 24-Stunden-Frühwarnung vollständig ausgenommen. Das Durchsetzungsmuster der DSGVO (zuerst Leitlinien und Korrekturmaßnahmen, später Bußgelder für Wiederholungstäter) ist die realistische Ausgangsbasis.
Das senkt nicht die Kosten dafür, bereit zu sein. Es bedeutet aber, dass der Nachteil davon, leicht unvollkommen zu sein, viel geringer ist, als die Schlagzeilenzahl von 10 Mio. Euro / 2 % Umsatz nahelegt. Ein KMU, das sichtbar 40.000 Euro in einen glaubwürdigen Artikel-14-Prozess investiert, seine Entscheidungen dokumentiert und in gutem Glauben mitgewirkt hat, befindet sich in einer ganz anderen Durchsetzungslage als eines, das nichts getan hat.
Methodische Anmerkungen
PERT wurde hier gegenüber Monte Carlo oder einfachen Expertenschätzungen gewählt, weil es (a) ein strukturiertes Drei-Punkt-Denken bei jeder Aufgabe erzwingt, (b) einen belastbaren Erwartungswert plus σ ohne Simulationswerkzeuge erzeugt und (c) reproduzierbar ist. Jeder Leser dieses Beitrags kann seine eigenen O/M/P-Zahlen einsetzen und neu rechnen. Die Nachteile sind die Unabhängigkeitsannahme (reale Aufgaben korrelieren) und das Konfidenzintervall in Normalapproximation (reale Kostenverteilungen sind rechtsschief). Behandeln Sie die zentralen 40.000 Euro als Planungszahl und die Obergrenze als weiche Untergrenze, nicht als Obergrenze.
Die Zahlen sind in Euro von 2026, ohne Mehrwertsteuer, und nehmen westeuropäische Lohnsätze an. Osteuropäische KMU können die Arbeitspositionen typischerweise halbieren; das Vereinigte Königreich und die nordischen Länder liegen 20 bis 30 % höher.
Nächste Schritte, wenn Sie ein KMU sind, das diese Arbeit plant
- Führen Sie jetzt einen eintägigen Scoping-Workshop durch, um den Umfang zu bestätigen und diese Schätzungen mit Ihren eigenen O/M/P-Zahlen zu aktualisieren.
- Reservieren Sie eine Budgetposition von 40.000 bis 60.000 Euro für die Artikel-14-Bereitschaft getrennt vom größeren Konformitätsprogramm für 2027.
- Entscheiden Sie früh über Eigenbau gegen Zukauf bei den Werkzeugen. Das verändert die Form des restlichen Plans.
- Planen Sie das Tabletop spätestens für Q2 2026. Sie wollen die Generalprobe mindestens drei Monate vor dem Go-live.
Wenn Sie Ihre eigenen KMU-PERT-Zahlen gegen diese Ausgangsbasis modellieren möchten, führt die kostenlose CRA-Bereitschaftsbewertung durch die relevanten Artikel-14-Pflichten und erzeugt eine personalisierte Lückenliste, die sich direkt der obigen Arbeitsaufschlüsselung zuordnet.
Haben Sie eigene Zahlen aus dem Betrieb dieses Prozesses? Widersprechen Sie den Schätzungen, insbesondere den Varianzwerten, per Antwort oder über den Kontaktkanal. Dieser Beitrag ist bewusst ein Ausgangspunkt, keine fertige Prognose.