Für einen typischen EU-KMU-Hersteller (20 bis 50 Vollzeitkräfte, eine Produktlinie, kein bestehendes CVD-Programm) liegen die erwarteten Kosten für die Einhaltung der CRA-Meldefrist nach Artikel 14 am 11. September 2026 bei rund 39.700 Euro, mit einem 90-%-Konfidenzintervall von etwa 33.900 bis 45.500 Euro.
Warum PERT für Compliance-Arbeit
Punktschätzungen sind bei erstmaliger Compliance-Arbeit unehrlich. PERT (Program Evaluation and Review Technique) erzwingt für jede Aufgabe ein strukturiertes Denken in drei Punkten: optimistisch, wahrscheinlich, pessimistisch. Der Erwartungswert ist E = (O + 4M + P) / 6, mit der Standardabweichung σ = (P - O) / 6. Das Ergebnis ist ein belastbarer Mittelwert plus ein quantifiziertes Unsicherheitsband, reproduzierbar für jeden, der bereit ist, seine eigenen Zahlen einzusetzen.
Worin die Arbeit tatsächlich besteht
Die Frist im September 2026 erfordert kein vollständiges Programm zur koordinierten Offenlegung von Schwachstellen. Sie erfordert aber genug Infrastruktur, um unter Druck innerhalb von 24 Stunden zu erkennen, zu entscheiden und zu melden. Der minimal tragfähige Umfang zerfällt in zwölf Arbeitspakete, vom Scoping bis zur operativen Reserve für das vierte Quartal.
- Scoping und Lückenbewertung (E = 5.850 Euro)
- Entwurf der CVD-Richtlinie (E = 4.907 Euro)
- Eingangsmechanismus, PSIRT-Design, Erkennungsfähigkeit, Vorlagen und Runbook
- CSIRT-Kontaktregister, Schulung, Tabletop-Übung
- Werkzeuge, externe Rechtsprüfung, operative Reserve
Was die Zahl bewegt
Der Ausgangsreifegrad ist der größte Hebel. Bestehende Triage, SOC-2- oder ISO-27001-Dokumentation und eine Kundensupport-Funktion, die die Erfassung übernehmen kann, können zusammen bis zu 21.000 Euro vom Ausgangswert abziehen. Die Entscheidung zwischen Eigenbau und Zukauf bei den Werkzeugen ist der zweitgrößte. Selbstgebaute Prüfpfad- und Meldeabläufe scheitern in der Regel unter regulatorischer Prüfung, also genau dann, wenn es darauf ankommt.
Die Verhältnismäßigkeitsdividende
Artikel 47 verpflichtet die Marktüberwachungsbehörden, den KMU-Status zu berücksichtigen; Erwägungsgrund 120 verlangt dies erneut bei der Bemessung von Bußgeldern; und Kleinst- sowie Kleinunternehmen sind von Bußgeldern für das Versäumnis der 24-Stunden-Frühwarnung vollständig ausgenommen. Das Durchsetzungsmuster der DSGVO (zuerst Leitlinien, später Bußgelder für Wiederholungstäter) ist die realistische Ausgangsbasis. Ein KMU, das sichtbar 40.000 Euro in einen glaubwürdigen Artikel-14-Prozess investiert hat, befindet sich in einer ganz anderen Durchsetzungslage als eines, das nichts getan hat.
Lesen Sie das vollständige PERT-Modell und die Tabelle in unserem Blog.
Mehr lesen