Am 11. September 2026 startet die Meldepflicht des EU Cyber Resilience Act. Ab diesem Stichtag müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen binnen 24 Stunden an ENISA melden. Bis dahin sind es noch knapp vier Monate.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann haben Sie zuletzt die Vulnerability-Disclosure-Prozesse Ihrer eingekauften Komponenten geprüft? Genau diese Frage beantwortet sich ab dem Spätsommer automatisch, weil die CRA-Meldepflicht jede Lieferkette in Bewegung versetzt.
Das Wichtigste in Kürze
- CRA in Kraft seit 10. Dezember 2024, volle Anwendung erst ab 11. Dezember 2027
- Artikel 14 ab 11. September 2026: Schwachstellen-Meldung binnen 24 Stunden an ENISA
- Chapter IV (Conformity Assessment Bodies) wird am 11. Juni 2026 wirksam
- NIS-2-Registrierung in Deutschland: nur rund ein Drittel der pflichtigen Einrichtungen hat sich gemeldet
Wen trifft die CRA-Meldepflicht ab September?
Der CRA fasst den Begriff Produkt mit digitalen Elementen weit. Hardware wie Router, IoT-Sensoren oder Smart-Home-Geräte fällt darunter, ebenso eigenständige Software, Firmware und Cloud-Komponenten, sofern sie auf den EU-Markt gebracht werden. Für deutsche Mittelständler relevant sind drei Rollen: Hersteller, Importeur und Distributor. Jede dieser Rollen kommt mit eigenen Reporting-Pflichten.
Die 24-Stunden-Frist beginnt mit der Kenntnisnahme einer aktiv ausgenutzten Schwachstelle, nicht erst mit der Bestätigung. Parallel müssen schwerwiegende Sicherheitsvorfälle gemeldet werden. ENISA betreibt dafür eine zentrale Plattform, an die sich die nationalen Computer Security Incident Response Teams anschließen.
Was lehrt die NIS-2-Erfahrung aus Deutschland?
Das deutsche NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Registrierungspflichtige Einrichtungen mussten sich bis zum 6. März 2026 beim BSI melden. Laut Reed Smith-Analyse vom April 2026 haben nur rund 33 Prozent der pflichtigen Stellen tatsächlich registriert. Das Risiko persönlicher Vorstandshaftung greift seither, was Aufsichtsräten und Geschäftsleitungen ungeplante Wochenenden bescheren kann.
Vier Monate sind kein Vorlauf, sondern ein Notfallplan. Wer im September noch sucht, wer den Schwachstellenbericht im Unternehmen schreibt, hat die CRA verpasst.
— Markus Seyfferth, Chefredakteur Dr. Web
Die EU-Kommission hat im März 2026 einen Entwurf für ergänzende Leitlinien zur öffentlichen Konsultation gestellt. Der finale Text soll vor dem September-Stichtag erscheinen. Begleitend tritt am 11. Juni 2026 Chapter IV des CRA in Kraft, das die Benennung von Konformitäts-Bewertungsstellen regelt.
Welche Schritte rentieren sich vor dem 11. September?
Drei Bausteine bringen Sie über die Linie. Zunächst die Produkt-Inventur: Welche Produkte mit digitalen Elementen bringt Ihr Unternehmen tatsächlich in den EU-Markt, in welcher Rolle, mit welchen Drittkomponenten? Das ist die Grundlage für jeden weiteren Schritt und gleichzeitig die Antwort auf 80 Prozent der späteren Compliance-Fragen.
Parallel die Vertrags-Pflege mit Zulieferern. Klauseln zu Vulnerability-Benachrichtigung innerhalb von 24 Stunden, Coordinated Disclosure und Incident-Response-Kooperation gehören in jeden Liefervertrag. Wie kritisch die Lieferkette inzwischen ist, hat der März-Patch-Reigen bei vier WordPress-Plugins mit zusammen 29 Millionen Installationen gezeigt. Ergänzend lohnt der Blick auf bestehende Backdoor-Risiken, etwa nach dem Flippa-Verkauf der Essential-Plugins mit 400.000 betroffenen Sites.
Im dritten Schritt steht die Meldewege-Übung. Eine Tabletop-Übung mit einem simulierten Zero-Day-Fund klärt, ob die internen Eskalationsketten in 24 Stunden funktionieren. Das ist günstiger als der erste echte Vorfall.
Mehr Newshunger?
