CRA-Meldepflicht ab September 2026: Was Hersteller jetzt wissen müssen

CRA-Meldepflicht ab September 2026: Was Hersteller jetzt wissen müssen

Avatar of Tamara Heene
Tamara Heene
27. Februar 2026
10 min Lesezeit
Informationssicherheit

Am 11. September 2026 tritt die erste verbindliche Pflicht des Cyber Resilience Act in Kraft: die Meldepflicht für aktiv ausgenutzte Schwachstellen. Für Hersteller digitaler Produkte bedeutet das: Wer bis dahin keinen funktionierenden Meldeprozess hat, riskiert Bußgelder bis zu 15 Millionen Euro. Dieser Artikel erklärt, was genau auf Sie zukommt — und wie Sie sich jetzt vorbereiten.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act ist die erste EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Am 10. Dezember 2024 in Kraft getreten, wird die Verordnung stufenweise bis Dezember 2027 umgesetzt.

Der CRA verfolgt ein klares Ziel: Hersteller sollen Cybersicherheit von Anfang an in ihre Produkte einbauen — nicht erst als nachträglichen Patch. Das betrifft sowohl Hardware (Smartphones, IoT-Geräte, Smart-Home-Systeme, Firewalls) als auch reine Softwareprodukte (Apps, Buchhaltungssoftware, Spiele).

Wichtig: Der CRA gilt für alle Produkte, die auf dem EU-Markt verkauft werden — unabhängig davon, wo der Hersteller seinen Sitz hat. Ein US-Unternehmen, das Software in der EU vertreibt, unterliegt den gleichen Pflichten wie ein deutscher Mittelständler.

Die CRA-Meldepflicht: Was ab dem 11. September 2026 gilt

Die Meldepflicht nach Artikel 14 CRA ist die erste Anforderung, die scharf geschaltet wird. Ab diesem Datum müssen Hersteller zwei Arten von Ereignissen melden:

1. Aktiv ausgenutzte Schwachstellen in ihren Produkten

2. Schwere Sicherheitsvorfälle, die die Sicherheit eines Produkts beeinträchtigen

Die Meldefristen sind gestaffelt:

• Innerhalb von 24 Stunden: Frühwarnung an das zuständige nationale CSIRT und an die ENISA

• Innerhalb von 72 Stunden: Vollständige Schwachstellenmeldung mit technischer Bewertung, Schweregrad und betroffenen Produkten

• Innerhalb von 14 Tagen: Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und Empfehlungen

Die Meldung erfolgt über die CRA-Single Reporting Platform (CRA-SRP), die derzeit von der ENISA aufgebaut wird. Das BSI wird in Deutschland als marktüberwachende Behörde fungieren und richtet bis August 2026 die nationale Meldeplattform ein.

Entscheidend: Die 24-Stunden-Frist beginnt ab Bekanntwerden der Schwachstelle — nicht ab Bestätigung. Wer erst intern prüft und dann meldet, ist möglicherweise bereits in Verzug.

Welche Produkte sind betroffen?

Der CRA hat einen breiten Anwendungsbereich. Betroffen sind alle „Produkte mit digitalen Elementen“, die auf dem EU-Markt bereitgestellt werden:

• Hardware mit Netzwerkanbindung: Smartphones, Router, Smart-Home-Geräte, Wearables, industrielle Steuerungssysteme

• Reine Softwareprodukte: Mobile Apps, Desktop-Anwendungen, Betriebssysteme, Firmware

• B2B-Software: ERP-Systeme, Cloud-Management-Tools, Sicherheitssoftware

• IoT-Geräte: Sensoren, Kameras, vernetzte Haushaltsgeräte

Der CRA unterscheidet drei Risikokategorien:

• Standardprodukte (Kategorie Standard): Selbstbewertung des Herstellers reicht aus

• Wichtige Produkte (Kategorie I): Harmonisierte Standards oder Drittprüfung erforderlich

• Kritische Produkte (Kategorie II): Verpflichtende Drittprüfung durch benannte Stelle

Ausnahmen:

• Nicht-kommerzielle Open-Source-Software (kommerzielle Nutzung fällt unter den CRA)

• Medizinprodukte (eigene Regulierung über MDR)

• Militär- und Verteidigungsprodukte

• Kraftfahrzeuge (eigene Regulierung über UN R155/R156)

Wer muss melden? Pflichten für Hersteller, Importeure und Händler

Die Hauptverantwortung liegt beim Hersteller. Aber der CRA definiert Pflichten für die gesamte Lieferkette:

Hersteller:

• Tragen die volle Verantwortung für Cybersicherheit ihrer Produkte

• Müssen Schwachstellen und Vorfälle innerhalb der Fristen melden

• Müssen Sicherheitsupdates für mindestens 5 Jahre bereitstellen

• Müssen eine Software Bill of Materials (SBOM) erstellen

Importeure:

• Müssen sicherstellen, dass importierte Produkte CRA-konform sind

• Haften, wenn sie Produkte ohne CE-Kennzeichnung in den Markt bringen

Händler:

• Prüfpflicht: Dürfen nur konforme Produkte verkaufen

• Müssen bei bekannten Schwachstellen die Marktüberwachungsbehörde informieren

Neu ist die Rolle des Open Source Steward: Organisationen, die systematisch Open-Source-Software für kommerzielle Zwecke bereitstellen, müssen eine Cybersicherheitsstrategie nachweisen und mit den Behörden kooperieren.

Schritt für Schritt: So bereiten Sie sich auf die Meldepflicht vor

Die Meldepflicht tritt in weniger als sieben Monaten in Kraft. Diese sieben Schritte sollten Sie jetzt angehen:

1. Bestandsaufnahme: Welche Produkte fallen unter den CRA?

Erfassen Sie alle Produkte mit digitalen Elementen in Ihrem Portfolio. Ordnen Sie jedes Produkt einer Risikokategorie zu (Standard, Kategorie I, Kategorie II). Dokumentieren Sie die Bewertung.

2. Software Bill of Materials (SBOM) erstellen

Listen Sie für jedes Produkt alle Softwarekomponenten auf — eigene und von Dritten. Die SBOM ist die Grundlage für ein systematisches Schwachstellenmanagement und wird vom CRA vorgeschrieben. Sie muss dem BSI auf Anfrage bereitgestellt werden können.

3. Schwachstellenmanagement aufbauen

Implementieren Sie Prozesse für die Erkennung, Bewertung und Eskalation von Schwachstellen. Definieren Sie klare Verantwortlichkeiten: Wer überwacht CVE-Datenbanken? Wer bewertet die Relevanz für eigene Produkte? Wer entscheidet über die Eskalation?

4. Meldeprozess definieren

Legen Sie fest: Wer meldet? Über welchen Kanal? Wer genehmigt die Meldung? Die 24-Stunden-Frist lässt keinen Raum für langwierige Abstimmungsrunden. Der Prozess muss auch außerhalb der Geschäftszeiten funktionieren.

5. Technische Anbindung vorbereiten

Die ENISA baut derzeit die CRA-Single Reporting Platform (CRA-SRP) auf. Sobald die Plattform verfügbar ist, müssen Sie sich registrieren und die technische Anbindung sicherstellen. Halten Sie Ihr IT-Team bereit.

6. Team schulen

Trainieren Sie Ihr Incident-Response-Team auf die CRA-Fristen. Jeder Beteiligte muss wissen, was bei einer aktiv ausgenutzten Schwachstelle zu tun ist — und wie schnell.

7. Meldeprozess testen

Simulieren Sie den Ernstfall, bevor er eintritt. Führen Sie eine Tabletop-Übung durch: Schwachstelle wird bekannt — schaffen Sie die Frühwarnung in 24 Stunden? Wo hakt es?

Bußgelder und Sanktionen bei Verstößen

Der CRA kennt drei Bußgeldstufen:

• Bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes: für Verstöße gegen wesentliche Cybersicherheitsanforderungen

• Bis zu 10 Mio. € oder 2% des Jahresumsatzes: für Verstöße gegen sonstige Pflichten (inkl. Meldepflicht)

• Bis zu 5 Mio. € oder 1% des Jahresumsatzes: für falsche oder unvollständige Angaben

Darüber hinaus kann das BSI als Marktüberwachungsbehörde:

• Den Verkauf eines Produkts untersagen

• Einen Rückruf anordnen

• Die CE-Kennzeichnung entziehen

Die finanziellen Risiken sind erheblich — aber der Reputationsschaden eines öffentlichen Produktrückrufs wiegt oft schwerer.

CRA, NIS2 und DORA — wie hängt alles zusammen?

Mit CRA, NIS2 und DORA treffen 2026 drei EU-Regulierungen gleichzeitig auf Unternehmen. Die Abgrenzung:

• CRA: Betrifft Produkte — Hersteller müssen sichere Produkte liefern und Schwachstellen melden

• NIS2: Betrifft Organisationen — Betreiber kritischer Infrastrukturen müssen ihre eigene IT absichern

• DORA: Betrifft den Finanzsektor — Banken und Versicherer müssen digitale operationale Resilienz nachweisen

Die Überschneidung liegt bei den Meldepflichten: Alle drei Regulierungen verlangen die Meldung von Sicherheitsvorfällen innerhalb enger Fristen. Unternehmen, die sowohl Produkte herstellen als auch kritische Infrastruktur betreiben, müssen parallel CRA- und NIS2-konform sein.

Unser Rat: Bauen Sie einen integrierten Compliance-Ansatz. Ein gemeinsames Incident-Response-Framework, das CRA, NIS2 und ggf. DORA abdeckt, spart Aufwand und reduziert Fehlerquellen.

Die wichtigsten CRA-Fristen im Überblick

• 10. Dezember 2024: CRA in Kraft getreten

• 11. Juni 2026: Konformitätsbewertungsstellen werden autorisiert

• 11. September 2026: Meldepflicht für Schwachstellen und Vorfälle tritt in Kraft

• 11. Dezember 2027: Alle CRA-Anforderungen gelten vollständig (inkl. CE-Kennzeichnung, technische Dokumentation, Konformitätsbewertung)

• Ab Inverkehrbringen: Mindestens 5 Jahre Sicherheitsupdates durch den Hersteller

Häufig gestellte Fragen

Ab wann gilt die CRA-Meldepflicht?

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden.

Welche Produkte fallen unter den Cyber Resilience Act?

Alle Produkte mit digitalen Elementen, die auf dem EU-Markt verkauft werden — von Smart-Home-Geräten über Software bis zu Industriesteuerungen.

Wie schnell muss eine Schwachstelle gemeldet werden?

Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 14 Tagen.

Wo muss die Meldung erfolgen?

Über die CRA-Single Reporting Platform (CRA-SRP) der ENISA an das zuständige nationale CSIRT und an die ENISA.

Was passiert bei Verstößen gegen die CRA-Meldepflicht?

Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Zusätzlich: Produktrückrufe oder Verkaufsverbote.

Sind Open-Source-Projekte vom CRA betroffen?

Nicht-kommerzielle Open-Source-Software ist ausgenommen. Kommerzielle Nutzung von Open Source fällt unter den CRA. Neu: Die Rolle des Open Source Steward.

Was ist eine SBOM und warum brauche ich sie für den CRA?

Eine Software Bill of Materials listet alle Softwarekomponenten eines Produkts auf. Der CRA schreibt ihre Erstellung vor — sie muss dem BSI auf Anfrage bereitgestellt werden können.

Fazit

Die CRA-Meldepflicht ist kein fernes Zukunftsthema — sie tritt in weniger als sieben Monaten in Kraft. Die 24-Stunden-Frist für die Frühwarnung lässt keinen Spielraum für Improvisation. Wer jetzt keinen funktionierenden Schwachstellen- und Meldeprozess aufbaut, riskiert nicht nur Bußgelder, sondern auch den Vertrauensverlust seiner Kunden.

Handeln Sie jetzt: Beginnen Sie mit der Bestandsaufnahme Ihrer Produkte und dem Aufbau Ihres Meldeprozesses.

Sie benötigen Unterstützung bei der CRA-Compliance? ADVISORI begleitet Sie von der Betroffenheitsanalyse über den Aufbau des Schwachstellenmanagements bis zur Anbindung an die Meldeplattform. Sprechen Sie uns an.

Nächster Schritt: Kostenlose Erstberatung

Sie möchten diese Themen strategisch in Ihrem Unternehmen umsetzen? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten