CRA September 2026: Meldepflicht startet — der letzte Check für Hersteller

Avatar of Boris Friedrich
Boris Friedrich
01. September 2026
8 min Lesezeit
Informationssicherheit

Am 11. September 2026 wird der Cyber Resilience Act erstmals operativ wirksam: Ab diesem Datum müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an ENISA melden. Die vollständige CE-Konformitätspflicht folgt im Dezember 2027 — aber die Meldepflicht startet jetzt.

Was gilt ab dem 11. September 2026?

Die Meldepflicht gemäß Artikel 14 des CRA tritt 21 Monate nach Inkrafttreten der Verordnung in Kraft. Hersteller müssen:

  1. Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden (Frühwarnung)
  2. Innerhalb von 72 Stunden einen detaillierten Bericht nachliefern (Schwachstellenbeschreibung, betroffene Produkte, Gegenmaßnahmen)
  3. Nutzer der betroffenen Produkte ohne schuldhaftes Zögern über die Schwachstelle und verfügbare Patches informieren

Die Meldung erfolgt über die ENISA Single Reporting Platform — ein zentrales Portal für alle EU-Mitgliedstaaten. In Deutschland fungiert das BSI als nationale Koordinierungsstelle.

Wer ist betroffen?

Alle Hersteller, die Produkte mit digitalen Elementen in der EU in Verkehr bringen. Das umfasst:

  • Software-Hersteller (SaaS, Desktop-Anwendungen, Mobile Apps)
  • IoT-Gerätehersteller (Smart Home, Industriesteuerungen, Medizingeräte)
  • Hardware mit Firmware (Router, Kameras, Drucker, Steuerungsmodule)
  • Betriebssystem- und Plattformanbieter

Ausgenommen sind: Medizinprodukte (unter MDR), Kfz-Elektronik (unter UN R155), Luftfahrt und militärische Produkte. Open-Source-Projekte ohne kommerzielle Verwertung sind ebenfalls ausgenommen.

Compliance-Checkliste September 2026

  • ☐ Vulnerability Disclosure Policy veröffentlicht und öffentlich zugänglich
  • ☐ Prozess zur Erkennung und Bewertung von Schwachstellen implementiert
  • ☐ Meldeprozess an ENISA definiert und getestet
  • ☐ Verantwortliche Person/Team für CRA-Meldungen benannt
  • ☐ Kommunikationsvorlage für Nutzermeldungen erstellt
  • ☐ Patch-Management-Prozess für Sicherheitsupdates etabliert
  • ☐ Produktinventar mit allen betroffenen Produktlinien erstellt
  • ☐ SBOM (Software Bill of Materials) für alle Produkte generiert

Von September 2026 zu Dezember 2027: Was kommt noch?

Die Meldepflicht im September 2026 ist nur der erste Schritt. Ab dem 11. Dezember 2027 gelten alle CRA-Anforderungen vollständig:

  • Security by Design: Cybersicherheitsanforderungen müssen in Planung, Design und Entwicklung integriert sein
  • Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre Support)
  • Konformitätsbewertung und CE-Kennzeichnung
  • Technische Dokumentation und EU-Konformitätserklärung

Häufig gestellte Fragen zum CRA September 2026

Was muss ich ab September 2026 melden?

Jede aktiv ausgenutzte Schwachstelle in Ihren Produkten und jeden schwerwiegenden Sicherheitsvorfall, der die Cybersicherheit Ihrer Produkte betrifft. "Aktiv ausgenutzt" bedeutet: Es gibt Belege dafür, dass die Schwachstelle von Angreifern in der Praxis ausgenutzt wird — nicht nur theoretisch möglich.

Wohin melde ich?

An die ENISA Single Reporting Platform. In Deutschland koordiniert das BSI als nationale Behörde. Die genaue URL und das Meldeformular werden von ENISA vor September 2026 veröffentlicht. CSIRTs der Mitgliedstaaten erhalten die Meldungen ebenfalls.

Was passiert, wenn ich nicht fristgerecht melde?

Verstöße gegen die Meldepflicht können mit Bußgeldern von bis zu 5 Mio. Euro oder 1% des weltweiten Jahresumsatzes geahndet werden. Darüber hinaus kann das BSI den Vertrieb des betroffenen Produkts einschränken oder untersagen.

Muss ich auch intern entdeckte Schwachstellen melden?

Nur wenn sie aktiv ausgenutzt werden. Intern entdeckte und behobene Schwachstellen ohne bekannte Ausnutzung müssen nicht gemeldet werden — sollten aber im Rahmen des Schwachstellenmanagements dokumentiert und an Nutzer kommuniziert werden, wenn ein Patch verfügbar ist.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Weitere relevante Beiträge

CRA Dezember 2027: Vollständige Compliance — der Countdown beginnt

In 12 Monaten, am 11. Dezember 2027, gelten alle CRA-Anforderungen vollständig. Hersteller vernetzter Produkte müssen Security by Design, Schwachstellenmanagement und CE-Konformität nachweisen. Dieser Artikel ist die 12-Monats-Roadmap.

SIEM vs. XDR vs. SOAR: Security-Tools im Vergleich 2026

SIEM, XDR und SOAR sind drei Schlüsseltechnologien für Security Operations — aber sie dienen unterschiedlichen Zwecken. Dieser Vergleich erklärt die Unterschiede, wann welches Tool sinnvoll ist und ob Sie alle drei brauchen.

BSI Grundschutz: Der pragmatische Einstieg für KMU

Der BSI IT-Grundschutz bietet KMU einen strukturierten Einstieg in die Informationssicherheit — ohne die Komplexität einer vollständigen ISO 27001. Dieser Leitfaden erklärt die Bausteine, den Grundschutz-Check und den Weg zur Zertifizierung.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten