Der Cyber Resilience Act trifft auch Ihren Bestand
Ab dem 11. September 2026 gilt eine neue Pflicht, die viele Unternehmen noch unterschätzen. Wer vernetzte Produkte in der EU verkauft, muss aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle künftig innerhalb von Stunden an die Behörden melden. Der Cyber Resilience Act macht Cybersicherheit zur Produktpflicht. Er trifft nicht nur neue Geräte, sondern auch Produkte, die längst im Markt sind.
Das Wichtigste in Kürze
- Der Stichtag: Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Vorfälle melden. Die übrigen Pflichten folgen zum 11. Dezember 2027.
- Die Fristen: Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht spätestens 14 Tage nach einer verfügbaren Gegenmaßnahme.
- Der Kern: Cybersicherheit wird zur Produkteigenschaft mit CE-Kennzeichnung. Betroffen ist jedes Produkt mit digitalen Elementen, das in der EU auf den Markt kommt.
Was der Cyber Resilience Act verlangt
Der Cyber Resilience Act, Verordnung (EU) 2024/2847, verankert Cybersicherheit erstmals als verbindliche Eigenschaft von Produkten. Erfasst ist alles, was digitale Elemente enthält und sich direkt oder indirekt mit einem Gerät oder Netz verbindet, von der Industriesteuerung über das smarte Haushaltsgerät bis zur reinen Software. Für solche Produkte gelten künftig grundlegende Sicherheitsanforderungen über den gesamten Lebenszyklus.
Konkret bedeutet das: Hersteller müssen ihre Produkte sicher entwerfen, bekannte Schwachstellen beheben und über einen definierten Zeitraum mit Sicherheitsupdates versorgen. Sie müssen einen Prozess für das Schwachstellenmanagement vorhalten und die Konformität mit den Anforderungen nachweisen. Erst dann dürfen sie die CE-Kennzeichnung anbringen, die bislang für Sicherheit im physischen Sinn stand und nun auch die digitale Sicherheit umfasst.
Damit verschiebt der CRA die Verantwortung. Nicht mehr der Betreiber allein trägt das Risiko einer unsicheren Software, sondern der Hersteller, der das Produkt in Verkehr bringt. Cybersicherheit wird vom nachgelagerten Betriebsthema zur Bedingung für den Marktzugang.
Der 11. September 2026
Der Zeitplan des CRA ist gestaffelt. Der erste harte Termin ist die Meldepflicht. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden, die die Sicherheit ihrer Produkte betreffen. Die weiteren Pflichten, etwa das laufende Schließen von Schwachstellen und die volle Konformität, greifen erst zum 11. Dezember 2027.
Meldepflicht für aktiv ausgenutzte Schwachstellen greift
Cyber Resilience Act (EU 2024/2847)
Die Meldung läuft über eine zentrale Plattform, die Single Reporting Platform. Sie geht an das zuständige nationale CSIRT sowie an die europäische Agentur ENISA. Die Fristen sind eng. Eine erste Frühwarnung ist binnen 24 Stunden fällig, eine vollständige Meldung binnen 72 Stunden. Ein Abschlussbericht folgt spätestens 14 Tage nach dem Vorliegen einer Gegenmaßnahme, bei schweren Vorfällen innerhalb eines Monats.
Entscheidend ist die Reichweite. Die Meldepflicht gilt auch für Produkte, die vor dem 11. Dezember 2027 in den Markt gekommen sind. Wer also vor Jahren ein vernetztes Gerät ausgeliefert hat, das weiter im Einsatz ist, muss aktiv ausgenutzte Schwachstellen daran ab September 2026 melden. Der Bestand fällt nicht aus der Pflicht.
Wen es trifft
Der Kreis der Betroffenen ist breiter, als viele erwarten. Erfasst sind Hersteller von Hardware und Software gleichermaßen, vom Sensor über die Netzwerkkomponente bis zur Anwendung. Auch Importeure und Händler tragen Pflichten, wenn sie Produkte mit digitalen Elementen auf den EU-Markt bringen oder bereitstellen. Die reine Herkunft außerhalb der EU schützt nicht, sobald ein Produkt hier verkauft wird.
Für viele Unternehmen ist der CRA damit ein Thema, das sie bisher nicht auf dem Schirm hatten. Wer sich als reiner Software- oder Gerätehersteller nicht als klassisches Cybersicherheits-Unternehmen versteht, wird trotzdem in die Pflicht genommen. Die Frage ist nicht, ob ein Produkt betroffen ist, sondern ob es digitale Elemente hat und in der EU auf den Markt kommt.
Was jetzt auf die Führungsebene gehört
Der erste Schritt ist eine ehrliche Bestandsaufnahme. Welche Produkte mit digitalen Elementen bringt das Unternehmen in Verkehr, welche davon sind noch im Feld, wer ist im Haus überhaupt zuständig? Ohne diese Übersicht lässt sich weder die Meldepflicht erfüllen noch die spätere volle Konformität planen.
Der zweite Schritt ist der Meldeprozess. Bis September 2026 muss ein Verfahren stehen, das eine ausgenutzte Schwachstelle erkennt, bewertet und fristgerecht über die Plattform meldet. Das verlangt klare Zuständigkeiten, eine benannte Schnittstelle zur Behörde und die technische Fähigkeit, einen Vorfall überhaupt zeitnah zu bemerken. Wer erst nach dem Bekanntwerden eines Falls anfängt, den Prozess zu bauen, verpasst die 24-Stunden-Frühwarnung.
Der dritte Schritt ist strategisch. Der CRA ist kein einmaliges Compliance-Projekt, sondern eine dauerhafte Produktverantwortung mit Update-Pflichten bis 2027 und darüber hinaus. Das gehört auf die Führungsebene, weil es Produktplanung, Entwicklungsbudget und Lieferantenverträge berührt. Cybersicherheit wird Teil der Produktstrategie, nicht ein Anhang der IT.
Abgrenzung zu NIS2 und DORA
Der CRA wird oft mit NIS2 und DORA in einen Topf geworfen, verfolgt aber einen anderen Ansatzpunkt. NIS2 und DORA regulieren Betreiber, also Organisationen, die IT betreiben und schützen müssen. Der CRA reguliert das Produkt selbst und richtet sich an den Hersteller, der es in Verkehr bringt.
Die drei Regelwerke greifen ineinander. Ein Betreiber, der unter NIS2 fällt, kauft Produkte, die künftig unter den CRA fallen. Die Produktsicherheit nach CRA stützt so die Lieferkettensicherheit, die NIS2 vom Betreiber verlangt. Wer die drei Regelwerke getrennt betrachtet, verkennt, dass sie zusammen einen durchgehenden Sicherheitsanspruch vom Bauteil bis zum Betrieb schaffen.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Ab wann gilt die Meldepflicht des CRA?
Ab dem 11. September 2026. Ab diesem Datum müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden. Die übrigen Pflichten greifen zum 11. Dezember 2027.
Welche Fristen gelten für eine Meldung?
Eine Frühwarnung binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden und ein Abschlussbericht spätestens 14 Tage nach dem Vorliegen einer Gegenmaßnahme, bei schweren Vorfällen innerhalb eines Monats.
Gilt der CRA auch für Produkte, die schon verkauft sind?
Ja. Die Meldepflicht ab September 2026 gilt auch für Produkte, die vor dem 11. Dezember 2027 auf den Markt gekommen sind und weiter genutzt werden. Der Bestand fällt nicht aus der Pflicht.
Wer ist neben dem Hersteller verpflichtet?
Auch Importeure und Händler tragen Pflichten, wenn sie Produkte mit digitalen Elementen auf den EU-Markt bringen oder bereitstellen. Eine Herkunft außerhalb der EU befreit nicht von den Anforderungen.
Wie verhält sich der CRA zu NIS2?
Der CRA reguliert das Produkt und den Hersteller, NIS2 den Betreiber. Beide ergänzen sich: Sichere Produkte nach CRA stützen die Lieferkettensicherheit, die NIS2 vom Betreiber verlangt.
Lesetipps der Redaktion
LesetippWas ist NIS2? Definition, Pflichten und HaftungLesetippWas ist DORA? Definition, Pflichten und FristenLesetippWenn ein Anruf die Autoproduktion stoppt
Mehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?





