CRA-Meldepflicht ab 11. September 2026: Was Hersteller jetzt wissen müssen
Kurz gesagt: Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an die EU-Behörden melden - innerhalb von 24 Stunden. Diese Pflicht aus Artikel 14 des Cyber Resilience Act (CRA) greift früher als die übrigen CRA-Anforderungen und gilt ausdrücklich auch für Produkte, die bereits auf dem Markt sind. Wer digitale Produkte in der EU verkauft, braucht bis dahin einen funktionierenden Meldeprozess.
Worum geht es bei der CRA-Meldepflicht?
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, ihre vernetzten Produkte über den gesamten Lebenszyklus abzusichern. Die meisten Pflichten - Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation - gelten erst ab dem 11. Dezember 2027.
Eine Pflicht kommt aber deutlich früher: die Melde- und Reportingpflicht nach Artikel 14, anwendbar ab dem 11. September 2026. Sie ist damit die erste CRA-Anforderung, die für Hersteller praktisch bindend wird.
Der entscheidende Unterschied zu allen anderen CRA-Pflichten: Sie betrifft nicht nur neue Produkte. Sie gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt wurden - einschließlich Bestandsprodukten, die vor dem Stichtag in Verkehr gebracht wurden.
Wer ist betroffen?
Die Meldepflicht trifft Hersteller von Produkten mit digitalen Elementen. Ein Produkt mit digitalen Elementen ist - vereinfacht - jede Hard- oder Software, deren vorgesehene oder vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung umfasst.
Prüfen Sie die drei Fragen der Reihe nach:
- Stellen Sie ein Produkt mit Soft- oder Firmware auf dem EU-Markt bereit? Dazu zählen Software-Anwendungen, SaaS-Komponenten, Betriebssysteme, Bibliotheken, vernetzte Geräte, IoT- und Embedded-Produkte.
- Hat das Produkt eine direkte oder indirekte Datenverbindung? Fast alle modernen Produkte erfüllen das.
- Greift keine Ausnahme? Ausgenommen sind unter anderem Medizinprodukte, Fahrzeuge, Luftfahrt und nicht-kommerzielle Open-Source-Software.
Wenn Sie 1 und 2 mit Ja und 3 mit Nein beantworten, fallen Sie in den Anwendungsbereich - und damit ab September 2026 unter die Meldepflicht.
Wichtig für Systemhäuser und MSPs: Wer fremde Produkte nur weiterverkauft, ist kein Hersteller im Sinne des CRA. Wer aber eigene Software entwickelt und auf den Markt bringt, ist Hersteller - und voll in der Pflicht.
Was muss gemeldet werden?
Zwei Ereignistypen lösen die Meldepflicht aus:
1. Aktiv ausgenutzte Schwachstellen. Eine Schwachstelle gilt als aktiv ausgenutzt, wenn belastbare Hinweise vorliegen, dass ein Angreifer sie in einem System ohne Erlaubnis des Betreibers ausgenutzt hat. Die Kenntnis kann aus vielen Quellen stammen: Kundenmeldungen, CSIRTs, Threat Intelligence, eigenes Monitoring oder öffentliche Berichte.
2. Schwere Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts auswirken.
Gemeldet wird an die ENISA und das zuständige nationale CSIRT - über die zentrale Meldeplattform (Single Reporting Platform), die nach Artikel 16 von der ENISA betrieben wird.
Die CRA-Meldefristen im Überblick
Die Meldung erfolgt gestaffelt. Die Uhr beginnt in dem Moment zu laufen, in dem Sie Kenntnis erlangen.
| Frist | Schritt | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Erste Meldung ab Kenntnis der aktiv ausgenutzten Schwachstelle oder des schweren Vorfalls |
| 72 Stunden | Meldung | Ausführlichere Meldung inkl. ergriffener Korrektur- oder Abhilfemaßnahmen |
| 14 Tage | Abschlussbericht (Schwachstellen) | Nach Verfügbarkeit einer Korrektur- oder Abhilfemaßnahme |
| 1 Monat | Abschlussbericht (Vorfälle) | Nach der ersten Meldung des schweren Vorfalls |
Diese Fristen sind knapp. In der Praxis sind sie nur einzuhalten, wenn der Prozess vorher steht: klare Auslöser-Definition, benannte Verantwortliche, vorbereitete Meldevorlagen und ein kontinuierlicher Überblick über die eigenen Komponenten.
Was passiert bei Verstößen?
Der CRA sieht empfindliche Sanktionen vor. Bei Verstößen gegen die grundlegenden Sicherheitsanforderungen sowie gegen die Pflichten aus Artikel 13 und 14 drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist.
Was Sie jetzt tun sollten
Bis September 2026 sollten Hersteller mindestens die operative Grundfähigkeit aufbauen, um die Meldepflicht am ersten Tag zu erfüllen:
- Auslöser definieren: Wann gilt eine Schwachstelle als "aktiv ausgenutzt", wann ein Vorfall als "schwer"? Legen Sie die Kriterien schriftlich fest.
- Verantwortlichkeiten klären: Wer entscheidet über eine Meldung, wer meldet, wer vertritt im Urlaubsfall?
- Meldeworkflow etablieren: 24/72/14 als Fristen-Trigger mit vorbereiteten Vorlagen, damit im Ernstfall keine Zeit verloren geht.
- Komponenten kennen: Ohne Überblick über die eigenen Bausteine (Software Bill of Materials, SBOM) lässt sich eine Schwachstelle nicht innerhalb von 24 Stunden bewerten.
- Bestandsprodukte einbeziehen: Die Pflicht endet nicht bei Neuentwicklungen. Erfassen Sie auch, was bereits im Markt ist.
Ein praktischer Nebeneffekt: Wer bekannte Schwachstellen frühzeitig schließt, reduziert die spätere Meldelast spürbar - ein behobenes Problem muss nicht gemeldet werden.
Häufige Fragen zur CRA-Meldepflicht
Ab wann gilt die CRA-Meldepflicht? Die Meldepflicht nach Artikel 14 gilt ab dem 11. September 2026. Die übrigen CRA-Pflichten greifen erst ab dem 11. Dezember 2027.
Gilt die Meldepflicht auch für alte Produkte? Ja. Anders als die meisten CRA-Pflichten gilt die Meldepflicht auch für Produkte, die bereits vor dem Stichtag auf dem EU-Markt bereitgestellt wurden.
Wie schnell muss gemeldet werden? Die erste Frühwarnung ist innerhalb von 24 Stunden nach Kenntnis fällig, eine ausführlichere Meldung nach 72 Stunden, der Abschlussbericht nach 14 Tagen (Schwachstellen) beziehungsweise einem Monat (schwere Vorfälle).
An wen wird gemeldet? An die ENISA und das zuständige nationale CSIRT über die zentrale Meldeplattform nach Artikel 16.
Was droht bei Nichteinhaltung? Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.
Sind Sie überhaupt betroffen?
Nicht jedes Unternehmen fällt unter den CRA - aber viele unterschätzen, dass ihre eigene Software oder ihre vernetzten Produkte in den Anwendungsbereich fallen. Klären Sie in wenigen Minuten, ob und wie Sie betroffen sind, welche Produktklasse gilt und wo Sie bei der Meldepflicht heute stehen.
CRA Fast-Check starten - kostenlos, in unter zwei Minuten Betroffenheit, Rolle und Produktklasse bestimmen.
Dieser Beitrag dient der allgemeinen Information und ist keine Rechtsberatung. Maßgeblich ist der offizielle Text der Verordnung (EU) 2024/2847.
Bereit für weniger Excel
und mehr Struktur?
CompliantDesk bündelt NIS2, DSGVO, ISO 27001 in einem Tool - mit automatischen Folgeschritten aus Ihren Checks.
