Cyber Resilience Act
Meldepflichten an ENISA und CSIRT
Die Meldepflicht ist die dringlichste CRA-Anforderung: Sie gilt bereits ab dem 11. September 2026, deutlich vor den übrigen Pflichten. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die zentrale Meldeplattform gleichzeitig an das zuständige CSIRT und die ENISA melden. Die Frist ist eng: eine Frühwarnung binnen 24 Stunden nach Kenntnis.
Warum diese Pflicht wichtig ist
Diese Pflicht wird als Erste scharf und gilt ausdrücklich auch für Bestandsprodukte, die bereits vor dem Stichtag auf dem Markt waren. Wer keinen vorbereiteten Meldeprozess hat, kann die 24-Stunden-Frist im Ernstfall kaum einhalten. Verstöße gegen die Meldepflicht aus Artikel 14 gehören zur höchsten Bußgeldstufe.
So setzen Sie die Pflicht um
- 1Meldeprozess mit Rollen, Eskalation und Fristen (24h / 72h / 14 Tage) definieren
- 2Zugang zur zentralen Meldeplattform (Single Reporting Platform) vorbereiten
- 3Kriterien für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle festlegen
- 4Erkennung sicherstellen, damit meldepflichtige Ereignisse überhaupt auffallen
- 5Meldeprozess mit einer Übung (Tabletop) durchspielen
Diese Nachweise sind gefragt
- Dokumentierter Meldeprozess mit Fristen und Verantwortlichen
- Nachweis der Erkennungs- und Monitoring-Fähigkeit
- Register durchgeführter Meldungen mit Zeitleiste
Häufige Fehler
24-Stunden-Frist unterschätzt
Im Vorfall wird erst gesucht, wer wann an wen meldet. Die Frühwarnung binnen 24 Stunden ist dann kaum zu halten.
Bestandsprodukte ausgeklammert
Die Meldepflicht wird nur für neue Produkte eingeplant, obwohl sie ausdrücklich auch für bereits verkaufte Produkte gilt.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Koordinierte Schwachstellen-Offenlegung (CVD)
Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.
Meldepflicht
Eine Meldepflicht verpflichtet Organisationen, bestimmte Sicherheitsvorfälle oder Datenpannen innerhalb festgelegter Fristen an Behörden und gegebenenfalls Betroffene zu melden.
Häufig gestellte Fragen
Ab wann gilt die CRA-Meldepflicht?
Ab dem 11. September 2026. Sie greift damit rund 15 Monate vor den übrigen CRA-Pflichten, die erst ab dem 11. Dezember 2027 gelten.
Welche Fristen gelten?
Eine Frühwarnung binnen 24 Stunden nach Kenntnis, eine ausführlichere Meldung binnen 72 Stunden und ein Abschlussbericht binnen 14 Tagen bei Schwachstellen beziehungsweise einem Monat bei schwerwiegenden Vorfällen.
An wen wird gemeldet?
Gleichzeitig an das zuständige nationale CSIRT und die ENISA über die zentrale Meldeplattform (Single Reporting Platform) nach Artikel 16.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
