Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
Compliance & Produktsicherheit

Cyber Resilience Act: Was der 11. September 2026 für Hersteller digitaler Produkte bedeutet

09.06.2026 · 3 Min. Lesezeit

Ab dem 11. September 2026 gelten die ersten verbindlichen CRA-Pflichten. Was die Meldung aktiv ausgenutzter Schwachstellen, SBOM und Security by Design für Hersteller, Importeure und Händler konkret heißt.

In knapp drei Monaten wird aus einer Verordnung Betriebsrealität. Ab dem 11. September 2026 greifen die ersten verbindlichen Pflichten des Cyber Resilience Act (Verordnung (EU) 2024/2847), und zwar genau die, die am meisten Prozess voraussetzen: die Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle. Die übrigen Produkt- und Konformitätspflichten folgen mit der vollständigen Anwendung am 11. Dezember 2027.

Wer Produkte mit digitalen Elementen in der EU herstellt, importiert oder vertreibt, sollte den September daher nicht als fernes Datum behandeln, sondern als den Tag, an dem ein funktionierender Meldeweg vorhanden sein muss.

Was am 11. September 2026 beginnt

Der CRA verpflichtet Hersteller, eine aktiv ausgenutzte Schwachstelle oder einen schweren Sicherheitsvorfall in einem gestaffelten Verfahren zu melden. Eine erste Frühwarnung geht binnen 24 Stunden an das zuständige CSIRT und an die ENISA, eine ausführlichere Meldung folgt binnen 72 Stunden, ein Abschlussbericht später. Adressiert wird das über eine zentrale europäische Meldeplattform.

Wichtig ist die Abgrenzung zu NIS2: Dort meldet eine betroffene Einrichtung Vorfälle in ihrem eigenen Betrieb. Beim CRA meldet der Hersteller eine Schwachstelle in seinem Produkt, unabhängig davon, bei welchem Kunden sie ausgenutzt wird. Beide Regime können gleichzeitig gelten, und sie verlangen unterschiedliche Meldewege.

Was bis Dezember 2027 dazukommt

Die Meldepflicht ist nur der erste Baustein. Mit der vollständigen Anwendung verlangt der CRA über den gesamten Produktlebenszyklus hinweg nachweisbare Sicherheit:

  • Security by Design: Sicherheit ist Teil der Entwicklung, nicht ein nachträglicher Aufsatz. Das umfasst sichere Voreinstellungen und eine angreifbare Fläche, die so klein wie möglich gehalten wird.
  • Software Bill of Materials (SBOM): Hersteller müssen die enthaltenen Komponenten und Abhängigkeiten kennen und dokumentieren. Ohne diese Stückliste lässt sich bei einer neuen Schwachstelle nicht beantworten, ob das eigene Produkt betroffen ist.
  • Schwachstellenmanagement und Updates: Sicherheitsupdates müssen über mindestens fünf Jahre bereitgestellt werden, oder über die erwartbare Lebensdauer des Produkts, falls diese kürzer ist.
  • CE-Kennzeichnung: Ab Dezember 2027 dürfen Produkte mit digitalen Elementen ohne CRA-Konformität nicht mehr in der EU in Verkehr gebracht werden.

Eine Ausnahme für kleine und mittlere Unternehmen gibt es nicht. Wer betroffene Produkte herstellt oder importiert, fällt unabhängig von seiner Größe unter die Verordnung.

Was das praktisch bedeutet

Die Meldepflicht ab September ist organisatorisch anspruchsvoller, als die kurze Frist vermuten lässt. 24 Stunden bis zur Frühwarnung sind keine Zeit, um erst eine Zuständigkeit zu klären. Es braucht vorab einen benannten Verantwortlichen, einen dokumentierten Prozess und die technische Fähigkeit, einen Vorfall überhaupt zeitnah zu erkennen.

Genau hier verbinden sich zwei Themen, die oft getrennt behandelt werden: das Erkennen (Monitoring und Security Posture) und das Belegen (eine nachvollziehbare Spur, wer wann was gemeldet hat). Wer beides bereits für NIS2 oder ISO 27001 aufgebaut hat, kann darauf aufsetzen. In unserem Modul Datargo Monitor ist dieses Muster aus kontinuierlicher Überwachung und auditierbarer Evidenz angelegt, doch die regulatorische Anforderung steht unabhängig vom Werkzeug: Ohne verlässliche Erkennung läuft jede Meldefrist ins Leere.

Was jetzt sinnvoll ist

Drei Schritte lohnen sich vor September: erstens klären, welche eigenen Produkte als „Produkte mit digitalen Elementen" gelten und damit in den Anwendungsbereich fallen. Zweitens den Meldeprozess für aktiv ausgenutzte Schwachstellen aufsetzen, mit klarer Zuständigkeit und den Fristen 24 Stunden, 72 Stunden und Abschlussbericht. Drittens mit dem Aufbau einer SBOM beginnen, denn sie ist die Voraussetzung dafür, im Ernstfall überhaupt sagen zu können, ob man betroffen ist.

Der 11. September 2026 markiert nicht das Ende der Vorbereitung, sondern den Beginn der Pflicht. Die Arbeit dahinter, Erkennung und Dokumentation, lässt sich nicht in 24 Stunden nachholen.

Zurück zum Blog

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz