Cyber Resilience Act: Was der 11. September 2026 für Hersteller digitaler Produkte bedeutet
Ab dem 11. September 2026 gelten die ersten verbindlichen CRA-Pflichten. Was die Meldung aktiv ausgenutzter Schwachstellen, SBOM und Security by Design für Hersteller, Importeure und Händler konkret heißt.
In knapp drei Monaten wird aus einer Verordnung Betriebsrealität. Ab dem 11. September 2026 greifen die ersten verbindlichen Pflichten des Cyber Resilience Act (Verordnung (EU) 2024/2847), und zwar genau die, die am meisten Prozess voraussetzen: die Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle. Die übrigen Produkt- und Konformitätspflichten folgen mit der vollständigen Anwendung am 11. Dezember 2027.
Wer Produkte mit digitalen Elementen in der EU herstellt, importiert oder vertreibt, sollte den September daher nicht als fernes Datum behandeln, sondern als den Tag, an dem ein funktionierender Meldeweg vorhanden sein muss.
Was am 11. September 2026 beginnt
Der CRA verpflichtet Hersteller, eine aktiv ausgenutzte Schwachstelle oder einen schweren Sicherheitsvorfall in einem gestaffelten Verfahren zu melden. Eine erste Frühwarnung geht binnen 24 Stunden an das zuständige CSIRT und an die ENISA, eine ausführlichere Meldung folgt binnen 72 Stunden, ein Abschlussbericht später. Adressiert wird das über eine zentrale europäische Meldeplattform.
Wichtig ist die Abgrenzung zu NIS2: Dort meldet eine betroffene Einrichtung Vorfälle in ihrem eigenen Betrieb. Beim CRA meldet der Hersteller eine Schwachstelle in seinem Produkt, unabhängig davon, bei welchem Kunden sie ausgenutzt wird. Beide Regime können gleichzeitig gelten, und sie verlangen unterschiedliche Meldewege.
Was bis Dezember 2027 dazukommt
Die Meldepflicht ist nur der erste Baustein. Mit der vollständigen Anwendung verlangt der CRA über den gesamten Produktlebenszyklus hinweg nachweisbare Sicherheit:
- Security by Design: Sicherheit ist Teil der Entwicklung, nicht ein nachträglicher Aufsatz. Das umfasst sichere Voreinstellungen und eine angreifbare Fläche, die so klein wie möglich gehalten wird.
- Software Bill of Materials (SBOM): Hersteller müssen die enthaltenen Komponenten und Abhängigkeiten kennen und dokumentieren. Ohne diese Stückliste lässt sich bei einer neuen Schwachstelle nicht beantworten, ob das eigene Produkt betroffen ist.
- Schwachstellenmanagement und Updates: Sicherheitsupdates müssen über mindestens fünf Jahre bereitgestellt werden, oder über die erwartbare Lebensdauer des Produkts, falls diese kürzer ist.
- CE-Kennzeichnung: Ab Dezember 2027 dürfen Produkte mit digitalen Elementen ohne CRA-Konformität nicht mehr in der EU in Verkehr gebracht werden.
Eine Ausnahme für kleine und mittlere Unternehmen gibt es nicht. Wer betroffene Produkte herstellt oder importiert, fällt unabhängig von seiner Größe unter die Verordnung.
Was das praktisch bedeutet
Die Meldepflicht ab September ist organisatorisch anspruchsvoller, als die kurze Frist vermuten lässt. 24 Stunden bis zur Frühwarnung sind keine Zeit, um erst eine Zuständigkeit zu klären. Es braucht vorab einen benannten Verantwortlichen, einen dokumentierten Prozess und die technische Fähigkeit, einen Vorfall überhaupt zeitnah zu erkennen.
Genau hier verbinden sich zwei Themen, die oft getrennt behandelt werden: das Erkennen (Monitoring und Security Posture) und das Belegen (eine nachvollziehbare Spur, wer wann was gemeldet hat). Wer beides bereits für NIS2 oder ISO 27001 aufgebaut hat, kann darauf aufsetzen. In unserem Modul Datargo Monitor ist dieses Muster aus kontinuierlicher Überwachung und auditierbarer Evidenz angelegt, doch die regulatorische Anforderung steht unabhängig vom Werkzeug: Ohne verlässliche Erkennung läuft jede Meldefrist ins Leere.
Was jetzt sinnvoll ist
Drei Schritte lohnen sich vor September: erstens klären, welche eigenen Produkte als „Produkte mit digitalen Elementen" gelten und damit in den Anwendungsbereich fallen. Zweitens den Meldeprozess für aktiv ausgenutzte Schwachstellen aufsetzen, mit klarer Zuständigkeit und den Fristen 24 Stunden, 72 Stunden und Abschlussbericht. Drittens mit dem Aufbau einer SBOM beginnen, denn sie ist die Voraussetzung dafür, im Ernstfall überhaupt sagen zu können, ob man betroffen ist.
Der 11. September 2026 markiert nicht das Ende der Vorbereitung, sondern den Beginn der Pflicht. Die Arbeit dahinter, Erkennung und Dokumentation, lässt sich nicht in 24 Stunden nachholen.