Unter dem Cyber Resilience Act (CRA) müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb enger Fristen melden. Andernfalls drohen Bußgelder und der Verlust des Zugangs zum EU-Binnenmarkt.
Wir erklären, wen die CRA-Meldepflicht trifft, was genau zu melden ist, welche Fristen gelten und an wen die Meldung zu richten ist.
Hinweis: Die Meldepflichten des CRA greifen bereits ab dem 11. September 2026, auch wenn die meisten anderen Regelungen des Cyber Resilience Acts erst Ende 2027 anwendbar werden.
Was ist der Cyber Resilience Act und wen betrifft er?
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) legt verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest. Er gilt für alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Darunter fallen insbesondere Hersteller im Sinne von Art. 3 Nr. 13 CRA, die ein Produkt entwickeln oder herstellen und es unter eigenem Namen vermarkten.
Produkte mit digitalen Elementen sind Software- und Hardwareprodukte, deren Zweck eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz einschließt. Dazu gehören beispielsweise Router, Industriesteuerungen, Betriebssysteme, Anwendungssoftware und vernetzte Geräte.
Ausgenommen sind unter anderem Produkte, die bereits durch sektorspezifische EU-Rechtsakte vollständig geregelt sind – etwa für Medizinprodukte oder die Zivilluftfahrt.
Der CRA trat am 10. Dezember 2024 in Kraft. Die meisten Pflichten – darunter die technischen Sicherheitsanforderungen und die Konformitätsbewertung – gelten ab dem 11. Dezember 2027. Die Meldepflichten nach Art. 14 CRA greifen jedoch bereits ab dem 11. September 2026.
Tipp: Bei activeMind.legal Rechtsanwälte finden Sie eine ausführliche Vorstellung des Cyber Resilience Acts für Unternehmen.
Welche Vorfälle müssen Hersteller unter dem CRA melden?
Art. 14 CRA regelt zwei eigenständige Meldepflichten, die nebeneinander bestehen und unterschiedliche Auslöser haben:
Erste Meldepflicht: Aktiv ausgenutzte Schwachstellen
Die erste Pflicht betrifft aktiv ausgenutzte Schwachstellen (Art. 14 Abs. 1 CRA). Eine Schwachstelle ist zumindest dann aktiv ausgenutzt, sobald verlässliche Nachweise dafür vorliegen, dass ein Angreifer sie tatsächlich nutzt, um auf das Produkt zuzugreifen, es zu manipulieren oder Daten abzugreifen.
Hersteller, die Kenntnis von einer solchen Schwachstelle erlangen oder Grund zu der Annahme haben, dass eine aktiv ausgenutzte Schwachstelle in ihrem Produkt vorliegt, sind ab diesem Moment zur Meldung verpflichtet.
Bloße theoretische Angreifbarkeit oder bekannte, aber noch nicht ausgenutzte Sicherheitslücken dürften diese Meldepflicht dagegen noch nicht auslösen.
Zweite Meldepflicht: Schwerwiegende Sicherheitsvorfälle
Die zweite Pflicht betrifft schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken (Art. 14 Abs. 3 CRA).
Ein Sicherheitsvorfall ist nach Art. 14 Abs. 5 CRA schwerwiegend,
- wenn er sich auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Funktionen negativ auswirkt oder auswirken kann oder
- wenn er zur Einführung oder Ausführung böswilligen Codes in einem Produkt geführt hat oder dazu führen kann.
Auch hier ist der Maßstab die tatsächliche Kenntnis des Herstellers. Hersteller sind daher gut beraten, interne Monitoringprozesse zu etablieren, die eine schnelle Klassifizierung eines erkannten Vorfalls ermöglichen – denn die Meldefristen beginnen mit dem Zeitpunkt der Kenntniserlangung zu laufen.
Welche Fristen gelten für die Meldungen nach Art. 14 CRA?
Die Meldefristen sind eng und folgen einem dreistufigen System, das dem aus § 32 BSIG bekannten Modell der Meldung für NIS2 ähnelt:
Frühwarnung (24 Stunden)
Unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntniserlangung ist eine erste Frühwarnung einzureichen (Art. 14 Abs. 2 Buchst. a bzw. Abs. 4 Buchst. a CRA).
Die Frühwarnung muss angeben, ob die Schwachstelle vermutlich böswillig ausgenutzt wurde.
Meldung (72 Stunden)
Spätestens innerhalb von 72 Stunden folgt eine vollständige Meldung mit einer ersten Bewertung des Vorfalls oder der Schwachstelle, einschließlich des Schweregrads, der Auswirkungen und der bereits ergriffenen Maßnahmen (Art. 14 Abs. 2 Buchst. b bzw. Abs. 4 Buchst. b CRA).
Abschlussbericht (Schwachstellen: 14 Tage, Sicherheitsvorfälle: 1 Monat)
Spätestens 14 Tage nach Bereitstellung einer Sicherheitsaktualisierung oder einer anderen Korrekturmaßnahme bzw. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls ist ein Abschlussbericht vorzulegen. Dieser muss unter anderem eine detaillierte Beschreibung der Schwachstelle oder des Sicherheitsvorfalls, den Schweregrad, betroffene Produkte und Versionen, böswillige Akteure sowie Informationen über die ergriffenen Korrektur- oder Abhilfemaßnahmen enthalten.
Wichtig: Die Meldepflicht begründet nach Art. 17 Abs. 4 CRA ausdrücklich keine erhöhte Haftung für den meldenden Hersteller. Das Gesetz setzt damit einen bewussten Anreiz zur proaktiven Offenlegung.
An wen ist die Meldung nach Art. 14 CRA zu richten?
Hersteller übermitteln ihre Meldungen über die einheitliche Meldeplattform der ENISA (European Union Agency for Cybersecurity) (Art. 16 CRA) und erreichen damit gleichzeitig das zuständige CSIRT (Computer Security Incident Response Team) als Koordinator und die ENISA selbst (Erwägungsgrund 65, Art. 14 Abs. 1 CRA). Eine separate Meldung an mehrere Stellen ist ausdrücklich nicht erforderlich.
- Hat ein Hersteller seine Hauptniederlassung in der EU, ist das CSIRT des Niederlassungsmitgliedstaats zuständig (in Deutschland das Bundesamt für Sicherheit in der Informationstechnik – BSI).
- Fehlt eine Hauptniederlassung in der EU, bestimmt Art. 14 Abs. 7 CRA eine Rangfolge: Vorrangig ist der Mitgliedstaat des Bevollmächtigten oder anderer Marktakteure, die für den Hersteller handeln; hilfsweise der Mitgliedstaat mit den meisten Nutzern des Produkts.
Wie funktioniert die einheitliche Meldeplattform der ENISA?
Zur technischen Abwicklung richtet die Europäische Agentur für Cybersicherheit (ENISA) nach Art. 16 CRA eine einheitliche Meldeplattform ein. Hersteller sollen die Meldung über einen einzigen digitalen Endpunkt einreichen können, unabhängig davon, in welchem Mitgliedstaat sie niedergelassen sind. Das national zuständige CSIRT empfängt die Meldung über diese Plattform und leitet sie bei Bedarf an die Marktüberwachungsbehörde sowie an andere betroffene Stellen weiter.
Die ENISA übernimmt nach Art. 14 Abs. 1 CRA die Weiterleitung der Meldungen zu aktiv ausgenutzten Schwachstellen an die national zuständigen CSIRTs und informiert das CSIRTs-Netzwerk. Damit wird die Koordination grenzüberschreitender Vorfälle zentralisiert und Doppelmeldungen an mehrere nationale Behörden werden vermieden.
Die einheitliche Meldeplattform der ENISA befindet sich noch im Aufbau. Unternehmen sollten die Entwicklung aktiv verfolgen und rechtzeitig vor dem 11. September 2026 prüfen, ob die Plattform in ihre internen Incident-Response-Prozesse integriert werden kann.
Können auch freiwillige Meldungen unter dem CRA eingereicht werden?
Art. 15 CRA ermöglicht es Herstellern und anderen Personen, auf freiwilliger Basis Schwachstellen zu melden, die nicht die Schwelle der Meldepflicht erreichen. Das gilt etwa für Schwachstellen, die bekannt, aber noch nicht aktiv ausgenutzt werden, oder für Cyberbedrohungen, die das Risikoprofil eines Produkts beeinflussen könnten, ohne dass bereits ein Vorfall eingetreten ist.
Freiwillige Meldungen werden von der ENISA und dem zuständigen CSIRT ähnlich behandelt wie Pflichtmeldungen. Das Gesetz betont ausdrücklich: Die bloße Meldung nach Art. 14 und Art. 15 CRA begründet keine erhöhte Haftung.
Wie sollten Unternehmen die CRA-Meldepflichten umsetzen?
Um den Meldepflichten des Cyber Resilience Acts entsprechen zu können, müssen in Unternehmen bestimmte Voraussetzungen geschaffen werden.
- Sicherheitslücken – auch noch nicht ausgenutzte – sind rechtzeitig zu identifizieren. Dafür lohnt es sich, Verantwortlichkeiten und Kommunikationskanäle innerhalb des Unternehmens festzulegen sowie entsprechende Informationskanäle (Fachportale etc.) zu etablieren und technische Maßnahmen wie regelmäßige Penetrationstests etc. einzurichten.
- Auch (schwerwiegende) Sicherheitsvorfälle müssen zeitnah erkannt werden. Hier gelten die gleichen Anforderungen wie zuvor; zusätzlich sind organisatorische und technische Maßnahmen zur Beweissicherung und zur Wiederherstellung der Systeme zu treffen.
- Die knappen Meldefristen erfordern eine klare Regelung der Prozesse sowie eine regelmäßige Schulung aller Beteiligten. So muss etwa auch der Support wissen, wen er bei einem von Kunden berichteten Vorfall zu informieren hat. Insbesondere Im Krisenfall muss allen Beteiligten durch einen klaren Prozess bewusst sein, welchen Schritten für eine erfolgreiche Bewältigung gefolgt werden muss.
Insgesamt kommen Unternehmen nicht darum, ein Incident-Response-Management – ähnlich wie unter der NIS2-Richtlinie – zu errichten und vor allem regelmäßig mit allen Verantwortlichen zu erproben.
Fazit: Meldeprozesse jetzt einrichten – nicht erst 2027
Die Meldepflichten nach Art. 14 CRA sind Teil des operativen Schwachstellen- und Vorfallsmanagements von Herstellern. Wer ab dem 11. September 2026 rechtssicher aufgestellt sein will, sollte schon jetzt interne Meldeketten definieren, Verantwortlichkeiten festlegen und die technische Anbindung an die ENISA-Plattform vorbereiten, um zuverlässig melden zu können.
Die Fristen von 24 bzw. 72 Stunden gelten ab Kenntniserlangung. Der CRA sieht keine ausdrücklichen Ausnahmen für Wochenenden oder Feiertage vor.
Format und Verfahren der Meldung können noch durch einen Durchführungsrechtsakt der Kommission nach Art. 14 Abs. 10 CRA konkretisiert werden – ein solcher liegt derzeit noch nicht vor. Hersteller sollten die weiteren Entwicklungen bis zum Anwendungsdatum am 11. September 2026 aktiv verfolgen.
