Ab dem 11. September 2026 gilt die Meldepflicht des Cyber Resilience Act (CRA) für alle Hersteller von Produkten mit digitalen Elementen. Wer Software entwickelt, IoT-Geräte vertreibt oder vernetzte Produkte auf den EU-Markt bringt, muss dann aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden. Bei Verstößen drohen Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes. Die Kanzlei Wetzel erklärt, was der CRA ist, wen er betrifft und was jetzt zu tun ist.

Das Wichtigste auf einen Blick

• Meldepflicht ab 11. September 2026: Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden.
• Dreistufige Meldekette: 24h-Frühwarnung, 72h-Vollmeldung, 14-Tage-Abschlussbericht.
• Betroffen: Alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU vertrieben werden.
• Meldekanal: Zentrale CRA Single Reporting Platform (ENISA); in Deutschland ist das BSI nationale Marktüberwachungsbehörde.
• Vollständige CRA-Anforderungen: Gelten erst ab dem 11. Dezember 2027 – aber die Meldepflicht kommt bereits September 2026.
• Sanktionen: Bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes.

„Der Cyber Resilience Act ist die bislang weitreichendste EU-Regulierung für Cybersicherheit bei vernetzten Produkten. Wer jetzt nicht handelt, steht im September 2026 vor einer Compliance-Lücke – mit erheblichen Haftungsrisiken.”

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung (VO (EU) 2024/2847), die am 10. Dezember 2024 in Kraft getreten ist. Sie legt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen fest, die in der Europäischen Union in Verkehr gebracht werden. Ziel ist es, das Sicherheitsniveau vernetzter Produkte und Software grundlegend zu verbessern und sowohl Verbraucher als auch Unternehmen besser vor Cyberrisiken zu schützen.

Der CRA gilt für ein breites Spektrum an Produkten:

• Klassische Software-Anwendungen (Apps, Desktop-Programme, SaaS-Lösungen)
• Hardware mit eingebetteter Software (Router, Netzwerkkameras, Industriesteuerungen)
• IoT-Geräte (Smart-Home-Produkte, vernetzte Geräte aller Art)
• Sicherheitsprodukte wie Firewalls und Antivirensoftware

Ausnahmen bestehen u. a. für nicht-kommerziell vertriebene Open-Source-Software sowie für bestimmte bereits spezialregulierte Produkte (z. B. Medizinprodukte, Kfz-Systeme, Luftfahrt).

Wer ist betroffen?

Der CRA richtet sich an drei Gruppen in der Lieferkette:

Hersteller sind Unternehmen, die Produkte mit digitalen Elementen entwickeln und in der EU in Verkehr bringen. Sie tragen die Hauptverantwortung und haben die umfangreichsten Pflichten – insbesondere die Meldepflicht.

Importeure führen Produkte von außerhalb der EU in den europäischen Markt ein. Sie müssen sicherstellen, dass die importierten Produkte den CRA-Anforderungen entsprechen, und haften bei Nichtkonformität.

Händler vertreiben Produkte und müssen vor dem Inverkehrbringen prüfen, ob die erforderlichen Kennzeichnungen und Dokumentationen vorhanden sind.

Wichtig für KMU: Auch kleine und mittlere Unternehmen, die Software oder vernetzte Produkte entwickeln oder vertreiben, fallen unter den CRA. Der Gesetzgeber hat jedoch für KMU und Start-ups erleichterte Konformitätsbewertungsverfahren und einen bevorzugten Zugang zu regulatorischen Sandbox-Umgebungen vorgesehen.

Was gilt ab dem 11. September 2026?

Der CRA wird stufenweise eingeführt. Die erste wichtige Frist ist der 11. September 2026: Ab diesem Datum gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle – und zwar für alle Hersteller von Produkten mit digitalen Elementen, die in der EU vertrieben werden.

Ab dem 11. Dezember 2027 gelten dann alle weiteren CRA-Anforderungen vollständig, insbesondere:

• Einhaltung der grundlegenden Cybersicherheitsanforderungen vor dem Inverkehrbringen
• Schwachstellenmanagement über den gesamten Produktlebenszyklus
• Technische Dokumentation und Konformitätsbewertung
• CE-Kennzeichnung für CRA-konforme Produkte

Das bedeutet: Die Meldepflicht kommt früher als die meisten anderen CRA-Anforderungen. Wer jetzt noch kein Prozess zur Schwachstellenmeldung etabliert hat, gerät in Zeitdruck.

Die dreistufige Meldepflicht im Detail

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die CRA Single Reporting Platform der EU-Cybersicherheitsbehörde ENISA melden. Die Meldekette ist dreistufig:

Stufe 1 – Early Warning (binnen 24 Stunden):
Sobald ein Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall erlangt, muss er innerhalb von 24 Stunden eine erste Frühwarnung absetzen. Diese muss zumindest die Information enthalten, ob ein Angriff vorliegt und ob es Hinweise auf böswillige Absicht gibt.

Stufe 2 – Vollmeldung (binnen 72 Stunden):
Innerhalb von 72 Stunden ist eine ausführlichere Meldung einzureichen, die Art und Schwere der Schwachstelle bzw. des Vorfalls, die betroffenen Produkte und erste Abhilfemaßnahmen beschreibt.

Stufe 3 – Abschlussbericht (binnen 14 Tagen):
Spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme ist ein abschließender Bericht einzureichen, der den Vorfall vollständig dokumentiert.

„Eine Schwachstelle gilt als aktiv ausgenutzt, wenn belastbare Hinweise vorliegen, dass Angreifer sie in der Praxis nutzen – nicht erst, wenn ein Schaden eingetreten ist. Die 24-Stunden-Frist ist daher keine Ausnahme, sondern der Normalfall.”

Was muss gemeldet werden?

Die Meldepflicht gilt für zwei Kategorien von Ereignissen:

1. Aktiv ausgenutzte Schwachstellen: Bekannte Sicherheitslücken, für die es aktive Angriffe gibt (sog. „in-the-wild exploitation”). Eine Schwachstelle gilt als aktiv ausgenutzt, sobald belastbare Hinweise vorliegen, dass Angreifer sie konkret nutzen – unabhängig davon, ob beim Meldenden selbst ein Schaden entstanden ist.

2. Schwerwiegende Sicherheitsvorfälle: Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit des Produkts haben oder haben könnten.

Hinweis: Die Meldepflicht gilt unabhängig davon, ob der Hersteller die Schwachstelle selbst entdeckt hat oder ob ihm dies durch Dritte – etwa Sicherheitsforscher, Kunden oder Behörden – mitgeteilt wurde. Betreibt ein Unternehmen ein PSIRT (Product Security Incident Response Team), sollte dieses jetzt auf CRA-Konformität überprüft werden. Weitere Informationen zum Thema IT-Sicherheitsrecht finden Sie auf unserer Leistungsseite.

Koordination mit NIS-2: Doppelte Meldepflichten für betroffene Unternehmen

Unternehmen, die sowohl unter den CRA als auch unter das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) fallen, müssen bei Sicherheitsvorfällen unter Umständen parallel an zwei Stellen melden:

• CRA-Meldung an die ENISA Single Reporting Platform (bei Schwachstellen und Sicherheitsvorfällen)
• NIS-2-Meldung an das BSI (bei erheblichen Sicherheitsvorfällen nach § 30 BSIG)

Die Meldefristen sind dabei ähnlich, aber nicht identisch. Eine sorgfältige Abstimmung der internen Meldeprozesse ist daher essenziell. Weitere Details zu NIS-2 finden Sie in unserem Beitrag NIS-2-Registrierungsfrist abgelaufen: Was jetzt für Ihr Unternehmen gilt.

Sanktionen bei Verstößen gegen den Cyber Resilience Act

Der CRA sieht empfindliche Bußgelder vor:

• Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen
• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verletzung der Meldepflichten
• Bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes bei Übermittlung unrichtiger oder irreführender Informationen

Das BSI kann als nationale Marktüberwachungsbehörde zudem nicht-konforme Produkte vom Markt nehmen, Rückrufe anordnen und den Vertrieb in Deutschland untersagen.

So hilft die Kanzlei Wetzel beim Cyber Resilience Act

Als auf IT-Recht und Datenschutz spezialisierte Kanzlei unterstützt die Kanzlei Wetzel Hersteller, Importeure und Händler bei der Vorbereitung auf den CRA:

• Betroffenheitsanalyse: Prüfung, ob und in welchem Umfang der CRA auf Ihr Unternehmen und Ihre Produkte anwendbar ist
• Meldeprozesse: Aufbau und Dokumentation CRA-konformer Prozesse für Schwachstellenmeldungen und Sicherheitsvorfälle
• Vertragsgestaltung: Anpassung von Lieferanten-, Kunden- und Softwareverträgen an die CRA-Anforderungen
• Koordination NIS-2 und CRA: Abstimmung paralleler Meldepflichten und Aufbau eines integrierten Compliance-Frameworks
• Behördenkommunikation: Unterstützung bei Meldungen an ENISA und das BSI

Besuchen Sie auch unseren „Blog – Recht einfach”, in dem wir juristisch fundierte, aber allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!

Häufige Fragen (FAQ)