Greenbone AG

Die CRA-Frist im September 2026: Was Hersteller jetzt tun müssen

Zeitkritisch

Dieser Artikel befasst sich mit dem Meldepflicht-Stichtag am 11. September 2026 — dem ersten verbindlichen Durchsetzungsmeilenstein des Cyber Resilience Act. Stand Anfang Juni 2026 verbleiben Ihnen noch ca. 100 Tage zur Vorbereitung.

Die meisten Unternehmen, die den CRA als ein Problem für 2027 betrachten, hinken bereits hinterher. Laut dem „2026 CRA Awareness and Readiness Report“ von OpenSSF und Linux Foundation Research sind 66 % der befragten Softwarehersteller nach wie vor nicht mit der Verordnung vertraut – und diese Zahl ist im Vergleich zum Vorjahr gestiegen. Der erste Stichtag für die Durchsetzung ist nicht Dezember 2027. Es ist der 11. September 2026, an dem die Meldepflichten für Sicherheitslücken gemäß Artikel 14 rechtsverbindlich werden. Ab diesem Datum sind Sie verpflichtet, eine Frühwarnung über die ENISA Single Reporting Platform einzureichen, wenn eine Sicherheitslücke in Ihrem Produkt aktiv ausgenutzt wird, und zwar innerhalb von 24 Stunden, nachdem Sie davon Kenntnis erlangt haben. Verpassen Sie diese Frist, verstoßen Sie bereits gegen die Vorschriften – mit einem Bußgeld von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Was genau müssen Sie ab September 2026 tun?

Die Meldepflicht wird durch zwei Bedingungen ausgelöst, von denen jede Maßnahmen erfordert:

  • Eine aktiv ausgenutzte Schwachstelle in einem Ihrer betroffenen Produkte, unabhängig vom Schweregrad
  • Ein schwerwiegender Vorfall, der die Sicherheit Ihrer Produkte beeinträchtigt – zum Beispiel eine erhebliche Sicherheitsverletzung oder eine systemische Kompromittierung

Sobald eine der beiden Bedingungen erfüllt ist, beginnt eine dreistufige Meldeprozedur:

Stufe 1 — Frühwarnung: Innerhalb von 24 Stunden

Reichen Sie über die ENISA Single Reporting Platform (SRP) eine Frühwarnung ein, in der Sie bestätigen, dass Ihnen eine aktiv ausgenutzte Schwachstelle bekannt ist. In dieser Phase müssen Sie noch keine vollständigen technischen Details angeben. Der Zweck besteht darin, zu signalisieren, dass Sie sich der Situation bewusst sind und diese im Griff haben. Die SRP leitet den Bericht automatisch gleichzeitig an Ihren nationalen CSIRT-Koordinator und an die ENISA weiter.

Stufe 2 — Vollständige Meldung: Innerhalb von 72 Stunden

Reichen Sie eine vollständige Meldung ein, die technische Details zur Schwachstelle, eine erste Schweregradbewertung (unter Verwendung von CVSS oder einem gleichwertigen System), betroffene Produkte und Versionen sowie alle verfügbaren Abhilfemaßnahmen oder Workarounds enthält. Dieser Bericht muss korrekt und vollständig sein – übereilte oder ungenaue Berichte können zu Strafen der Stufe 3 wegen der Bereitstellung falscher Informationen führen.

Stufe 3 — Abschlussbericht: Innerhalb von 14 Tagen nach Veröffentlichung eines Fixes

Sobald Sie ein Sicherheitsupdate oder eine Abhilfe veröffentlicht haben, reichen Sie innerhalb von 14 Tagen – oder im Falle eines schwerwiegenden Vorfalls innerhalb eines Monats – einen Abschlussbericht bei der ENISA ein. Damit ist der Meldeprozess abgeschlossen; der Bericht muss eine umfassende Beschreibung der Schwachstelle, eine Ursachenanalyse, eine Folgenabschätzung sowie eine vollständige Darstellung der ergriffenen Abhilfemaßnahmen enthalten.

Ein Detail, das die meisten Teams übersehen: Es gilt auch für bestehende Produkte

Die Meldepflichten ab September 2026 gelten nicht nur für Produkte, die nach diesem Datum auf den Markt gebracht werden. Gemäß Artikel 69 Absatz 3 der CRA gelten sie für alle Produkte mit digitalen Elementen, die bereits auf dem EU-Markt sind, einschließlich Produkten, die Jahre vor Inkrafttreten der CRA ausgeliefert wurden. Wenn eine Schwachstelle in einem Produkt, das Sie 2021 veröffentlicht haben, im September 2026 aktiv ausgenutzt wird, sind Sie verpflichtet, dies zu melden. Das überrascht viele Teams: Der Geltungsbereich dieser Verpflichtung umfasst Ihren gesamten aktiven Produktkatalog, nicht nur Ihre nächste Version.

Ein zweites Detail, das es zu beachten gilt: Die 24-Stunden-Frist beginnt bei der begründeten Annahme einer aktiven Ausnutzung, nicht erst bei bestätigten forensischen Beweisen. Wenn Ihre Überwachung glaubwürdige Anzeichen für eine Ausnutzung meldet, können Sie nicht auf Gewissheit warten, bevor Sie die Frühwarnung einreichen. Das Warten auf eine Bestätigung ist der Grund, warum Unternehmen das Zeitfenster verpassen werden.

Warum das schwieriger ist, als es klingt

Die meisten Organisationen verfügen nicht über einen erprobten 24-Stunden-Prozess zur Meldung von Schwachstellen. Um einen solchen aufzubauen, ist Folgendes erforderlich:

  • Kontinuierliche Schwachstellenüberwachung: Was Sie nicht sehen können, können Sie auch nicht melden. Echtzeit-Transparenz über Ihr gesamtes Produktportfolio ist die Grundlage des gesamten Prozesses.
  • Klare interne Eskalationswege: Wer wird zuerst benachrichtigt? Wer ist befugt, einen Bericht an die ENISA zu übermitteln? Wer erstellt die technische Dokumentation? All dies muss festgelegt sein, bevor die Uhr zu ticken beginnt.
  • Genaue Produktbestandsaufnahme: Sie müssen genau wissen, welche Produkte betroffen sind und welche aktuellen Versionen im Einsatz sind, einschließlich End-of-Life-Produkten, die sich noch innerhalb der 5-jährigen obligatorischen Support-Frist befinden.
  • Behördenkontakte: Sie benötigen die richtigen ENISA-Meldewege und die Kontaktdaten Ihres nationalen CSIRT griffbereit.
  • Rechtliche Prüfung: Meldungen an Aufsichtsbehörden haben rechtliche Bedeutung. Ihr Rechtsteam muss in den Eskalationsprozess eingebunden sein.

Nichts davon lässt sich an einem Wochenende aufbauen. Organisationen, die noch keine Schwachstellenmanagementprogramme mit dokumentierten Nachweisen betreiben, werden bis September unter erheblichem operativem Druck stehen, um bereit zu sein.

Ihre Checkliste für die Bereitschaft im September 2026

  • Identifizieren Sie alle betroffenen Produkte und bestätigen Sie deren Supportzeiträume, einschließlich älterer Produkte, die bereits auf dem EU-Markt sind
  • Implementieren oder überprüfen Sie kontinuierliche Schwachstellenscans für alle betroffenen Produkte und deren Komponenten
  • Dokumentieren Sie Ihren internen Eskalationsprozess für vermutete, aktiv ausgenutzte Schwachstellen
  • Legen Sie fest, wer für die Einreichung von ENISA-Meldungen verantwortlich ist (Rechtsabteilung, Sicherheitsabteilung oder ein benannter Datenschutzbeauftragter)
  • Registrieren Sie sich bei Ihrem nationalen CSIRT und bereiten Sie sich auf die Registrierung auf der ENISA Single Reporting Platform (SRP) vor
  • Führen Sie eine Tabletop-Übung durch, die ein 24-Stunden-Meldeszenario simuliert
  • Informieren Sie die Geschäftsleitung über Meldepflichten und Haftungsrisiken
  • Stellen Sie sicher, dass Ihre Schwachstellenmanagement-Tools auditfähige Berichte im erforderlichen Format erstellen können

Weitere Fristen im Blick

September 2026 ist der dringlichste Termin, aber nicht der einzige. Bis zum 30. August 2026 sollen harmonisierte Normen für den Umgang mit Schwachstellen (Typ A/horizontal) und die Produktsicherheit (Typ B) veröffentlicht werden – damit erhalten Hersteller ihre ersten verbindlichen Compliance-Maßstäbe. Die vollständige Produktkonformität für alle Kategorien gilt erst ab dem 11. Dezember 2027, doch Organisationen, die auf die Normen warten, bevor sie mit der Arbeit beginnen, haben nur sehr wenig Zeit für die Umsetzung.

Das bedeutet, dass der Sommer 2026 – mit weniger als 100 Tagen bis zur Meldefrist und der Veröffentlichung der harmonisierten Normen nur zwei Wochen davor – eine Phase intensiver, paralleler Compliance-Aktivitäten sein wird. Jetzt mit dieser Reise zu beginnen, ist nicht zu früh. Es ist der letzte Moment, um zu vermeiden, dass man ohne einen getesteten Prozess dasteht, wenn die Uhr zu ticken beginnt.

→ Den vollständigen Leitfaden lesen

Der vollständige Leitfaden zum EU Cyber Resilience Act — alle Anforderungen, Produktkategorien und der vollständige Zeitplan an einem Ort. Zum Leitfaden →

Quellen

  1. Verordnung (EU) 2024/2847 — Cyber Resilience Act (EUR-Lex, offizieller Gesetzestext)
    https://eur-lex.europa.eu/eli/reg/2024/2847/2024-11-20

  2. 2026 CRA Awareness and Readiness Report — OpenSSF / Linux Foundation Research
    https://openssf.org/blog/2026/05/18/taking-stock-of-the-state-of-european-cyber-resilience-act-cra-compliance-an-urgent-wake-up-call-for-the-open-source-ecosystem/

  3. Cyber Resilience Act – Zusammenfassung des Gesetzestextes (Europäische Kommission)
    https://digital-strategy.ec.europa.eu/en/policies/cra-summary

  4. Cyber Resilience Act — ENISA (Einheitliche Meldeplattform)
    https://www.enisa.europa.eu/topics/cyber-resilience-act
Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von