TGB Automation

Suche auf tgb-automation.de

Tippe einen Begriff — z.B. „Wallbox 11 kW", „2,5 mm²", „FI Typ B". Drücke Esc zum Schließen.

Cyber Resilience Act

CRA-Meldepflicht ab 11. September 2026: Wer meldet was — und wohin?

11.09.2026 · Meldepflichten nach Art. 14 CRA

Kurzantwort

Ab dem 11. September 2026 müssen Hersteller vernetzter Produkte aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden: Frühwarnung binnen 24 Stunden, Detailmeldung binnen 72 Stunden, Abschlussbericht nach 14 Tagen bzw. einem Monat. Gemeldet wird an das zuständige nationale CSIRT — in Deutschland beim BSI — und an die ENISA über die zentrale EU-Meldeplattform. Wichtig und oft übersehen: Diese Meldepflicht gilt auch für Produkte, die schon vor dem Stichtag auf dem Markt sind.

Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · Cyber Resilience Act

Direkt weiter zum passenden Thema

Passende Folgeberechnungen für diese Parameter-Kombination.

Was genau muss ich ab dem 11. September 2026 melden?

Meldepflichtig sind zwei Ereignis-Typen: erstens jede aktiv ausgenutzte Schwachstelle im eigenen Produkt — also eine Lücke, die Angreifer nachweislich verwenden —, zweitens jeder schwerwiegende Sicherheitsvorfall, der die Sicherheit des Produkts beeinträchtigt. Die alltägliche, nicht ausgenutzte Schwachstelle aus dem eigenen Pentest fällt nicht unter die Meldepflicht; sie gehört in den normalen Umgang mit Schwachstellen, den der CRA ab Dezember 2027 zusätzlich verlangt.

Die Meldung läuft als Kaskade: Innerhalb von 24 Stunden nach Kenntnis geht eine Frühwarnung raus, innerhalb von 72 Stunden folgen die Details (Art der Schwachstelle, betroffene Produkte, mögliche Abhilfe), und den Abschluss bildet ein Bericht — bei Schwachstellen spätestens 14 Tage nach Bereitstellung eines Updates oder Workarounds, bei Vorfällen einen Monat nach der Erstmeldung.

Wohin melde ich — BSI, ENISA oder beide?

Der CRA sieht eine zentrale Single Reporting Platform vor: Die Meldung erreicht darüber gleichzeitig das CSIRT des Mitgliedstaats, in dem der Hersteller seine Hauptniederlassung hat, und die ENISA. In Deutschland ist das BSI die zuständige Stelle — es ist zugleich als Marktüberwachungsbehörde für den CRA benannt und kann nicht-konforme Produkte vom Markt nehmen.

Praktisch heißt das für die Vorbereitung: Wer heute noch keinen Prozess hat, der eine Schwachstellen-Meldung innerhalb eines Arbeitstags auslösen kann, sollte ihn vor dem Stichtag aufsetzen — inklusive Erreichbarkeit außerhalb der Bürozeiten, denn die 24-Stunden-Frist läuft ab Kenntnis, nicht ab dem nächsten Werktag.

Gilt die Meldepflicht auch für meine Bestandsprodukte?

Ja — und das ist der Punkt, der in vielen Planungen fehlt. Die vollen CRA-Produktpflichten (Security by Design, Update-Versorgung, technische Dokumentation, CE-Kennzeichnung) treffen nur Produkte, die ab dem 11. Dezember 2027 in Verkehr gebracht werden. Die Meldepflichten nach Artikel 14 gelten dagegen ab dem 11. September 2026 auch für Produkte, die bereits vorher auf dem Markt waren. Ein Hersteller kann sich der Meldepflicht also nicht mit dem Argument entziehen, das Produkt sei ein Altprodukt.

Für die Praxis bedeutet das: Auch für das Bestandssortiment braucht es ab September 2026 eine Stelle, die Schwachstellen-Hinweise entgegennimmt und bewertet — sonst beginnt die 24-Stunden-Frist zu laufen, ohne dass es jemand merkt.

Wie bereite ich mein Unternehmen in den verbleibenden Wochen vor?

Vier Bausteine reichen für den Start: Erstens eine erreichbare Meldestelle für Schwachstellen-Hinweise (Security-Kontakt auf der Website, gepflegtes Postfach). Zweitens ein interner Eskalationspfad, der binnen Stunden bis zur meldeberechtigten Person führt. Drittens eine Produktliste mit Verantwortlichen — wer beurteilt für welches Produkt, ob eine Lücke aktiv ausgenutzt wird? Viertens ein vorbereitetes Meldeformular-Gerüst mit den Pflichtangaben, damit die 24-Stunden-Frühwarnung kein Blindflug wird.

Die Registrierung und der genaue Ablauf auf der EU-Meldeplattform werden vom BSI begleitet; die BSI-Seite zum Cyber Resilience Act ist die verlässliche deutsche Anlaufstelle für den jeweils aktuellen Verfahrensstand.

Melde-Kaskade nach Art. 14 CRA (ab 11.09.2026)

FristWas wird gemeldetEmpfänger
24 Stunden ab KenntnisFrühwarnung: aktiv ausgenutzte Schwachstelle bzw. schwerwiegender VorfallZuständiges CSIRT (DE: BSI) + ENISA über die zentrale Meldeplattform
72 Stunden ab KenntnisDetailmeldung: Art der Schwachstelle/des Vorfalls, betroffene Produkte, GegenmaßnahmenDieselbe Plattform (Aktualisierung der Frühwarnung)
14 Tage nach Update/WorkaroundAbschlussbericht bei SchwachstellenDieselbe Plattform
1 Monat nach ErstmeldungAbschlussbericht bei SicherheitsvorfällenDieselbe Plattform

Fristen nach Art. 14 der Verordnung (EU) 2024/2847. Die Meldepflicht gilt ab 11.09.2026 auch für Produkte, die vor diesem Datum in Verkehr gebracht wurden.

Häufige Fragen

Fachliche Details zu dieser Parameter-Kombination

Muss ich jede gefundene Schwachstelle melden?
Nein. Meldepflichtig nach Art. 14 CRA sind aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle — nicht jede intern gefundene oder von Forschern gemeldete Lücke. Für nicht ausgenutzte Schwachstellen gelten ab Dezember 2027 die allgemeinen Pflichten zum Schwachstellen-Management (bewerten, beheben, Update bereitstellen).
Was passiert, wenn ich die 24-Stunden-Frist reiße?
Verstöße gegen die CRA-Pflichten können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Wie streng die Marktüberwachung die Meldefristen in der Anlaufphase handhabt, ist offen; ein dokumentierter, ernsthafter Meldeprozess dürfte im Zweifel erheblich helfen.
Gilt die Meldepflicht auch für Importeure und Händler?
Die Meldepflicht nach Art. 14 trifft den Hersteller. Importeure und Händler haben aber eigene Informationspflichten: Wer von einer Schwachstelle oder einem Vorfall Kenntnis erlangt, muss den Hersteller unverrichten — und bei erheblichem Risiko auch die Marktüberwachung. Wer Produkte unter eigener Marke verkauft, gilt selbst als Hersteller.
Brauche ich dafür schon die vollständige CRA-Dokumentation?
Nein. Ab dem 11.09.2026 greifen nur die Meldepflichten. Die vollständigen Anforderungen — technische Dokumentation, Risikobewertung, SBOM, CE-Kennzeichnung unter dem CRA — gelten für Produkte, die ab dem 11.12.2027 in Verkehr gebracht werden. Die Zeit dazwischen ist das Vorbereitungsfenster.

Quellen und Rechtstexte

EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.

Verwandte Berechnungen

Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.

Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.