CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)
Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.
Problem
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) bringt für Hersteller von Produkten mit digitalen Elementen eine Pflicht mit, die viele unterschätzen: die Meldepflicht nach Artikel 14. Sie ist nicht erst zur großen CRA-Hauptfrist Ende 2027 zu erfüllen, sondern bereits ab dem 11. September 2026. Wer ab diesem Tag von einer aktiv ausgenutzten Schwachstelle oder einem schweren Sicherheitsvorfall erfährt, hat nur 24 Stunden Zeit für die erste Meldung. Die Fristen sind kurz, die Empfänger und die Plattform sind neu, und die Felder einer Meldung lassen sich nicht in letzter Minute aus dem Nichts zusammensuchen. Genau das ist der Grund, warum dieser eine Stichtag für die Planung wichtiger ist als das ferne Datum 2027.
Kurze Antwort
Ab dem 11. September 2026 müssen Hersteller zwei Arten von Ereignissen melden, und zwar gleichzeitig an das zuständige nationale CSIRT und an die EU-Agentur ENISA über die zentrale europäische Meldeplattform (Single Reporting Platform). Erstens eine aktiv ausgenutzte Schwachstelle im Produkt: Frühwarnung binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Korrektur. Zweitens ein schwerer Sicherheitsvorfall mit Auswirkung auf die Produktsicherheit: ebenfalls 24 Stunden Frühwarnung und 72 Stunden Meldung, Abschlussbericht aber binnen eines Monats. Die Frist und die Verantwortung tragen Sie als Hersteller selbst. Dernium CRA kann Ihnen die Arbeit erleichtern, indem es die Uhr stellt, die Felder vorbereitet und den Status festhält.
Tiefgang
Warum gerade der 11. September 2026 zählt
Der CRA ist am 10. Dezember 2024 in Kraft getreten, die meisten Pflichten greifen jedoch gestaffelt. Nach Artikel 71 gilt die Meldepflicht nach Artikel 14 ab dem 11. September 2026, die übrigen Hersteller-Pflichten inklusive CE-Kennzeichnung erst ab dem 11. Dezember 2027. Damit ist der 11. September 2026 die erste CRA-Pflicht mit einem festen, nahen Datum. Wer bis dahin keinen Meldeprozess eingeübt hat, steht im Ernstfall unter Zeitdruck vor einer unbekannten Plattform.
Zwei Spuren mit demselben 24-Stunden-Kopf
Artikel 14 unterscheidet zwei Auslöser, die beide mit einer Frühwarnung binnen 24 Stunden und einer Meldung binnen 72 Stunden beginnen, sich aber im Abschluss unterscheiden.
Die erste Spur ist die aktiv ausgenutzte Schwachstelle in Ihrem Produkt. Hier verlangt Artikel 14 Absatz 2 eine Frühwarnung binnen 24 Stunden ab Kenntnis, eine inhaltliche Meldung binnen 72 Stunden und einen Abschlussbericht binnen 14 Tagen, nachdem eine Korrektur- oder Abhilfemaßnahme verfügbar ist.
Die zweite Spur ist der schwere Sicherheitsvorfall mit Auswirkung auf die Produktsicherheit. Nach Artikel 14 Absatz 3 gelten dieselben 24 und 72 Stunden, der Abschlussbericht ist aber nach Artikel 14 Absatz 4 erst einen Monat nach der Meldung fällig.
Was eine Meldung enthält und wer sie empfängt
Gemeldet wird nach Artikel 14 Absatz 1 zeitgleich an das als Koordinator benannte CSIRT und an ENISA. Die Frühwarnung ist bewusst knapp: Sie zeigt nur an, dass etwas vorliegt. Die 72-Stunden-Meldung trägt die inhaltlichen Angaben nach, etwa allgemeine Informationen zum betroffenen Produkt und zur Art des Exploits oder der Schwachstelle. Auf Anfrage des CSIRT ist nach Artikel 14 Absatz 6 zusätzlich ein Zwischenbericht zu liefern. Unabhängig davon müssen Sie nach Artikel 14 Absatz 8 die betroffenen Nutzer über die Schwachstelle oder den Vorfall und über mögliche Schutz- oder Korrekturmaßnahmen informieren.
Die Single Reporting Platform
Die Meldungen laufen über eine einzige europäische Meldeplattform, die ENISA nach Artikel 16 aufbaut und die zum Stichtag bereitstehen soll. Sie ist die zentrale Anlaufstelle und leitet eine Meldung an die zuständigen Stellen weiter. Das genaue Format und Verfahren der Meldungen kann die Kommission nach Artikel 14 Absatz 10 zudem durch einen Durchführungsrechtsakt festlegen. Für die Praxis heißt das: Die konkreten Formulare können sich noch ändern, weshalb die Vorbereitung auf den Meldeprozess flexibel bleiben sollte und nicht auf eine starre Maske gebaut werden darf.
Was passiert, wenn man die Frist verpasst
Die Meldepflicht ist mit Sanktionen bewehrt. Artikel 64 sieht für Verstöße gegen die Hersteller- und Meldepflichten Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, was höher ist. Die kurze Frist ist also kein unverbindlicher Richtwert, sondern eine harte Vorgabe, deren Einhaltung Sie nachweisen können sollten.
Abgelehnte Alternativen
Auf den Durchführungsrechtsakt zum genauen Meldeformat zu warten, bevor man sich vorbereitet, ist keine gute Idee: Die 24-Stunden-Frist gilt ab dem 11. September 2026, unabhängig davon, wie detailliert das Format zu diesem Zeitpunkt ausgestaltet ist. Auch der Gedanke, die Meldung im Ernstfall einfach an einen externen Dienstleister auszulagern, der sie im eigenen Namen absendet, trägt nicht: Die Meldepflicht trifft den Hersteller, und eine Stellvertretung bei einer verpassten Frist verlagert das Haftungsrisiko nicht weg, sondern verkompliziert es in der Praxis nur. Sinnvoll ist, den Meldeweg vorab einzuüben, die Datenquellen zu kennen und die Felder vorzubereiten, damit im Ernstfall nur noch geprüft und abgesendet werden muss.
Wie Dernium hier hilft
Dernium versteht sich bei der Meldepflicht ausdrücklich als Assistenz, nicht als Stellvertreter und nicht als Rechtsberatung. Im Dernium CRA-Nachweis startet, sobald Sie einen Befund als meldepflichtig markieren, ein Fristen-Timer den 24-Stunden-, 72-Stunden- und 14-Tage- beziehungsweise Ein-Monats-Countdown ab dem von Ihnen erfassten Kenntniszeitpunkt und erinnert Sie rechtzeitig. Aus dem Befund und der zugehörigen SBOM schlagen wir Ihnen konkret vor wie Sie die Meldefelder ausfüllen können, sodass Sie Frühwarnung, Meldung und Abschlussbericht nur noch prüfen und ergänzen. Ob ein Fall „aktiv ausgenutzt“ oder „schwer“ ist, entscheiden Sie dabei jederzeit selbst; wir erklären die Kriterien verständlich, geben aber keine rechtliche Wertung ab. Abgesendet wird ausschließlich von Ihnen selbst, wir bevormunden Sie zu keinem Zeitpunkt. Danach vermerken Sie „extern eingereicht“ samt Beleg, und der Vorgang wandert revisionssicher in Ihre Nachweis-Historie, denn eine CRA-Meldung ist selbst ein nachweisrelevantes Ereignis. Die laufende Pflege von SBOM, Schwachstellen-Abgleich und Historie, aus denen eine Meldung gespeist wird, übernehmen wir ohnehin für Sie.
Offene Punkte
Der Durchführungsrechtsakt zum genauen Meldeformat nach Artikel 14 Absatz 10 sowie der konkrete technische Ablauf der Single Reporting Platform sind zum Redaktionszeitpunkt noch nicht abschließend veröffentlicht. Ebenso präzisieren sich die Abgrenzungsfragen, etwa was als schwerer Vorfall mit Auswirkung auf die Produktsicherheit gilt, erst durch Leitlinien weiter. Wir verfolgen den Stand laufend und passen die Meldepflicht-Assistenz an, sobald neue Vorgaben vorliegen. Was sich nicht ändern wird, ist das Grundprinzip: Die Frist und die Verantwortung bleiben beim Hersteller, und das Absenden verbleibt bei Nutzung von Derniums Assistenz allein in Ihrer Hand.