Bild: Generiert mit Gemini Flash

CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)

7 Min Lesezeit Serie: CRA-Reihe #compliance#cra#meldepflicht#enisa#eu

Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Warum gerade der 11. September 2026 zählt
  5. Zwei Spuren mit demselben 24-Stunden-Kopf
  6. Was eine Meldung enthält und wer sie empfängt
  7. Die Single Reporting Platform
  8. Was passiert, wenn man die Frist verpasst
  9. Abgelehnte Alternativen
  10. Was Sie jetzt tun sollten
  11. Wie Dernium hier hilft
  12. Offene Punkte
  13. Häufige Fragen
  14. Ab wann läuft die 24-Stunden-Frist genau?
  15. Was ist der Unterschied zwischen Frühwarnung, Meldung und Abschlussbericht?
  16. Kann ich die Meldung an einen Dienstleister auslagern?
  17. Was droht bei einer verpassten Frist?
  18. Mehr aus unserer CRA-Reihe

Problem

Eine aktiv ausgenutzte Schwachstelle in Ihrem Produkt ist Stress genug. Dass dann auch noch eine behördliche Uhr mit nur 24 Stunden zu laufen beginnt, übersehen viele Hersteller. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) bringt für Hersteller von Produkten mit digitalen Elementen eine oft unterschätzte Pflicht: die Meldepflicht nach Artikel 14. Sie gilt nicht erst zur CRA-Hauptfrist Ende 2027, sondern schon ab dem 11. September 2026. Wer ab diesem Tag von einer aktiv ausgenutzten Schwachstelle oder einem schweren Sicherheitsvorfall erfährt, hat nur 24 Stunden für die erste Meldung. Die Fristen sind kurz, Empfänger und Plattform neu, und die Angaben lassen sich nicht in letzter Minute zusammensuchen. Dieser Stichtag ist für die Planung darum wichtiger als das ferne Datum 2027.

Für wen ist das? Für Hersteller, die CRA-Meldepflichten bei Schwachstellen und Vorfällen einhalten müssen.

Kurze Antwort

Ab dem 11. September 2026 müssen Hersteller zwei Arten von Ereignissen melden, und zwar gleichzeitig an das zuständige nationale CSIRT (das staatliche Computer-Notfallteam) und an die EU-Cybersicherheitsagentur ENISA. Im Kern:

  • Wer meldet: Sie als Hersteller selbst - Frist und Verantwortung bleiben bei Ihnen.
  • Wohin: zeitgleich an das zuständige CSIRT und an ENISA über die zentrale europäische Meldeplattform (Single Reporting Platform).
  • Spur 1 - aktiv ausgenutzte Schwachstelle: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Korrektur.
  • Spur 2 - schwerer Sicherheitsvorfall: ebenfalls 24 Stunden Frühwarnung und 72 Stunden Meldung, Abschlussbericht aber binnen eines Monats.
  • Zusätzlich: Sie informieren die betroffenen Nutzer über Schwachstelle bzw. Vorfall und mögliche Schutzmaßnahmen.

Dernium CRA stellt dafür die Uhr, bereitet die Felder vor und hält den Status fest.

Tiefgang

Ab Kenntnis laufen die CRA-Fristen: 24 Stunden Frühwarnung, 72 Stunden Meldung, Abschluss nach 14 Tagen oder einem Monat.
Ab Kenntnis laufen die CRA-Fristen: 24 Stunden Frühwarnung, 72 Stunden Meldung, Abschluss nach 14 Tagen oder einem Monat.

Warum gerade der 11. September 2026 zählt

Der CRA ist am 10. Dezember 2024 in Kraft getreten, die Pflichten greifen aber gestaffelt. Nach Artikel 71 gilt die Meldepflicht nach Artikel 14 ab dem 11. September 2026, die übrigen Hersteller-Pflichten inklusive CE-Kennzeichnung erst ab dem 11. Dezember 2027. Der 11. September 2026 ist damit die erste CRA-Pflicht mit festem, nahem Datum. Wer bis dahin keinen Meldeprozess eingeübt hat, steht im Ernstfall unter Zeitdruck vor einer unbekannten Plattform.

Zwei Spuren mit demselben 24-Stunden-Kopf

Artikel 14 unterscheidet zwei Auslöser. Beide beginnen mit einer Frühwarnung binnen 24 Stunden und einer Meldung binnen 72 Stunden, unterscheiden sich aber im Abschluss.

Die erste Spur ist die aktiv ausgenutzte Schwachstelle in Ihrem Produkt. Artikel 14 Absatz 2 verlangt eine Frühwarnung binnen 24 Stunden ab Kenntnis, eine inhaltliche Meldung binnen 72 Stunden und einen Abschlussbericht binnen 14 Tagen, nachdem eine Korrektur- oder Abhilfemaßnahme verfügbar ist.

Die zweite Spur ist der schwere Sicherheitsvorfall mit Auswirkung auf die Produktsicherheit. Nach Artikel 14 Absatz 3 gelten dieselben 24 und 72 Stunden, der Abschlussbericht ist aber nach Artikel 14 Absatz 4 erst einen Monat nach der Meldung fällig.

Was eine Meldung enthält und wer sie empfängt

Gemeldet wird nach Artikel 14 Absatz 1 zeitgleich an das als Koordinator benannte CSIRT und an ENISA. Die Frühwarnung ist bewusst knapp und zeigt nur an, dass etwas vorliegt. Die 72-Stunden-Meldung trägt die Inhalte nach, etwa allgemeine Informationen zum betroffenen Produkt und zur Art des Angriffs oder der Schwachstelle. Auf Anfrage des CSIRT ist nach Artikel 14 Absatz 6 zusätzlich ein Zwischenbericht zu liefern. Davon unabhängig müssen Sie nach Artikel 14 Absatz 8 die betroffenen Nutzer über die Schwachstelle oder den Vorfall sowie über mögliche Schutz- oder Korrekturmaßnahmen informieren.

Die Single Reporting Platform

Die Meldungen laufen über eine einzige europäische Plattform, die ENISA nach Artikel 16 aufbaut und die zum Stichtag bereitstehen soll. Sie ist die zentrale Anlaufstelle und leitet eine Meldung an die zuständigen Stellen weiter. Format und Verfahren kann die Kommission nach Artikel 14 Absatz 10 zudem durch einen Durchführungsrechtsakt (eine ausführende Verordnung der EU-Kommission) festlegen. Für die Praxis heißt das: Die konkreten Formulare können sich noch ändern. Die Vorbereitung sollte deshalb flexibel bleiben, nicht auf eine starre Maske gebaut.

Was passiert, wenn man die Frist verpasst

Die Meldepflicht ist mit Sanktionen bewehrt. Artikel 64 sieht für Verstöße gegen die Hersteller- und Meldepflichten Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, was höher ist. Die kurze Frist ist also kein unverbindlicher Richtwert, sondern eine harte Vorgabe, deren Einhaltung Sie nachweisen können sollten.

Abgelehnte Alternativen

Auf den Durchführungsrechtsakt zum Meldeformat zu warten, bevor man sich vorbereitet, ist keine gute Idee: Die 24-Stunden-Frist gilt ab dem 11. September 2026, unabhängig davon, wie detailliert das Format dann ist. Auch die Meldung im Ernstfall an einen externen Dienstleister auszulagern, der sie im eigenen Namen absendet, trägt nicht: Die Meldepflicht trifft den Hersteller, und eine Stellvertretung verlagert das Haftungsrisiko bei verpasster Frist nicht weg, sondern verkompliziert es nur. Sinnvoll ist, den Meldeweg vorab einzuüben, die Datenquellen zu kennen und die Felder vorzubereiten, damit im Ernstfall nur noch geprüft und abgesendet wird.

Was Sie jetzt tun sollten

  1. Den Kenntniszeitpunkt erfassbar machen. Legen Sie fest, wer im Haus einen Befund als meldepflichtig einstuft und wie der Zeitpunkt der ersten Kenntnis dokumentiert wird - ab ihm laufen die 24 Stunden.
  2. Den Meldeweg vorab einüben. Klären Sie, welches CSIRT für Sie zuständig ist, und spielen Sie eine fiktive Frühwarnung einmal durch, statt im Ernstfall die Plattform zum ersten Mal zu sehen.
  3. Die Pflichtfelder vorbereiten. Halten Sie Produktidentifikation, Versionsstände und die Software-Stückliste (SBOM) griffbereit, damit die 72-Stunden-Meldung nicht an fehlenden Stammdaten scheitert.
  4. Die Nutzer-Information mitplanen. Nach Artikel 14 Absatz 8 müssen Sie auch betroffene Nutzer informieren - legen Sie vorab fest, über welchen Kanal das passiert.
  5. Den Nachweis sichern. Dokumentieren Sie jede Meldung samt Zeitstempel und Beleg revisionssicher; im Streitfall müssen Sie die Fristeinhaltung belegen können.

Wie Dernium hier hilft

Dernium versteht sich bei der Meldepflicht ausdrücklich als Assistenz, nicht als Stellvertreter und nicht als Rechtsberatung. In Dernium CRA startet ein Fristen-Timer, sobald Sie einen Befund als meldepflichtig markieren: Er zählt den 24-Stunden-, 72-Stunden- und 14-Tage- beziehungsweise Ein-Monats-Countdown ab dem von Ihnen erfassten Kenntniszeitpunkt und erinnert Sie rechtzeitig. Aus dem Befund und der zugehörigen SBOM (der Stückliste der Software-Bausteine) schlagen wir vor, wie Sie die Meldefelder ausfüllen können, sodass Sie Frühwarnung, Meldung und Abschlussbericht nur noch prüfen und ergänzen. Ob ein Fall "aktiv ausgenutzt" oder "schwer" ist, entscheiden Sie jederzeit selbst; wir erklären die Kriterien verständlich, geben aber keine rechtliche Wertung ab. Abgesendet wird ausschließlich von Ihnen selbst. Danach vermerken Sie "extern eingereicht" samt Beleg, und der Vorgang wandert revisionssicher in Ihre Nachweis-Historie, denn eine CRA-Meldung ist selbst ein nachweisrelevantes Ereignis. SBOM, Schwachstellen-Abgleich und Historie, aus denen eine Meldung gespeist wird, pflegen wir ohnehin laufend für Sie.

Offene Punkte

Der Durchführungsrechtsakt zum Meldeformat nach Artikel 14 Absatz 10 sowie der technische Ablauf der Single Reporting Platform sind zum Redaktionszeitpunkt noch nicht abschließend veröffentlicht. Ebenso präzisieren sich Abgrenzungsfragen erst durch Leitlinien weiter, etwa was als schwerer Vorfall mit Auswirkung auf die Produktsicherheit gilt. Wir verfolgen den Stand laufend und passen die Meldepflicht-Assistenz an, sobald neue Vorgaben vorliegen. Das Grundprinzip ändert sich nicht: Frist und Verantwortung bleiben bei Ihnen, und das Absenden verbleibt bei Nutzung von Derniums Assistenz allein in Ihrer Hand.

Häufige Fragen

Ab wann läuft die 24-Stunden-Frist genau?

Sie beginnt mit der Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schweren Sicherheitsvorfall. "Aktiv ausgenutzt" heißt: Es gibt Anzeichen, dass die Lücke tatsächlich angegriffen wird, nicht nur, dass sie theoretisch existiert. Genau deshalb sollten Sie intern klar regeln, wer einen Befund einstuft und wann der Kenntniszeitpunkt festgehalten wird.

Was ist der Unterschied zwischen Frühwarnung, Meldung und Abschlussbericht?

Die Frühwarnung (24 Stunden) ist eine kurze Anzeige, dass etwas vorliegt. Die Meldung (72 Stunden) trägt die inhaltlichen Angaben nach - betroffenes Produkt, Art des Angriffs oder der Schwachstelle. Der Abschlussbericht fasst am Ende zusammen; er ist bei der ausgenutzten Schwachstelle binnen 14 Tagen nach verfügbarer Korrektur fällig, beim schweren Vorfall binnen eines Monats.

Kann ich die Meldung an einen Dienstleister auslagern?

Ein Dienstleister kann Sie vorbereiten und unterstützen, aber die Meldepflicht trifft rechtlich den Hersteller. Eine Stellvertretung, die im eigenen Namen meldet, verlagert das Haftungsrisiko bei verpasster Frist nicht weg. Das Absenden sollte deshalb bei Ihnen liegen - mit einer Assistenz, die Felder vorbereitet und Fristen im Blick hält.

Was droht bei einer verpassten Frist?

Artikel 64 des CRA sieht für Verstöße gegen die Hersteller- und Meldepflichten Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, was höher ist. Zugleich sollten Sie die Fristeinhaltung belegen können - dokumentieren Sie jede Meldung mit Zeitstempel.

Mehr aus unserer CRA-Reihe