Der EU Cyber Resilience Act hat zwei Fristen, die zählen. Im Dezember 2027 ist die vollständige Produktkonformität erforderlich. Doch am 11. September 2026 treten die Meldepflichten für Schwachstellen nach Artikel 14 in Kraft, und dieses Datum gilt für Produkte, die bereits auf dem EU-Markt sind, einschließlich jedes Produkts, das vor September 2026 in Verkehr gebracht wurde.
Mit den verbleibenden fünf Monaten lohnt es sich, präzise zu sein, was „konform“ an diesem Datum bedeutet und welche Infrastruktur bis dahin einsatzbereit sein muss.
Was der September 2026 ist und was nicht
Die September-Frist verlangt von Herstellern nicht, dass sie Konformitätsbewertungen abgeschlossen, die CE-Kennzeichnung angebracht oder die vollständige technische Dokumentation nach Anhang VII erstellt haben. Diese Pflichten folgen im Dezember 2027.
Was sie verlangt, ist, dass jeder Hersteller, Einführer oder Händler von Produkten mit digitalen Elementen, die in der EU verkauft werden, über einen funktionierenden Prozess zur Schwachstellenbehandlung verfügt, der die Meldepflichten des Artikels 14 in dem Moment erfüllen kann, in dem er von einer aktiv ausgenutzten Schwachstelle Kenntnis erlangt. Die Uhr wartet nicht, bis die Infrastruktur aufgebaut ist.
Die zwei Artikel, die zählen
Artikel 13: die VDP-Pflicht
Artikel 13 schreibt vor, dass Hersteller einen öffentlich zugänglichen, sicheren Kanal bereitstellen, über den Sicherheitsforscher und Kunden potenzielle Schwachstellen melden können. Das ist die Richtlinie zur koordinierten Offenlegung von Schwachstellen (VDP), früher eine Best Practice nach ISO/IEC 29147, jetzt eine gesetzliche Anforderung.
Das VDP ist nicht bloß eine administrative Pflicht. Es ist der primäre Eingangsmechanismus, über den ein Hersteller zuerst erfahren kann, dass eines seiner Produkte aktiv ausgenutzt wird. Ohne ihn kann der erste Auslöser für Artikel 14 ohne Vorwarnung und ohne Prozess zu seiner Bewältigung eintreffen.
Artikel 14: die Meldekaskade
Sobald ein Hersteller Kenntnis davon erlangt, dass eine Schwachstelle in seinem Produkt im Feld aktiv ausgenutzt wird, ist die folgende Abfolge verpflichtend:
- Innerhalb von 24 Stunden: Übermittlung einer Frühwarnung an die zentrale CRA-Meldeplattform, die sie zentral an ENISA und an das zuständige nationale CSIRT weiterleitet.
- Innerhalb von 72 Stunden: Übermittlung einer detaillierten technischen Meldung zu Schweregrad, Umfang, Kompromittierungsindikatoren und bekannten betroffenen Versionen.
- Innerhalb von 14 Tagen (bei Schwachstellen) oder 30 Tagen (bei erheblichen Vorfällen): Übermittlung eines Abschlussberichts zu Grundursache, Korrektur oder Risikominderung und Offenlegungsstrategie.
Die Offenlegungsstrategie ist kein nachträglicher Gedanke. Sie muss den Behörden als Teil des Abschlussberichts mitgeteilt werden und muss Transparenz gegen das Risiko abwägen, Bedrohungsakteuren zu helfen.
Was „einsatzbereit“ tatsächlich bedeutet
Diese Pflichten auf dem Papier zu erfüllen ist unkompliziert. Sie unter Druck zu erfüllen, um 2 Uhr nachts, bei einem Produkt, das vor drei Jahren ausgeliefert wurde, ist die operative Herausforderung.
Hersteller, die bis September 2026 zuverlässig konform sein werden, verfügen über:
Einen getesteten Eingangsprozess. Das VDP ist live, öffentlich zugänglich und besetzt. Einreichungen werden innerhalb definierter SLAs triagiert. Forscher erhalten gemäß der Best Practice von ISO/IEC 29147 innerhalb von 48 Stunden eine Bestätigung.
Eine festgelegte Triage-Befugnis. Jemand hat die ausdrückliche Befugnis, eine aktive Ausnutzung zu erklären und die Meldekaskade nach Artikel 14 auszulösen, ohne eine Freigabe auf C-Ebene zu benötigen. Auf eine rechtliche Genehmigung während eines 24-Stunden-Fensters zu warten, ist der Weg, auf dem Fristen verpasst werden.
Vorgefertigte Berichtsvorlagen. Die Formulare für die Frühwarnung und die detaillierte Meldung sind entworfen, getestet und bereit. Die Zugangsdaten für die zentrale Meldeplattform sind geprüft. Der zuständige nationale CSIRT-Kontakt ist dokumentiert.
Einen Prüfpfad. Jede entgegengenommene Meldung, jede getroffene Triage-Entscheidung, jede gesendete Mitteilung, mit Zeitstempel versehen und aufbewahrt. Das ist der Nachweis, dass der Prozess wie gefordert funktioniert hat.
Die KMU-Lücke
Bei großen Organisationen mit etablierten PSIRTs existiert vieles davon möglicherweise bereits in irgendeiner Form. Bei der Mehrheit der KMU, die Hardware oder Software in den EU-Markt verkaufen, den Herstellern von Routern, Industriesteuerungen, vernetzten Geräten und Produkten mit eingebetteter Firmware, existiert nichts davon.
Ein konformes VDP, eine strukturierte Erfassung, einen Triage-Workflow, einen Mechanismus zur Behördenmeldung und einen Prüfpfad selbst aufzubauen, erfordert Monate an Entwicklung und rechtlicher Abstimmung. Für Organisationen, die heute bei null beginnen, sind fünf Monate knapp.
Wie CVD Portal die Lücke schließt
CVD Portal wurde speziell für dieses Problem gebaut. Es stellt die vollständige Compliance-Infrastruktur für die Artikel 13 und 14 als Dienst bereit, kostenlos zum Einstieg.
Ein Hersteller, der sich heute registriert, erhält ein gebrandetes Portal zur Offenlegung von Schwachstellen unter ihrunternehmen.cvdportal.com, mit strukturierter Erfassung, automatisierter Nachverfolgung der Bestätigung innerhalb von 48 Stunden, CVSS-basiertem Triage-Workflow, ENISA-konformer Berichtserstellung für die 24- und 72-Stunden-Pflichten, vollständigem Prüfpfad und der Erstellung von CSAF-2.0-Sicherheitsmeldungen für die koordinierte öffentliche Offenlegung.
Das Ziel ist es, die Infrastrukturhürde vollständig zu beseitigen, sodass die Frist im September 2026 eine Frage der Prozessbereitschaft ist und kein Entwicklungsprojekt.
Das Fazit
Der September 2026 ist kein weicher Meilenstein. Es ist das Datum, an dem Artikel 14 durchsetzbar wird, für jedes Produkt mit digitalen Elementen, das derzeit auf dem EU-Markt in Gebrauch ist. Organisationen, die an diesem Datum nicht betriebsbereit sind, sind exponiert, unabhängig davon, wo sie auf dem breiteren Konformitätszeitplan bis Dezember 2027 stehen.
Fünf Monate sind genug Zeit, um dorthin zu gelangen. Sie sind nicht genug Zeit, um es auf später zu verschieben.