Der EU Cyber Resilience Act (CRA) führt einen strukturierten, rechtsverbindlichen Rahmen dafür ein, wie Hersteller von Produkten mit digitalen Elementen Schwachstellen handhaben müssen. Während sich viel Aufmerksamkeit auf die Anforderungen der Konformitätsbewertung richtet, haben die Pflichten zur Schwachstellenbehandlung und Meldung eigene, eigenständige Fristen, und die erste davon rückt bereits näher.
Hersteller müssen die Meldepflichten des CRA bis September 2026 erfüllen, deutlich vor der Frist für die vollständige Produktkonformität. Entscheidend ist, dass diese Pflicht für Produkte gilt, die bereits auf dem Markt sind, einschließlich jedes Produkts, das vor September 2026 in Verkehr gebracht wurde.
Woher Schwachstellen kommen: Drei Zuflüsse
Wirksame CRA-Konformität beginnt mit der Erkenntnis, dass Schwachstellen Hersteller über mehrere Kanäle erreichen, jeder mit eigenen operativen Auswirkungen.
Feldmeldungen treffen ein, wenn Schwachstellen in bereits eingesetzten Produkten entdeckt werden. Diese zuverlässig zu erhalten, erfordert eine dokumentierte Richtlinie zur Offenlegung von Schwachstellen (VDP), einen Mechanismus, über den externe Forscher, Kunden und Sicherheitsfachleute Funde strukturiert an den Hersteller melden können. Nach CRA-Artikel 13 ist das eine gesetzliche Anforderung, keine Best Practice.
Lieferantenbenachrichtigungen spiegeln die zusammengesetzte Natur der meisten Produkte wider. Nur wenige Hersteller bauen jede Komponente selbst. Identifiziert ein Komponentenlieferant eine Schwachstelle in etwas, das er an Sie liefert, ist er verpflichtet, nachgelagerte Nutzer zu informieren. Diese Benachrichtigungen fließen direkt in den eigenen Schwachstellenmanagement-Prozess des Herstellers ein.
Proaktive Entdeckung ist der dritte Zufluss, und derjenige, den Hersteller nicht allein durch reaktive Prozesse ersetzen können. Regelmäßige Penetrationstests und interne Sicherheitsüberprüfungen sind anerkannte Ansätze, um ein aktives Bewusstsein für die Schwachstellenlandschaft eines Produkts zu erhalten, bevor andere sie zuerst entdecken.
Ein dreistufiger Pflichtenrahmen
Der CRA legt keine einzige, undifferenzierte Pflicht auf. Er etabliert drei eigenständige Pflichtenstufen, von denen jede unterschiedliche Anforderungen auslöst.
Stufe 1: Alle Schwachstellen bewerten. Hersteller müssen jede Schwachstelle, die für ihr Produkt relevant sein könnte, aktiv handhaben und ihr Risiko bewerten. Es gibt keine Schwelle, unterhalb derer eine Schwachstelle von vornherein ignoriert werden dürfte. Die Pflicht besteht darin, hinzusehen und zu bewerten.
Stufe 2: Bekannte, ausnutzbare Schwachstellen vor der Markteinführung bis zur Behebung verfolgen. Sobald eine Schwachstelle im Kontext des spezifischen Produkts als ausnutzbar erkannt wird, muss der Hersteller sie beheben, bevor er das Produkt in Verkehr bringt. Der Maßstab des CRA ist bewusst gewählt: Produkte müssen frei von bekannten ausnutzbaren Schwachstellen sein, nicht frei von allen Schwachstellen. Wo eine Schwachstelle existiert, im Einsatzkontext des Produkts aber nachweislich nicht ausnutzbar ist, mit dokumentierter Begründung, darf sie bestehen bleiben. Null Schwachstellen ist kein realistischer oder geforderter Maßstab; null ungerechtfertigte ausnutzbare Schwachstellen schon.
Stufe 3: Aktiv ausgenutzte Schwachstellen unverzüglich melden. Wird ein Hersteller gewahr, dass eine Schwachstelle in seinem Produkt im Feld aktiv ausgenutzt wird, stellt dies einen schwerwiegenden Vorfall unter dem CRA dar. Es löst verpflichtende Meldepflichten gegenüber ENISA auf EU-Ebene und gegenüber dem zuständigen nationalen CSIRT aus (in Deutschland das BSI; die Anforderungen variieren je Mitgliedstaat). Diese Pflichten gelten unabhängig davon, wie alt das betroffene Produkt ist.
Die EUVD: Die maßgebliche Referenz für „bekannte“ Schwachstellen
Eine praktische Frage, die sich aus Stufe 2 ergibt, lautet: Wie stellt ein Hersteller fest, ob eine Schwachstelle „bekannt“ ist? Die Antwort ist die Europäische Schwachstellendatenbank (EUVD), die als maßgebliche europäische Referenz zu diesem Zweck dient.
Die EUVD spiegelt den Inhalt der in den USA von MITRE gepflegten CVE- und NVD-Datenbanken wider, das heißt, alle CVEs sind abgebildet. Entscheidend für Compliance-Zwecke ist, dass die EUVD für jeden Eintrag auch eine Ausnutzbarkeitsbewertung enthält. Sobald eine Schwachstelle in der EUVD erscheint, ist die Behauptung, sie sei dem Hersteller unbekannt gewesen, schwer aufrechtzuerhalten. Die Ausnutzbarkeitsklassifizierung liefert eine belastbare Schwelle, um die Bemühungen im Schwachstellenmanagement zu priorisieren.
Hersteller sollten die EUVD-Überwachung in ihre Schwachstellenmanagement-Abläufe integrieren, wo möglich mit Automatisierung, um sicherzustellen, dass sie nicht mit veralteten Informationen arbeiten.
Meldefristen: Präzision zählt
Wird eine Schwachstelle aktiv ausgenutzt und löst damit die Pflicht der Stufe 3 aus, legt der CRA strenge Meldefristen fest, die keinen Raum für Verzögerung lassen:
- Innerhalb von 24 Stunden nach Kenntniserlangung: Übermittlung einer Frühwarnung an die zentrale CRA-Meldeplattform.
- Innerhalb von 72 Stunden: Übermittlung eines detaillierten Berichts zu technischem Umfang und bekannten Kompromittierungsindikatoren.
- Innerhalb von 14 Tagen (bei Schwachstellen) oder 30 Tagen (bei erheblichen Vorfällen): Übermittlung eines Abschlussberichts mit Grundursache, zeitlichem Ablauf, Korrektur und Offenlegungsstrategie.
Diese Berichte laufen über die zentrale EU-Meldeplattform, die sich derzeit unter ENISA-Koordination im Pilotbetrieb befindet, von der aus sie zentral an ENISA und an die zuständigen nationalen CSIRTs verteilt werden. Die Behörden, die die Berichte erhalten, sind keine passiven Empfänger, sie haben eigene Offenlegungspflichten. Hersteller müssen in ihre Einreichungen eine Offenlegungsstrategie aufnehmen. Verantwortungsvolle Offenlegung, so kalibriert, dass sie Bedrohungsakteuren nicht hilft und zugleich ein legitimes Lagebild ermöglicht, ist Teil der Compliance-Anforderung, kein nachträglicher Gedanke.
Ausnutzbar vs. ausgenutzt: Die rechtliche Unterscheidung
Diese beiden Begriffe wirken in der Alltagssprache ähnlich. Im CRA-Rahmen tragen sie wesentlich unterschiedliche rechtliche Folgen.
Eine ausnutzbare Schwachstelle ist eine, die theoretisch von einem Angreifer genutzt werden könnte, aber noch nicht aktiv als Waffe eingesetzt wurde. Ausnutzbare Schwachstellen sind Gegenstand der Pflicht der Stufe 2: Sie müssen behoben werden, bevor ein Produkt auf den Markt gelangt, oder als akzeptables Risiko im spezifischen Einsatzkontext begründet werden.
Eine aktiv ausgenutzte Schwachstelle ist eine, bei der ein Angreifer den Fehler erfolgreich gegen ein reales Produkt im Feld eingesetzt hat. Das ist der Auslöser der Stufe 3: die 24-Stunden-Meldepflicht.
Eine offene Frage, die an die Europäische Kommission herangetragen wurde, betrifft Proof-of-Concept-Exploit-Code (PoC). Ein veröffentlichter PoC zeigt, dass die Ausnutzung technisch machbar ist, belegt aber nicht, dass eine aktive, andauernde Angriffskampagne im Gange ist. Die Kommission hat zu dieser Unterscheidung noch keine rechtssichere Leitlinie herausgegeben. Bis dahin sollten Hersteller im Zweifel einen veröffentlichten PoC als eskalierend behandeln und genau auf Indikatoren aktiver Ausnutzung achten.
Was das in der Praxis bedeutet
Die Frist im September 2026 ist nicht das Ende des Compliance-Wegs, sondern der Beginn des operativ anspruchsvollsten Teils davon. Hersteller, die noch keine Richtlinie zur Offenlegung von Schwachstellen eingerichtet, ihre Benachrichtigungsketten bei Komponentenlieferanten kartiert oder die EUVD-Überwachung in ihre Abläufe eingebaut haben, sollten diese Frist als erzwingende Funktion behandeln.
Der Schwachstellenbehandlungsrahmen des CRA belohnt Hersteller, die Sicherheit als kontinuierliche operative Disziplin behandeln statt als Checkliste vor der Veröffentlichung. Die regulatorische Exposition für jene, die das nicht tun, ist nun sowohl konkret als auch zeitlich befristet.