CVD Portal
← Zurück zum BlogRead in English →
CRA-Konformität

CRA-Vorfall- und Schwachstellenmeldung: Welche Pflichten gelten, wann sie beginnen und wie man bereit ist

Von Das CVD-Portal-Team
10 Min. Lesezeit

Eines der häufigsten Missverständnisse bei der CRA-Vorbereitung ist es, Schwachstellenmeldung und Vorfallmeldung als dieselbe Pflicht zu behandeln. Das sind sie nicht. Die Verordnung schafft unter Artikel 14 zwei getrennte Meldewege, mit unterschiedlichen Auslösern, unterschiedlichen Fristen und unterschiedlichen Folgen bei versäumten Fristen. Diese Unterscheidung richtig zu treffen, ist die Grundlage jedes konformen internen Prozesses.

Wann die Meldepflichten in Kraft treten

Die Melde- und Vorfallpflichten nach Artikel 14 werden am 11. September 2026 verpflichtend. Das ist die frühere der beiden großen CRA-Fristen. Sie gilt für Produkte mit digitalen Elementen, die bereits auf dem EU-Markt sind, einschließlich jedes Produkts, das am 11. September 2026 noch unterstützt wird.

Die vollständigen Konformitätsanforderungen, einschließlich CE-Kennzeichnung und des breiteren Satzes grundlegender Anforderungen nach Anhang I, folgen im Dezember 2027. Doch die Meldeinfrastruktur muss ab September 2026 einsatzbereit sein. Hersteller, die auf die Dezember-Frist warten, werden 15 Monate lang nicht konform sein.

Die zwei Meldewege

Schwachstellenmeldung

Eine Schwachstelle wird nach Artikel 14 meldepflichtig, wenn sie im Feld aktiv ausgenutzt wird. Der Test ist nicht der Schweregrad, nicht der CVSS-Wert, nicht die interne Risikoeinstufung. Er ist der Nachweis der Ausnutzung. Ist diese Schwelle überschritten, ist die folgende Kaskade verpflichtend:

  • 24 Stunden: Frühwarnung an die zentrale CRA-Meldeplattform, die zentral an ENISA und an das zuständige nationale CSIRT weiterleitet.
  • 72 Stunden: Detaillierte technische Meldung zu Schweregrad, betroffenen Versionen, Kompromittierungsindikatoren und bekannten Auswirkungen.
  • 14 Tage: Abschlussbericht zu Grundursache, Korrektur oder Risikominderung und der koordinierten Offenlegungsstrategie.

Die 24-Stunden-Uhr beginnt in dem Moment, in dem der Hersteller von der aktiven Ausnutzung Kenntnis erlangt, nicht erst, wenn die interne Triage abgeschlossen ist. Das ist operativ wichtig: Entdeckung und Meldung müssen parallel geschehen, nicht nacheinander.

Vorfallmeldung

Ein erheblicher Vorfall ist eine breitere Kategorie, die eine Störung der Sicherheit oder Funktionalität eines Produkts durch ein Cybersicherheitsereignis erfasst, unabhängig davon, ob eine aktive Schwachstelle die Ursache ist. Die Fristen unterscheiden sich:

  • 24 Stunden: Frühwarnung, dieselbe Weiterleitung wie bei der Schwachstellenmeldung.
  • 72 Stunden: Detaillierte Meldung.
  • 30 Tage: Abschlussbericht (ein Monat mehr als bei Schwachstellen).

Die Unterscheidung zwischen einem „erheblichen“ und einem routinemäßigen Vorfall ist in der Verordnung nicht ausdrücklich definiert. Die Leitlinien von ENISA behandeln den Schweregrad der Auswirkungen, die Breite der betroffenen Nutzer und die Frage, ob der Vorfall ein systemisches Risiko darstellt, als relevante Faktoren.

Welche Produkte melden müssen

Artikel 14 gilt für Hersteller von Produkten mit digitalen Elementen. Die Definition ist breit: Hardware oder Software mit einer digitalen Komponente, die sich mit einem Netzwerk oder einem anderen Gerät verbindet. Sie erfasst Verbraucher-IoT, Industrieausrüstung, Netzwerkgeräte, vernetzte Hardware, Produkte mit eingebetteter Firmware und Softwareanwendungen mit einer eigenständigen Sicherheitsfunktion.

Einführer und Händler haben nachrangige Pflichten. Hat ein Hersteller außerhalb der EU die Meldepflichten nicht erfüllt, wird der Einführer oder bevollmächtigte Vertreter für die Konformität verantwortlich.

Produkte in Anhang III (wichtige Produkte) und Anhang IV (kritische Produkte) haben zusätzliche Pflichten zur Konformitätsbewertung, aber die Meldepflichten nach Artikel 14 gelten ab September 2026 einheitlich für alle Produktklassen.

Wie die Meldung weitergeleitet wird

Der CRA richtet die zentrale Meldeplattform (SRP) als zentralen Einreichungspunkt ein. Hersteller reichen bei der SRP ein, die dann Meldungen an ENISA und an das nationale CSIRT des Mitgliedstaats weiterleitet, in dem der Hersteller niedergelassen ist. ENISA kann Informationen auch mit anderen zuständigen nationalen Behörden teilen.

Die SRP wird von ENISA betrieben und befindet sich seit Anfang 2026 im Pilotbetrieb. Hersteller sollten sich vor der September-Frist bei der Plattform registrieren, nicht erst an dem Tag, an dem sie sie brauchen. Zugangsdaten, Kontaktangaben und Produktregistrierung müssen alle im Voraus vorhanden sein.

Interne Prozesse, die vor September 2026 existieren müssen

Die Meldefrist lässt sich ohne interne Vorbereitung nicht einhalten. Die folgenden Prozesse müssen bis September 2026 einsatzbereit sein, nicht geplant:

Erkennungs- und Eskalationsweg. Die Organisation muss über einen definierten Mechanismus verfügen, um zu erkennen, dass eine Schwachstelle aktiv ausgenutzt wird. Das kombiniert typischerweise Bedrohungsinformationsfeeds, Kunden- und Forschermeldungen über das VDP, die EUVD-Datenbank von ENISA und CSIRT-Warnungen. Wird ein Auslöser erkannt, muss die Eskalation an die zur Auslösung der Artikel-14-Meldung befugte Person innerhalb der ersten Stunde geschehen, nicht am ersten Tag.

Triage-Befugnis. Jemand muss die ausdrückliche, dokumentierte Befugnis haben, zu erklären, dass ein Ereignis die Meldeschwelle erreicht, und die Meldekaskade ohne zusätzliche Genehmigung auszulösen. Innerhalb eines 24-Stunden-Fensters auf eine Freigabe durch die Rechtsabteilung oder die Geschäftsleitung zu warten, ist operativ mit Compliance unvereinbar.

Vorgefertigte Berichtsvorlagen. Die Formulare für die Frühwarnung und die detaillierte Meldung müssen existieren, bevor ein Vorfall eintritt. Die Eingabefelder der SRP sollten verstanden, die Vorlagen vorbereitet und die Zugangsdaten getestet sein. Diese unter Druck während eines laufenden Vorfalls zu erstellen, ist der Punkt, an dem Fristen verpasst werden.

Prüfpfad. Jedes Erkennungsereignis, jede Triage-Entscheidung, jede Eskalation und jede Meldung muss mit Zeitstempel versehen und aufbewahrt werden. Das ist keine optionale Dokumentation. Es ist der primäre Nachweis, dass der Prozess korrekt funktioniert hat, und es ist das, was eine Marktüberwachungsbehörde anfordern wird.

Planung der koordinierten Offenlegung. Der Abschlussbericht nach 14 oder 30 Tagen muss eine Offenlegungsstrategie enthalten. Das erfordert frühes Nachdenken darüber, welche betroffenen Parteien benachrichtigt werden müssen, ob eine CVE-Kennung beantragt werden sollte, wann eine öffentliche Offenlegung angemessen ist und wie die Kommunikation mit betroffenen Kunden zeitlich abgestimmt wird. Diese Entscheidungen können nicht zum ersten Mal innerhalb des Meldefensters getroffen werden.

Die KMU-Bereitschaftslücke

Größere Organisationen mit etablierten PSIRTs und Bedrohungsinformationsprogrammen verfügen bereits in irgendeiner Form über die meisten dieser Fähigkeiten. Bei der Mehrheit der KMU, die Hardware oder Software für den EU-Markt herstellen, existiert heute keine davon.

Konforme Prozesse für Erkennung, Eskalation, Triage, Meldung und Offenlegung in den verbleibenden Monaten vor September 2026 von Grund auf aufzubauen, ist machbar. Es erfordert bewusste Priorisierung und, für die meisten KMU, Werkzeuge, die die Entwicklungslast verringern.

CVD Portal stellt die für die Artikel-14-Konformität erforderliche Infrastruktur für Erfassung, Triage, Meldung und Prüfpfad als Dienst bereit. Hersteller können mit einem funktionierenden VDP, einem strukturierten Eskalations-Workflow, vorgefertigten Berichtsvorlagen, die am Meldeformat von ENISA ausgerichtet sind, und einem vollständigen Prüfpfad betriebsbereit sein, ohne irgendetwas davon selbst zu bauen.

Ein tieferer Blick auf jede Pflicht

Dieser Leitfaden ist die einseitige Übersicht. Jeder Teil des Melderegimes wird in unserer sechsteiligen Serie ausführlich behandelt:

Das Fazit

Schwachstellen- und Vorfallmeldung unter dem CRA sind zwei eigenständige Pflichten mit überlappenden Fristen, getrennten Auslösern und unterschiedlichen Fristen für den Abschlussbericht. Beide werden am 11. September 2026 durchsetzbar, für jedes Produkt mit digitalen Elementen auf dem EU-Markt. Die internen Prozesse, die zur Einhaltung dieser Fristen nötig sind, müssen vor diesem Datum vorhanden und getestet sein, nicht erst danach geplant.

Mehr aus dem Blog
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

9 Min. LesezeitCRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

9 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten