CVD Portal
← Zurück zum BlogRead in English →
CRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

Von Das CVD-Portal-Team
9 Min. Lesezeit

Das mit Abstand häufigste Missverständnis zum EU Cyber Resilience Act ist, dass alle seine Pflichten gemeinsam an einem Datum eintreffen. Das tun sie nicht. Die Meldepflichten nach Artikel 14 treten deutlich vor dem Rest der Verordnung in Kraft, und sie gelten für Produkte, die bereits auf dem Markt sind. Das Timing zu verstehen, ist der Unterschied zwischen bereit sein und exponiert sein.

Dieser Beitrag legt genau dar, wann die verpflichtende Meldung beginnt, welches Ereignis sie auslöst und welche Wirtschaftsakteure sie bindet. Es ist der erste einer sechsteiligen Serie zur CRA-Meldung. Die begleitenden Beiträge behandeln welche Schwachstellen und Vorfälle gemeldet werden müssen, wie die Meldung an ENISA und nationale Behörden organisiert ist, die Fristen und Folgepflichten, wie man interne Erkennung und Eskalation vorbereitet und wie die Meldung mit dem umfassenderen Produkt- und Risikomanagement zusammenhängt. Für eine einseitige Übersicht des gesamten Melderegimes siehe unseren Leitfaden zu welche CRA-Meldepflichten gelten, wann sie beginnen und wie man bereit ist.

Die zwei Daten, die den CRA bestimmen

Der CRA trat am 10. Dezember 2024 in Kraft, aber seine inhaltlichen Pflichten gelten nach einem gestaffelten Zeitplan. Zwei Daten zählen für die meisten Hersteller.

Das erste ist der 11. September 2026. Ab diesem Datum gelten die Meldepflichten nach Artikel 14. Jeder Hersteller eines Produkts mit digitalen Elementen, das auf dem EU-Markt ist, muss in der Lage sein, Behörden zu benachrichtigen, wenn eines seiner Produkte aktiv ausgenutzt wird oder einen schwerwiegenden Sicherheitsvorfall erleidet.

Das zweite ist der 11. Dezember 2027. Ab diesem Datum gilt der vollständige Bestand an CRA-Anforderungen: Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation nach Anhang VII und die grundlegenden Cybersicherheitsanforderungen in Anhang I.

Die Lücke zwischen diesen beiden Daten ist beabsichtigt, und sie ist der Teil, den Organisationen unterschätzen. Die Pflicht, eine aktiv ausgenutzte Schwachstelle zu melden, trifft mehr als ein Jahr vor der Pflicht ein, eine Konformitätsbewertung abgeschlossen zu haben. Ein Hersteller kann vollständig im Melderegime stehen und zugleich noch am Rest seines Compliance-Programms arbeiten.

Was „wird verpflichtend“ tatsächlich bedeutet

Die Meldung nach Artikel 14 ist keine fortlaufende Einreichungspflicht. Es gibt keine vierteljährliche Erklärung und keinen routinemäßigen Offenlegungsplan. Die Pflicht ist bedingt. Sie aktiviert sich, wenn ein bestimmtes Ereignis eintritt.

Zwei Kategorien von Ereignissen lösen die Pflicht aus:

  1. Eine aktiv ausgenutzte Schwachstelle. Ein Hersteller erlangt Kenntnis davon, dass eine in einem seiner Produkte enthaltene Schwachstelle im Feld von einem böswilligen Akteur ausgenutzt wird.
  2. Ein schwerwiegender Vorfall mit Auswirkung auf die Sicherheit. Ein Hersteller erlangt Kenntnis von einem Sicherheitsvorfall, der sich auf die Sicherheit des Produkts auswirkt, zum Beispiel eine Kompromittierung der Entwicklungs- oder Vertriebsinfrastruktur des Herstellers, die Nutzer betrifft.

Tritt eines der beiden Ereignisse ein, beginnt die Uhr. Das Detail dessen, was in diese Kategorien fällt und was nicht, ist Gegenstand des nächsten Beitrags dieser Serie. Für die Frage des Timings ist der Schlüsselpunkt, dass der Auslöser die Kenntnis eines qualifizierenden Ereignisses ist und die Frist ab diesem Moment der Kenntnis läuft.

Die Uhr beginnt bei „Kenntnis erlangt“

Artikel 14 misst seine Fristen ab dem Punkt, an dem der Hersteller von dem qualifizierenden Ereignis Kenntnis erlangt. Das ist die operativ bedeutsamste Formulierung im gesamten Melderegime.

Es bedeutet, dass das 24-Stunden-Frühwarnfenster nicht beginnt, wenn ein Hersteller beschließt zu handeln, wenn eine rechtliche Freigabe erlangt wird oder wenn eine Korrektur bereit ist. Es beginnt, wenn die Organisation zum ersten Mal Kenntnis davon hat, dass ein Produkt aktiv ausgenutzt wird. Wissen, das ein Support-Ingenieur hat, die Meldung eines Sicherheitsforschers, die in einem unüberwachten Postfach liegt, oder ein Alarm in einem SIEM, den niemand triagiert hat, zählen alle zur Kenntnis.

Das hat eine direkte Folge für die Bereitschaft. Eine Organisation, die eingehende Signale nicht zuverlässig an eine Person mit der Befugnis zur Bewertung leiten kann, wird Schwierigkeiten haben, nachzuweisen, wann die Kenntnis entstand, und verpasst die Frist womöglich, bevor jemand in leitender Position weiß, dass es ein Problem gibt. Den Aufbau dieses Erfassungs- und Eskalationswegs behandelt der Beitrag zu interner Erkennung und Eskalation.

Wen die Pflicht bindet

Der CRA verteilt Pflichten über eine Kette von Wirtschaftsakteuren. Die Meldepflicht nach Artikel 14 fällt vorrangig auf den Hersteller, aber Einführer und Händler tragen verwandte Verantwortlichkeiten.

Hersteller

Der Hersteller ist die Stelle, die ein Produkt mit digitalen Elementen entwickelt oder herstellt oder entwerfen, entwickeln oder herstellen lässt und es unter eigenem Namen oder eigener Marke vertreibt. Der Hersteller trägt die Meldepflicht nach Artikel 14 in vollem Umfang. Er muss die Frühwarnung, die detaillierte Meldung und den Abschlussbericht einreichen.

Einführer

Ein Einführer bringt ein Produkt eines Herstellers aus einem Drittland auf den EU-Markt. Einführer müssen sicherstellen, dass die von ihnen in Verkehr gebrachten Produkte dem CRA entsprechen. Erlangt ein Einführer Kenntnis davon, dass ein Produkt ein erhebliches Cybersicherheitsrisiko darstellt, muss er den Hersteller und, wo relevant, die Marktüberwachungsbehörden informieren. Einführer dürfen keine nicht konformen Produkte in Verkehr bringen und müssen handeln, wenn sie von einem Problem erfahren.

Händler

Ein Händler stellt ein Produkt auf dem Markt bereit, ohne der Hersteller oder Einführer zu sein. Händler müssen mit der gebotenen Sorgfalt handeln, dürfen keine Produkte bereitstellen, von denen sie wissen oder Grund zu der Annahme haben, dass sie nicht konform sind, und müssen mit Behörden zusammenarbeiten. Ein Händler, der von einer aktiv ausgenutzten Schwachstelle erfährt, hat die Pflicht, den Hersteller und die zuständigen Behörden zu informieren.

In der Praxis ist die Meldekaskade an ENISA und nationale Behörden Sache des Herstellers. Die Pflichten von Einführer und Händler sind ein Auffangnetz, das sicherstellt, dass Probleme auch dann zutage treten, wenn der Hersteller langsam oder abwesend ist.

Produkte, die bereits auf dem Markt sind, fallen in den Geltungsbereich

Eine häufige Annahme ist, dass der CRA nur für Produkte gilt, die nach Inkrafttreten der Verordnung entworfen und veröffentlicht wurden. Für die Konformitätsanforderungen, die im Dezember 2027 in Kraft treten, ist der Geltungsbereich nuancierter. Für die Meldepflichten nach Artikel 14 ist die Lage klarer und strenger.

Ab dem 11. September 2026 gilt die Meldepflicht für Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt sind, einschließlich Produkten, die vor diesem Datum in Verkehr gebracht wurden und noch unterstützt werden. Ein 2024 ausgelieferter Router, eine 2023 installierte speicherprogrammierbare Steuerung oder ein vor Jahren verkauftes Gerät mit eingebetteter Firmware können alle ein Artikel-14-Meldeereignis erzeugen, wenn sie aktiv ausgenutzt werden, während sie noch in ihrem Unterstützungszeitraum sind.

Deshalb ist das Datum September 2026 operativ anspruchsvoll. Es gibt Organisationen keine saubere Tafel neuer Produkte, um die sie sich sorgen müssen. Es stellt die gesamte unterstützte Installationsbasis vom ersten Tag an in das Melderegime. Die praktischen Folgen davon haben wir in unserer Analyse dessen, was die Konformität mit Artikel 14 tatsächlich erfordert, behandelt.

Die Meldung hängt davon ab, dass Artikel 13 vorhanden ist

Artikel 14 steht nicht allein. Er hängt von den Pflichten zur Schwachstellenbehandlung in Artikel 13 ab, die von Herstellern verlangen, einen Prozess zur koordinierten Offenlegung von Schwachstellen zu betreiben und eine Kontaktadresse bereitzustellen, über die Schwachstellen an sie gemeldet werden können.

Die Verbindung ist ursächlich. Für viele Hersteller wird das erste Anzeichen, dass ein Produkt aktiv ausgenutzt wird, über ihren Offenlegungskanal eintreffen, gesendet von einem Sicherheitsforscher oder einem Kunden. Ohne einen überwachten Eingangspunkt entsteht die Kenntnis, die die Artikel-14-Uhr startet, womöglich nie rechtzeitig oder erst, wenn die Ausnutzung weit verbreitet und öffentlich ist.

Ein Hersteller, der Artikel 14 zuverlässig erfüllen will, braucht daher zuerst die Artikel-13-Maschinerie in Betrieb: eine veröffentlichte Offenlegungsrichtlinie, einen überwachten Eingangskanal, eine Bestätigung innerhalb eines definierten Fensters und einen Triage-Prozess, der eine aktive Ausnutzung erkennen kann, wenn sie auftritt. Die Beziehung zwischen Behandlung und Meldung wird in dem letzten Beitrag dieser Serie weiter untersucht.

Was vor September 2026 vorhanden sein muss

Die verpflichtende Meldung wird an einem festen Datum real, und die Arbeit, um dafür bereit zu sein, ist vorgelagert. Eine Organisation, die am 11. September 2026 konform sein will, sollte das Folgende bereits einsatzbereit haben, nicht bloß geplant:

  • Einen veröffentlichten, überwachten Kanal zur Offenlegung von Schwachstellen nach Artikel 13.
  • Einen Triage-Prozess, der aktive Ausnutzung und schwerwiegende Vorfälle erkennen kann.
  • Eine namentlich benannte Person oder Rolle mit der Befugnis, ein Meldeereignis zu erklären und die Kaskade auszulösen, ohne auf eine Freigabe der Geschäftsleitung zu warten.
  • Geprüften Zugang zur Meldeplattform und einen dokumentierten Kontakt für das zuständige nationale CSIRT.
  • Vorentworfene Berichtsvorlagen für die Frühwarnung, die detaillierte Meldung und den Abschlussbericht.
  • Einen Prüfpfad, der festhält, wann die Kenntnis entstand und wann jede Aktion erfolgte.

CVD Portal wurde gebaut, um diese Infrastruktur als Dienst bereitzustellen, kostenlos im Einstieg. Ein Hersteller, der sich heute registriert, erhält ein gebrandetes Offenlegungsportal unter ihrunternehmen.cvdportal.com, eine strukturierte Erfassung mit Bestätigungsverfolgung, einen CVSS-basierten Triage-Workflow, eine an den Artikel-14-Fristen ausgerichtete Berichtserstellung und einen vollständigen Prüfpfad. Die Absicht ist, das Datum September 2026 zu einer Frage der Prozessbereitschaft zu machen statt zu einem monatelangen Entwicklungsprojekt.

Das Fazit

Die Meldepflichten des CRA treten am 11. September 2026 in Kraft, mehr als ein Jahr vor der erforderlichen vollständigen Konformität, und sie gelten vom ersten Tag an für die gesamte unterstützte Installationsbasis. Die Pflicht ist an ein qualifizierendes Ereignis gebunden, die Uhr läuft ab dem Moment der Kenntnis, und die Pflicht liegt vorrangig beim Hersteller, mit Einführern und Händlern als Auffangnetz.

Die Organisationen, die zuverlässig konform sind, werden jene sein, die September 2026 als die echte Frist behandelt und ihre Fähigkeit zu Erfassung, Triage und Meldung im Vorfeld aufgebaut haben. Der Rest dieser Serie arbeitet genau durch, was zu melden ist, wohin es zu senden ist, in welchem Zeitrahmen und wie man den internen Prozess verdrahtet, der das geschehen lässt.

Mehr aus dem Blog
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

9 Min. LesezeitCRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Welche Schwachstellen und Vorfälle gemeldet werden müssen und welche nicht

10 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten