Die Niederlande haben die Frist zur Umsetzung von NIS2 um fast zwei Jahre verpasst. Die Cyberbeveiligingswet hat nun das Abgeordnetenhaus passiert, und die Regierung strebt das Inkrafttreten zum 1. Juli 2026 an, ohne Übergangsfrist und mit persönlicher Haftung der Geschäftsleitung. Unser neuester Beitrag führt niederländische Führungskräfte durch die vier Pflichten, die die Arbeit der Vorstände verändern.
Eine einzige ausgenutzte Schwachstelle kann zugleich eine CRA-Frühwarnung, eine NIS2-Meldung über einen erheblichen Vorfall und eine DSGVO-Verletzungsmeldung auslösen, jede mit eigener Frist und an eigene Behörde. Unser neuester Beitrag zeigt, wo sich die Pflichten überschneiden und wo sie auseinandergehen.
Die Meldepflichten des CRA treten nicht zusammen mit dem Rest der Verordnung in Kraft. Artikel 14 gilt ab dem 11. September 2026, vor der vollständigen Konformität im Dezember 2027, und bindet Hersteller in dem Moment, in dem ein Produkt aktiv ausgenutzt wird.
Die meisten Schwachstellen, die ein Hersteller bearbeitet, lösen nie eine Meldung an Behörden aus. Die Pflicht aus Artikel 14 des CRA ist eng gefasst: aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Produktsicherheit beeinträchtigen. Hier steht, wie man erkennt, was in den Anwendungsbereich fällt.
Artikel 14 ist eine dreistufige Kaskade: eine Frühwarnung nach 24 Stunden, eine detaillierte Meldung nach 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen oder einem Monat. Hier steht, was jede Stufe enthält, wann die Uhr zu laufen beginnt und welche Folgepflichten danach bestehen bleiben.
Tritt ein Artikel-14-Ereignis ein, meldet ein Hersteller nicht an eine einzige Behörde. Der CRA leitet Meldungen über eine von ENISA betriebene Plattform zugleich an ENISA und das zuständige nationale CSIRT, mit Weiterverteilung, wo nötig.
Open Bug Bounty und CVD Portal befassen sich beide mit der Offenlegung von Schwachstellen, dienen aber völlig unterschiedlichen Zwecken. Das eine ist ein von der Community getragenes Meldenetzwerk, das andere ein Werkzeug zur Einhaltung von Vorschriften, gebaut für den europäischen Markt.
Die 24-Stunden-Uhr des CRA wird in Ihrer eigenen Organisation gewonnen oder verloren, lange bevor eine Meldung ENISA erreicht. Ein praktischer Leitfaden zu den Erkennungsquellen, Eskalationswegen und Entscheidungsbefugnissen, die aus einem vagen nächtlichen Signal eine eingereichte Frühwarnung machen.
Die Meldung nach Artikel 14 sollte das sichtbare Ergebnis eines gesunden Produktsicherheitsprogramms sein. Dieser abschließende Artikel zeigt, wie die Meldung mit der Behandlung von Schwachstellen, dem SBOM, der sicheren Entwicklung und der Marktüberwachung zusammenhängt.
Wir wollten kein SaaS-Produkt bauen. Wir wollten eine Frage beantworten, die in unseren Gesprächen mit EU-Herstellern immer wieder auftauchte: Wo fangen wir eigentlich an?
Für einen typischen EU-KMU-Hersteller (20 bis 50 Vollzeitkräfte, eine Produktlinie, kein bestehendes CVD-Programm) liegen die erwarteten Kosten für die Einhaltung der CRA-Meldefrist nach Artikel 14 am 11. September 2026 bei rund 39.700 Euro, mit einem 90-%-Konfidenzintervall von
Über ein Jahrzehnt lang stützte sich die koordinierte Offenlegung von Schwachstellen (CVD) auf das 90-Tage-Fenster. Der Sicherheitsforscher Himanshu Anand argumentiert, dass LLMs dieses Modell überholt haben, indem sie sowohl die Entdeckung von Schwachstellen
In einem Interview mit Help Net Security ging Nuno Rodrigues Carvalho, Leiter des Sektors für Vorfall- und Schwachstellendienste bei ENISA, auf den jüngsten Finanzierungsschreck bei CVE, die EU-Regulierungsdurchsetzung und die Frage ein, warum die Offenlegung von Schwachstellen zu einem Wettbewerbsvorteil wird.
Am 11. September 2026 werden die Meldepflichten nach Artikel 14 durchsetzbar, und zwar für Produkte, die bereits auf dem Markt sind. Die vollständige CRA-Konformität ist erst im Dezember 2027 fällig. Die September-Frist ist die operative.
Während die Europäische Union ihren digitalen Markt weiter stärkt, werden die Beteiligten daran erinnert, dass der erste entscheidende Compliance-Meilenstein des Cyber Resilience Act (CRA) näher rückt. Ab dem 11. September 2026 sind Hersteller von Produkten mit digitalen Elementen gesetzlich verpflichtet.
Zur Unterstützung der Umsetzung des Cyber Resilience Act (Verordnung EU 2024/2847) hat die Europäische Kommission Leitlinienentwürfe veröffentlicht, die die Kategorisierung und die Konformitätserwartungen für Produkte mit digitalen Elementen (PDE) präzisieren.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) gibt den Beginn der Pilottestphase für die zentrale Meldeplattform (Single Reporting Platform, SRP) bekannt. Die durch den CRA vorgeschriebene SRP wird als zentrale Infrastruktur dienen, über die Hersteller Frühwarnungen und Vorfallmeldungen einreichen.
Nach Artikel 10 des Cyber Resilience Act ist die Einführung einer Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD) keine optionale Best Practice mehr, sondern eine strikte gesetzliche Anforderung für alle Hersteller von PDEs.
Die Europäische Kommission hat in Abstimmung mit Cybersicherheitsbehörden aktualisierte Klarstellungen zur regulatorischen Behandlung von freier und quelloffener Software (FOSS) unter dem CRA veröffentlicht.
Im Rahmen des Meldesystems des CRA müssen Hersteller ihren Sicherheitsbetrieb an strenge Meldefristen anpassen. Sobald sie von einer aktiv ausgenutzten Schwachstelle oder einem Vorfall mit schwerwiegenden Auswirkungen Kenntnis erlangen, sind die Stellen gesetzlich verpflichtet, innerhalb von 24 Stunden eine Frühwarnung einzureichen.
Die europäischen Normungsorganisationen CEN und CENELEC melden erhebliche Fortschritte bei der Ausarbeitung der von der Europäischen Kommission für den Cyber Resilience Act angeforderten harmonisierten Normen.
Ab dem 11. Juni 2026 tritt der Rechtsrahmen für „notifizierte Stellen“ unter dem CRA offiziell in Kraft. Diese unabhängigen, externen Konformitätsbewertungsstellen werden eine zentrale Rolle bei der Prüfung und Zertifizierung „wichtiger“ und „kritischer“ Produkte spielen.
Hersteller werden daran erinnert, dass die Meldepflichten des CRA für Schwachstellen, die im September 2026 in Kraft treten, für alle derzeit auf dem Unionsmarkt aktiven Produkte mit digitalen Elementen gelten, nicht nur für neue Produkte, die nach Inkrafttreten der Gesetzgebung eingeführt werden.
Im Einklang mit der NIS2-Richtlinie und dem Cyber Resilience Act treibt ENISA derzeit die Integration der Europäischen Schwachstellendatenbank (EUVD) mit der neu eingerichteten zentralen CRA-Meldeplattform (SRP) voran.