Am 11. September 2026 werden die Meldepflichten nach Artikel 14 durchsetzbar, und zwar für Produkte, die bereits auf dem Markt sind. Die vollständige CRA-Konformität ist erst im Dezember 2027 fällig. Die September-Frist ist die operative.
Was bis September 2026 einsatzbereit sein muss
- VDP nach Artikel 13, ein öffentlich zugänglicher Kanal zur Offenlegung von Schwachstellen
- Triage-Prozess, die Fähigkeit, eine aktive Ausnutzung innerhalb von Stunden festzustellen
- 24-Stunden-Frühwarnung an ENISA und nationales CSIRT
- Detaillierte technische Meldung innerhalb von 72 Stunden
- Abschlussbericht nach 14 bis 30 Tagen mit Offenlegungsstrategie
- Vollständiger Prüfpfad aller Aktivitäten zur Behandlung von Schwachstellen
Die KMU-Lücke
Den meisten KMU, die Hardware oder Software in den EU-Markt verkaufen, fehlt diese Infrastruktur vollständig. Sie selbst aufzubauen (VDP, strukturierte Erfassung, Triage-Workflow, Behördenmeldung, Prüfpfad) erfordert Monate an Entwicklungsarbeit. Für Organisationen, die heute bei null beginnen, sind fünf Monate knapp.
Die Uhr wartet nicht, bis die Infrastruktur aufgebaut ist.
CVD Portal stellt die Compliance-Infrastruktur für Artikel 13 und 14 kostenlos zum Einstieg bereit: gebrandetes VDP, CVSS-Triage, ENISA-konforme Meldungen, vollständiger Prüfpfad.
Vollständige Aufschlüsselung lesen