Ein häufiges Missverständnis zum EU Cyber Resilience Act ist, dass alle seine Pflichten an einem einzigen Datum in Kraft treten. Das tun sie nicht. Die Meldepflichten nach Artikel 14 treten am 11. September 2026 in Kraft, mehr als ein Jahr vor der erforderlichen vollständigen Produktkonformität im Dezember 2027, und sie gelten für Produkte, die bereits auf dem EU-Markt sind und weiterhin unterstützt werden.
Die Pflicht ist bedingt statt fortlaufend. Sie wird aktiv, wenn ein Hersteller Kenntnis davon erlangt, dass eines seiner Produkte aktiv ausgenutzt wird oder dass ein schwerwiegender Vorfall die Sicherheit des Produkts beeinträchtigt hat. Die Frist läuft ab dem Moment der Kenntniserlangung, was eine zuverlässige Erfassung und Eskalation zur Voraussetzung macht statt zum nachträglichen Gedanken.
Die Pflicht liegt vorrangig beim Hersteller, während Einführer und Händler unterstützende Verantwortlichkeiten tragen, Probleme aufzudecken und Behörden zu informieren. Entscheidend ist, dass Produkte, die vor September 2026 in Verkehr gebracht wurden, in den Anwendungsbereich fallen, sodass das Melderegime vom ersten Tag an für die gesamte unterstützte Installationsbasis gilt.
Dies ist der erste Artikel einer sechsteiligen Serie zur CRA-Meldung, die behandelt, wann die Pflicht beginnt, was gemeldet werden muss, wohin Meldungen gehen, in welchem Zeitrahmen und wie man den internen Prozess aufbaut, der das alles funktionieren lässt.
Lesen Sie den vollständigen Leitfaden in unserem Blog.
Mehr lesen