CRA-Meldepflicht ab September 2026: Welche Anlagen sind betroffen?
Kurz gefasst · Stand: Juli 2026
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden – die erste Meldung binnen 24 Stunden, über die neue zentrale Meldeplattform der ENISA. Die Meldepflicht greift damit mehr als ein Jahr vor den übrigen Pflichten des Cyber Resilience Act und trifft auch Anlagenbauer und Integratoren, die als Hersteller gelten. Meldepflichtig ist deutlich weniger, als viele befürchten – schwierig sind die Fristen.
Die Meldepflicht kommt vor allen anderen CRA-Pflichten
Die meisten Pflichten des Cyber Resilience Act gelten ab Dezember 2027. Artikel 14, die Meldepflicht, greift früher: am 11. September 2026. Am selben Tag geht die zentrale Meldeplattform in Betrieb, über die alle Meldungen laufen – die Single Reporting Platform (SRP) der EU-Cybersicherheitsagentur ENISA, oft schlicht „ENISA-Meldeplattform" genannt. Eine Testphase vor dem Start ist vorgesehen; Handbücher, Zugangs- und Übungsmaterial hat die ENISA angekündigt, konkrete Termine stehen noch aus.
Betroffen ist, wer Hersteller eines Produkts mit digitalen Elementen ist – und das sind Anlagenbauer und Integratoren in aller Regel selbst, nicht nur ihre Komponentenlieferanten. Warum das so ist, behandelt ein eigener Beitrag.
Gemeldet werden muss weniger, als viele befürchten
Meldepflichtig sind genau zwei Fälle:
- Eine aktiv ausgenutzte Schwachstelle im eigenen Produkt – also eine Schwachstelle, zu der es verlässliche Hinweise gibt, dass jemand sie tatsächlich gegen Systeme einsetzt.
- Ein schwerwiegender Vorfall mit Auswirkung auf die Sicherheit des Produkts – etwa wenn Angreifer die Update-Auslieferung kompromittieren oder über das Produkt in Kundensysteme eindringen.
Nicht meldepflichtig ist damit die große Mehrheit der Schwachstellen: Eine CVE in einer verbauten Komponente, für die es keine Hinweise auf Ausnutzung gibt, löst keine Meldung aus. Sie gehört ins reguläre Schwachstellenmanagement, nicht auf die Meldeplattform.
Drei Fristen: 24 Stunden, 72 Stunden, Abschlussbericht
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden ab Kenntnis | Grunddaten: wer, welches Produkt, was ist passiert (Kurzfassung) |
| Meldung | 72 Stunden ab Kenntnis | Einschätzung der Lage, ergriffene Maßnahmen, Maßnahmen für Nutzer |
| Abschlussbericht | Schwachstelle: spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme · Vorfall: 1 Monat nach der 72-Stunden-Meldung | Vollständige Beschreibung, Schweregrad, Ursache, Details zum Update |
Die 24 Stunden laufen ab Kenntnis – nicht ab dem nächsten Werktag. Wird eine aktive Ausnutzung am Freitagabend bekannt, ist die Frühwarnung am Samstagabend fällig. Die Frist zu halten ist Organisationssache: Wer bekommt die Information, wer entscheidet, wer meldet – auch am Wochenende und in der Urlaubszeit? Überhaupt rechtzeitig Kenntnis zu erlangen, ist dagegen keine Organisationssache mehr. Dafür muss jemand die verbauten Komponenten beobachten.
Gemeldet wird über die Single Reporting Platform (SRP) der ENISA
Immerhin gibt es nur einen Meldeweg. Eine Meldung an die SRP geht automatisch gleichzeitig an das zuständige nationale CSIRT (das richtet sich nach der Hauptniederlassung des Herstellers, für deutsche Hersteller das BSI) und an die ENISA. Sind Produkte in mehreren Mitgliedstaaten im Einsatz, verteilt das empfangende CSIRT die Meldung weiter – der Hersteller meldet trotzdem nur einmal.
Leicht zu verwechseln ist die SRP mit der Europäischen Schwachstellendatenbank (EUVD) – beide kommen von der ENISA, beide drehen sich um Schwachstellen. Die Richtung ist aber genau entgegengesetzt: An die SRP meldet der Hersteller hinein, aus der EUVD liest er heraus.
| SRP (Meldeplattform) | EUVD (Datenbank) | |
|---|---|---|
| Wozu | Pflichtmeldungen nach Artikel 14 abgeben | Schwachstellen nachschlagen, inkl. Ausnutzungs-Status |
| Richtung | Der Hersteller meldet an CSIRT und ENISA | Die ENISA veröffentlicht, alle lesen |
| Verfügbar | ab 11. September 2026 | online seit Mai 2025 |
Für die Meldepflicht spielen beide eine Rolle, aber verschiedene: Die EUVD ist eine der Quellen, an denen sich ablesen lässt, dass eine Schwachstelle aktiv ausgenutzt wird – also das Signal, mit dem die 24-Stunden-Uhr startet. Gemeldet wird dann ausschließlich über die SRP.
Diese Angaben müssen in den ersten 24 Stunden stehen
Die ENISA hat die Meldefelder der SRP veröffentlicht. Für die Frühwarnung ist der Pflichtteil bewusst knapp:
- Art der Meldung: aktiv ausgenutzte Schwachstelle oder schwerwiegender Vorfall
- Name des Herstellers
- Das betroffene Produkt
- Titel beziehungsweise Kurzbeschreibung
- Bei Vorfällen: ob eine rechtswidrige oder böswillige Handlung vermutet wird
- Soweit bekannt: die Mitgliedstaaten, in denen das Produkt bereitgestellt wird
Die Substanz folgt in der 72-Stunden-Meldung (Art der Schwachstelle, ergriffene Gegenmaßnahmen, Empfehlungen für Nutzer) und im Abschlussbericht (vollständige Beschreibung mit Schweregrad und Auswirkung, Details zum Sicherheitsupdate).
Die Liste sieht harmlos aus. Der harte Teil steckt in einer einzigen Frage: Welche der eigenen Produkte und ausgelieferten Anlagen sind betroffen? Wer das bei einer zugekauften Komponente erst am Tag der Meldung zu recherchieren beginnt, hat die 24 Stunden verbraucht, bevor das Formular offen ist.
Bußgelder: bis 15 Millionen Euro oder 2,5 Prozent des Umsatzes
Verstöße gegen die Melde- und Schwachstellenpflichten der Artikel 13 und 14 können mit Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Das ist die höchste Bußgeldstufe, die der CRA kennt – der Gesetzgeber nimmt die Meldepflicht ernster als die meisten anderen Pflichten der Verordnung.
Vier Fragen aus der Praxis
Wer meldet bei zugekauften Komponenten – ich oder mein Lieferant?
Beide. Die Kommission stellt in ihrer FAQ zur CRA-Umsetzung klar: Steckt eine aktiv ausgenutzte Schwachstelle aus einer integrierten Komponente im eigenen Produkt, muss der Hersteller des Produkts sie melden – zusätzlich zum Hersteller der Komponente. Jeder meldet für sein eigenes Produkt. Das „nur einmal melden" der Plattform bedeutet „einmal statt an viele Behörden", nicht „einer meldet für die ganze Lieferkette". Sich darauf zu verlassen, dass der Lieferant schon melden wird, trägt also nicht.
Muss die Ausnutzung in meiner Anlage passiert sein?
Nein. „Aktiv ausgenutzt" heißt nach der Definition des CRA: Es gibt verlässliche Belege, dass ein Angreifer die Schwachstelle in irgendeinem System ohne Erlaubnis ausgenutzt hat – nicht zwingend in Ihrer Anlage. Das Beispiel Log4Shell macht es konkret: Wird eine Bibliotheks-Schwachstelle weltweit ausgenutzt und steckt die betroffene Bibliothek in einer verbauten Komponente Ihrer Maschine, ist Ihre Meldepflicht ausgelöst, sobald Sie davon wissen. Ein Angriff auf die eigene Anlage ist nicht erforderlich.
Die eine Ausnahme: Lässt sich die Schwachstelle in Ihrem Produkt nachweislich nicht ausnutzen, etwa weil der verwundbare Codepfad in Ihrer Konfiguration nicht erreichbar ist, entfällt die Pflichtmeldung. Dann müssen Sie den Komponentenhersteller informieren – und das „nicht ausnutzbar" begründen und dokumentieren können.
Muss ich auch meine Kunden informieren?
Ja. Neben der Behördenmeldung verlangt der CRA, die betroffenen Nutzer zu informieren – über den Vorfall beziehungsweise die Schwachstelle und, wo nötig, über Abhilfemaßnahmen, mit denen sie das Risiko mindern können. Die Meldung an die Plattform ersetzt die Kundeninformation nicht; beide Stränge sollten im internen Prozess getrennt vorbereitet sein.
Woher weiß ich überhaupt, dass eine Schwachstelle aktiv ausgenutzt wird?
Aus der Beobachtung der eigenen verbauten Basis: Lieferanten-Advisories, Katalogen bekannt ausgenutzter Schwachstellen wie CISA KEV und dem Exploited-Status in der EUVD. Wer nicht systematisch verfolgt, welche Komponenten in welchen Firmware-Ständen im Feld laufen, erfährt von der Ausnutzung oft erst, wenn die 24-Stunden-Uhr längst läuft – oder vom eigenen Kunden.
Was sich jetzt vorbereiten lässt
Bis zum 11. September 2026 bleibt genug Zeit, den Fall durchzuspielen, bevor er eintritt:
- Produktinventar: Welche eigenen Produkte mit digitalen Elementen sind im Markt, und in welchen Mitgliedstaaten?
- Zuständigkeit und Erreichbarkeit: Wer bewertet, wer entscheidet, wer meldet – mit Vertretung, auch außerhalb der Bürozeiten?
- Internes Meldeformular: Die Pflichtangaben der Plattform als Vorlage vorbereiten, damit im Ernstfall niemand Felder recherchieren muss.
- Komponenten-Überwachung: Advisories und Ausnutzungs-Status der verbauten Komponenten systematisch verfolgen und gegen die eigene Feldbasis abgleichen – sonst fehlt der Auslöser, an dem alle Fristen hängen.
- Kundenkommunikation: Textbausteine und Verteiler für die Nutzerinformation vorbereiten, getrennt von der Behördenmeldung.
- Testphase nutzen: Die ENISA hat vor dem Start Übungsmöglichkeiten angekündigt – sobald Termine feststehen, einplanen.
Wie gut Sie auf den 11. September vorbereitet sind, lässt sich an einer einzigen Frage messen: Eine Komponente in Ihren Anlagen taucht morgen auf einer Exploited-Liste auf – wie lange brauchen Sie, bis Sie wissen, welche Anlagen in welchem Stand betroffen sind? Wir spielen diesen Ernstfall mit Ihnen durch, an Ihren eigenen Komponenten.
Werkspilot überwacht Lieferanten-Advisories automatisiert und gleicht sie gegen die Feldbasis von Anlagenbauern und Integratoren ab. Dieser Beitrag gibt die Einschätzung von Werkspilot wieder (Stand Juli 2026, vor Veröffentlichung der ENISA-Handbücher) und ersetzt keine Rechtsberatung.
