„Wir haben noch Zeit bis Ende 2027." Diesen Satz höre ich in nahezu jedem Gespräch, das ich mit Herstellern über den EU Cyber Resilience Act führe. Er ist verständlich, denn Dezember 2027 ist tatsächlich ein zentrales Datum. Aber er ist gefährlich, weil er einen anderen Stichtag vollständig ausblendet, der in zwei Monaten eintritt.

Was passiert am 11. September 2026?
Der 11. September 2026 ist der erste echte Anwendungsstichtag des Cyber Resilience Act. An diesem Tag treten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle in Kraft, die in Artikel 14 des CRA geregelt sind.
Konkret bedeutet das: Hersteller von Produkten mit digitalen Elementen müssen ab diesem Datum aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden an die ENISA (EU-Agentur für Cybersicherheit) melden. Für schwerwiegende Sicherheitsvorfälle gilt eine Frühwarnung innerhalb von 72 Stunden, gefolgt von einem vollständigen Abschlussbericht innerhalb eines Monats.
Diese Pflichten gelten nicht nur für Produkte, die ab September 2026 neu auf den Markt kommen. Sie gelten für alle Produkte mit digitalen Elementen, die zu diesem Zeitpunkt auf dem EU-Markt verfügbar sind. Die SPS, die seit Jahren in einer Fertigungsanlage läuft. Das Smart-Home-Gerät, das der Endkunde schon 2023 gekauft hat. Das Industriegateway, das seit dem letzten Firmware-Update niemand mehr angefasst hat. Alle sind betroffen.
Was „Dezember 2027" nicht bedeutet
Dezember 2027 ist der Stichtag für die volle CRA-Konformitätspflicht. Ab dann müssen neue Produkte mit digitalen Elementen, die erstmals in Verkehr gebracht werden (also erstmals tatsächlich auf dem EU-Markt bereitgestellt werden), alle Anforderungen des CRA erfüllen. CE-Kennzeichnung, vollständige technische Dokumentation, Konformitätsbewertungsverfahren, Security by Design.
Das ist ein wichtiger und aufwendiger Prozess, der jetzt schon vorbereitet werden muss. Aber er betrifft primär neue Produkte und den Entwicklungsprozess.
September 2026 ist anders. Dieser Stichtag betrifft den laufenden Betrieb, alle Produkte, die heute schon auf dem Markt sind. Es geht um operative Prozesse, nicht um Produktentwicklung. Wer heute noch kein Schwachstellenmanagement hat, kann diesen Prozess nicht in zwei Wochen aufbauen.
Mehr zu beiden Stichtagen und der gesamten CRA-Roadmap finden Sie im Artikel zur CRA Compliance-Roadmap 2026/2027.
Was bis September konkret stehen muss
Damit Sie am 11. September 2026 die Meldepflichten erfüllen können, brauchen Sie vier Bausteine, die ineinandergreifen.
Baustein 1: Eine SBOM für alle Ihre Produkte. Eine SBOM (Software Bill of Materials) ist ein vollständiges Verzeichnis aller Softwarekomponenten, die in einem Produkt enthalten sind, einschließlich aller Open-Source-Bibliotheken, Drittkomponenten und Abhängigkeiten. Ohne SBOM wissen Sie nicht, was in Ihrem Produkt steckt. Und ohne dieses Wissen können Sie keine Schwachstellen überwachen. Die SBOM ist die Grundlage für alles andere. Mehr dazu im SBOM-Guide für IoT-Hersteller.
Baustein 2: Laufendes CVE-Monitoring. CVEs (Common Vulnerabilities and Exposures) sind öffentlich bekannte Sicherheitslücken in Softwarekomponenten. Täglich werden neue CVEs veröffentlicht. Damit Sie innerhalb von 24 Stunden reagieren können, müssen Sie kontinuierlich überwachen, ob eine neu bekannte Schwachstelle Komponenten betrifft, die in Ihren Produkten eingesetzt werden. Das ist kein einmaliger Scan, sondern ein dauerhafter Prozess. Einen strukturierten Einstieg bietet der Leitfaden zum Schwachstellenmanagement unter dem CRA.
Baustein 3: Klarer interner Eskalationspfad. 24 Stunden ist eine kurze Frist. Sie reicht nicht aus, wenn erst dann geklärt werden muss, wer überhaupt zuständig ist, wer die Entscheidung zur Meldung trifft, und wie die Meldung technisch abgesetzt wird. Dieser Prozess muss vor dem ersten Vorfall definiert, dokumentiert und getestet sein. Wer meldet intern? Wer gibt frei? Wer kontaktiert die Behörde?
Baustein 4: Eingerichteter ENISA-Meldekanal. Die ENISA betreibt eine Single Entry Point-Plattform für Meldungen. Sie müssen diesen Kanal kennen, Ihr Unternehmen dort registriert haben, und die Abläufe für eine fristgerechte Einreichung verstehen, bevor Sie ihn erstmals brauchen. Parallel ist das BSI als nationale Behörde relevant. Auch diese Kontaktwege sollten vorbereitet sein.
Mythos vs. Fakt
Mythos: Der CRA wird erst Ende 2027 relevant. Wir haben noch ausreichend Zeit, um anzufangen.
Fakt: Am 11. September 2026 treten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle in Kraft. Sie gelten für alle Produkte mit digitalen Elementen auf dem EU-Markt, unabhängig davon, wann sie produziert oder in Verkehr gebracht wurden. Wer jetzt kein funktionierendes Schwachstellenmanagement hat, ist in zwei Monaten nicht compliant.
Drei Schritte, die Sie jetzt einleiten sollten
1. SBOM-Bestand aufnehmen. Prüfen Sie für jede Produktlinie, ob eine aktuelle SBOM existiert. Falls nicht, sollte die Erstellung jetzt Priorität haben. Eine SBOM ist nicht nur eine CRA-Anforderung, sie ist die Voraussetzung für jedes weitere Compliance-Vorhaben. Beginnen Sie mit Ihren meistverkauften oder am weitesten verbreiteten Produkten und arbeiten Sie sich von dort aus vor.
2. Zuständigkeiten schriftlich festlegen. Definieren Sie intern, wer für die Meldepflichten verantwortlich ist. Das umfasst: Wer überwacht eingehende CVE-Benachrichtigungen? Wer entscheidet, ob eine Schwachstelle aktiv ausgenutzt wird und damit meldepflichtig ist? Wer verfasst die Meldung und setzt sie fristgerecht ab? Diese Rollen müssen klar benannt und den Beteiligten bekannt sein.
3. Prozess dokumentieren und einmal proben. Ein Prozess, der nur im Kopf existiert, hilft nicht unter Zeitdruck. Dokumentieren Sie den Ablauf, von der Erkennung einer Schwachstelle bis zur abgesetzten Meldung. Simulieren Sie dann intern einmal einen Vorfall. Wie lange dauert es, bis die Meldung fertig wäre? Wo gibt es Engpässe? Zwei Monate sind wenig, aber ausreichend für eine erste funktionsfähige Struktur.
Was bedeutet das für Ihre CRA-Roadmap?
Der CRA kennt zwei zentrale Stichtage, die unterschiedliche Anforderungen auslösen.
Am 11. September 2026 treten die Meldepflichten in Kraft. Sie gelten für alle Hersteller, deren Produkte mit digitalen Elementen auf dem EU-Markt verfügbar sind.
Am 11. Dezember 2027 tritt die volle CRA-Anwendbarkeit in Kraft. Ab dann müssen alle neu in Verkehr gebrachten Produkte mit digitalen Elementen die vollständigen CRA-Anforderungen erfüllen, einschließlich CE-Kennzeichnung und Konformitätsbewertung.
Der häufigste Fehler in der Planung: Unternehmen behandeln den CRA als ein einziges großes Projekt mit Zieldatum 2027. Dabei sind es zwei getrennte Anforderungsstränge mit unterschiedlichen Fristen und unterschiedlichen operativen Konsequenzen. Wer jetzt nur auf 2027 schaut, übersieht, dass er in zwei Monaten bereits meldepflichtig ist.
Mehr zu den finanziellen Konsequenzen einer Nicht-Einhaltung finden Sie im Artikel zu CRA-Bußgeldern und Sanktionen.
Häufig gestellte Fragen
Gelten die Meldepflichten auch für Produkte, die vor dem CRA entwickelt wurden? Ja. Die Meldepflichten des CRA knüpfen nicht an das Entwicklungs- oder Produktionsdatum an, sondern daran, ob das Produkt zum Stichtag auf dem EU-Markt verfügbar ist. Es gibt kein Grandfathering nach Produktionsdatum.
Was genau ist eine „aktiv ausgenutzte Schwachstelle" im Sinne des CRA? Eine Schwachstelle gilt als aktiv ausgenutzt, wenn es Hinweise gibt, dass sie von Angreifern tatsächlich zur Kompromittierung von Systemen genutzt wird. Maßgeblich sind dafür einschlägige Quellen wie das CISA Known Exploited Vulnerabilities Catalog oder entsprechende CERT-Meldungen. Der CRA lässt hier Interpretationsspielraum, die EU-Guidance ist aber eindeutig: Im Zweifel melden.
Was passiert, wenn ich eine Schwachstelle nicht fristgerecht melde? Nicht rechtzeitige Meldungen können als Verstoß gegen den CRA gewertet werden und Bußgelder nach sich ziehen. Die genaue Sanktionspraxis wird von den nationalen Marktüberwachungsbehörden festgelegt. Die Höhe der Bußgelder kann erheblich sein.
Muss ich an die ENISA oder an das BSI melden? Der CRA sieht die ENISA als zentralen Meldeempfänger vor. Gleichzeitig sind nationale Behörden wie das BSI in Deutschland einzubeziehen. Die genaue Meldestruktur über den Single Entry Point der ENISA ist aktuell in der Konkretisierung. Es empfiehlt sich, beide Kanäle vorzubereiten.
Brauche ich eine SBOM wirklich, oder reicht eine informelle Komponentenliste? Eine formlose Liste reicht für die Meldepflichten nicht aus. Erstens, weil Sie ohne strukturiertes CVE-Monitoring keine verlässliche Überwachung betreiben können. Zweitens, weil der CRA in Artikel 13 ausdrücklich eine SBOM als Teil der technischen Dokumentation fordert. Eine SBOM in einem standardisierten Format (z.B. SPDX oder CycloneDX) ist der richtige Weg.
Fazit
Der 11. September 2026 ist keine abstrakte Zukunft mehr. Er ist in zwei Monaten. Und er bedeutet: Wer zu diesem Zeitpunkt keine SBOM hat, kein CVE-Monitoring betreibt und keinen definierten Eskalationspfad besitzt, ist nicht compliant, unabhängig davon, was bis 2027 noch geplant ist.
Die gute Nachricht: Zwei Monate sind knapp, aber ausreichend, um eine erste funktionsfähige Struktur aufzubauen. Die Voraussetzung ist, dass Sie jetzt anfangen.
Eine automatisierte Compliance-Plattform wie Kunnus hilft dabei, SBOM-Erstellung, CVE-Monitoring und Meldeprozesse systematisch abzubilden, bevor der Stichtag aus der Theorie in die Praxis kippt. Den Einstieg bietet unser kostenloser CRA-Compliance-Check.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.