Unabhängiger Leitfaden zur Verordnung (EU) 2024/2847 · Status: in Kraft
Diese Seite ist eine automatische (KI-)Übersetzung und wurde nicht von einer Person geprüft.
Den CRA verstehen · Meldung

CRA-Meldung von Vorfällen und Schwachstellen

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gemäß Art. 14 melden; was zu melden ist, die Fristen von 24 Stunden, 72 Stunden und 14 Tagen sowie wer die Meldung empfängt.

Ca. 8 Min. LesezeitArt. 14 · 16Gilt ab 11. Sep. 2026

01Was gemeldet werden muss

Art. 14 der Cyber Resilience Act schafft zwei gesonderte Meldepflichten für Hersteller von Produkten mit digitalen Elementen. Sie sind enger gefasst, als sie zunächst erscheinen: Routinefehler und gewöhnliche Patches fallen nicht darunter. Art. 14

  • Aktiv ausgenutzte Schwachstellen; eine Schwachstelle in Ihrem Produkt, die in einem Angriff ausgenutzt wird. Eine Schwachstelle, die Sie entdecken und beheben, bevor sie ausgenutzt wird, wird über Ihren normalen Schwachstellenmanagementprozess, nicht über diesen Meldekanal.
  • Schwerwiegende Vorfälle; ein Vorfall, der schwerwiegende Auswirkungen auf die Sicherheit des Produkts hat, der beispielsweise die Vertraulichkeit, Integrität oder Verfügbarkeit für Nutzer beeinträchtigt.
Der Test

Wenn eine Sicherheitsschwäche in Ihrem Produkt aktiv ausgenutzt wird oder ein Sicherheitsvorfall es schwerwiegend beeinträchtigt hat, beginnt die Frist gemäß Art. 14. Alles andere verbleibt in Ihrem täglichen Schwachstellenmanagement.

02Die drei Fristen

Jede Meldung gliedert sich in drei Phasen, gemessen ab dem Zeitpunkt, zu dem Sie Kenntnis erlangen der ausgenutzten Schwachstelle oder des schwerwiegenden Vorfalls. Die Fristen sind eng, weshalb die Vorbereitung im Ernstfall wichtiger ist als der Prozess selbst. Art. 14(2)–(4)

  • Innerhalb von 24 Std.Frühwarnung. Eine erste Benachrichtigung darüber, dass eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Vorfall aufgetreten ist, einschließlich der Angabe, ob vermutet wird, dass dieser durch rechtswidrige oder böswillige Handlungen verursacht wurde.
  • Innerhalb von 72 Std.Schwachstellen- / Vorfallsmeldung. Ein ausführlicherer Bericht, einschließlich einer ersten Bewertung, Schweregrad und Auswirkungen sowie – soweit verfügbar – der ergriffenen Korrektur- oder Minderungsmaßnahmen.
  • Innerhalb von 14 TagenAbschlussbericht. Sobald eine Korrekturmaßnahme verfügbar ist: eine Beschreibung der Schwachstelle oder des Vorfalls, ihres Schweregrads und ihrer Auswirkungen sowie der angewandten Abhilfemaßnahme. Bei Vorfällen beginnt die Frist mit der Bewältigung des Vorfalls.

03An wen Sie melden

Meldungen gehen an ENISA und an den als Koordinator benanntes CSIRT für den betreffenden Mitgliedstaat. Sie kontaktieren nicht jede Behörde separat: Der CRA richtet eine einheitliche Meldeplattform, die von ENISA eingerichtet und betrieben wird und als gemeinsamer Eingang für alle Meldungen dient. Art. 14 · 16

Die Plattform leitet jede Meldung an das zuständige nationale CSIRT und bei Bedarf an andere Behörden weiter. In eng begrenzten Fällen – etwa wenn die Offenlegung ein unverhältnismäßiges Cybersicherheitsrisiko erzeugen würde – erlaubt die Verordnung eine eingeschränkte Meldung, doch der Regelfall ist eine vollständige und unverzügliche Meldung über die Plattform.

Stand · Mitte 2026

Die einheitliche Meldeplattform ist noch nicht allgemein verfügbar. ENISA baut sie derzeit auf (die Entwicklung wurde ausgeschrieben und vergeben) und veröffentlicht in der Vorbereitungsphase Registrierungs-, Onboarding- und Probebetriebsunterlagen. Sie soll bis zum Startdatum 11. September 2026 betriebsbereit sein, mit einer Testphase davor; daher gibt es heute noch keine aktive Plattform, auf der man sich registrieren kann.

04Wann es beginnt

Die Meldepflichten sind der erste wesentliche Teil des CRA, der in Kraft tritt. Während die meisten Bestimmungen ab dem 11. Dezember 2027 gelten, gilt Art. 14 ab 11. September 2026; 21 Monate nach Inkrafttreten der Verordnung. Die einheitliche Meldeplattform soll bis zu diesem Datum betriebsbereit sein. Art. 71

Warum dies die erste maßgebliche Frist ist

Anders als die CE-Kennzeichnung, die Sie einmalig vor dem Inverkehrbringen eines Produkts abschließen, ist die Meldepflicht eine fortlaufende, aktive Verpflichtung, die im September 2026 beginnt und jederzeit danach ausgelöst werden kann. Die Vorbereitung ist kein einmaliges Projekt.

Noch in der Fertigstellung

Das genaue Format und Verfahren für Meldungen kann durch Durchführungsrechtsakte der Kommission weiter präzisiert werden, und die harmonisierte Normen die das Schwachstellenmanagement unterstützen, werden um den 30. August 2026. Beide werden voraussichtlich erst kurz vor Beginn der Verpflichtung vorliegen. Die praktische Konsequenz: Bauen Sie jetzt Ihre internen Erkennungs- und Meldeprozesse auf; warten Sie nicht auf die endgültige Plattformstruktur oder eine veröffentlichte Meldeformulierung, denn die Pflicht gilt ab dem 11. September 2026 unabhängig davon.

05Wie Sie sich vorbereiten können

Das Einhalten eines 24-Stunden-Fensters ist ein operatives Problem, kein bürokratisches. Die Hersteller, die dies schaffen werden, sind diejenigen, die bereits wissen, was in ihren Produkten steckt, und dies kontinuierlich überwachen.

  • Führen Sie eine genaue SBOM; Sie können keine Komponente melden, von der Sie nicht wussten, dass Sie sie ausgeliefert haben. Führen Sie eine Software-Stückliste und halten Sie diese aktuell, wenn sich Versionen ändern.
  • Überwachen Sie es kontinuierlich; gleichen Sie Ihre Komponenten mit bekannten Schwachstellenquellen ab, damit eine aktiv ausgenutzte Schwachstelle innerhalb von Stunden und nicht Wochen erkannt wird.
  • Legen Sie den Prozess im Voraus fest; legen Sie jetzt fest, wer entscheidet, ob eine Meldung fällig ist, wer sie verfasst und wer sie einreicht, damit die Frist nicht für interne Eskalation verbraucht wird.
  • Verfolgen Sie die zugrunde liegenden Anforderungen; der Konformitätsmatrix verknüpft die Meldung mit den übergeordneten Schwachstellenmanagementpflichten gemäß Anhang I, in die sie eingebettet ist.

Der SBOM- und Schwachstellenanalysator deckt die ersten beiden ab: Er gleicht Ihre Stückliste mit NVD und der EU-Schwachstellendatenbank (EUVD) ab, sodass eine aktiv ausgenutzte Komponente innerhalb des 24-Stunden-Fensters gemeldet wird.

Schwachstellenanalysator öffnen →Der CRA erklärt →

06Häufige Fragen

Was muss ich gemäß dem CRA melden und wie schnell?

Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit Ihres Produkts beeinträchtigen. Sie müssen innerhalb von 24 Stunden nach Bekanntwerden eine Frühwarnung, innerhalb von 72 Stunden eine ausführlichere Meldung und innerhalb von 14 Tagen nach Verfügbarkeit einer Korrekturmaßnahme einen abschließenden Bericht übermitteln. Art. 14

Wann beginnen die Meldepflichten?

11. September 2026; 21 Monate nach Inkrafttreten der Verordnung und weit vor der vollständigen Anwendung am 11. Dezember 2027.

An wen melde ich?

ENISA und das als Koordinator benannte nationale CSIRT, über die einheitliche Meldeplattform, die ENISA gemäß Art. 16 einrichtet. Es handelt sich um einen einzigen Eingang und nicht um getrennte Meldungen.

Muss ich jeden Fehler oder jede Schwachstelle melden?

Nein. Nur aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle sind meldepflichtig. Schwachstellen, die Sie vor der Ausnutzung finden und beheben, werden über Ihren gewöhnlichen Schwachstellenmanagementprozess abgewickelt.

Ist die einheitliche Meldeplattform von ENISA bereits verfügbar?

Noch nicht. Stand Mitte 2026 wird sie noch gemäß Art. 16 aufgebaut; ENISA veröffentlicht in der Vorbereitungsphase Registrierungs- und Probebetriebsunterlagen, und die Plattform soll bis zum 11. September 2026 betriebsbereit sein, mit einer Testphase davor.

Gibt es bereits ein Standardformat oder eine Vorlage für die Meldung?

Noch kein endgültiges. Die Kommission kann Format und Verfahren für Meldungen durch Durchführungsrechtsakte festlegen, und die harmonisierten Normen für das Schwachstellenmanagement werden um den 30. August 2026 erwartet. Richten Sie jetzt Ihren internen Prozess ein, anstatt auf die veröffentlichten Mechanismen zu warten; die Verpflichtung gilt ab dem 11. September 2026 unabhängig davon.

Weiterlesen

Zugehörige Verweise

§Der CRA erklärt

Anwendungsbereich, Klassen, Pflichten und der vollständige Zeitplan in verständlicher Sprache.

§SBOM- und Schwachstellenanalysator

Gleichen Sie Ihre Komponenten mit NVD und EUVD ab, um das 24-Stunden-Fenster einzuhalten.

§Die vollständige Verordnung

Art. 14 und 16 im verbindlichen Text der Regulation (EU) 2024/2847.

§Häufig gestellte Fragen

Prägnante Antworten auf häufige Fragen von Interessenträgern mit Quellenangaben.