Ab dem 11. September 2026 greift die CRA-Meldepflicht — und viele Hersteller unterschätzen, was das konkret bedeutet. Dieser Artikel erklärt Art. 14 des Cyber Resilience Act, die 3-Stufen-Meldekette und fünf konkrete Schritte, die Sie jetzt einleiten sollten.
Was ist die CRA-Meldepflicht? (Art. 14 erklärt)
Art. 14 des Cyber Resilience Act (Verordnung EU 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen, aktiv ausgenutzte Schwachstellen in ihren Produkten innerhalb definierter Fristen an die ENISA zu melden.
Der entscheidende Trigger ist dabei das Merkmal „aktiv ausgenutzt": Nicht jede bekannte CVE löst die Meldepflicht aus — nur solche, bei denen nachgewiesen oder glaubhaft vermutet wird, dass sie in freier Wildbahn zur Kompromittierung von Systemen genutzt werden.
Der praktische Prüfstein: Ein Eintrag in der CISA Known Exploited Vulnerabilities (KEV)-Datenbank gilt als starkes Indiz für aktive Ausnutzung. Wer seine SBOM täglich gegen CISA-KEV abgleicht, erkennt Meldepflicht-Trigger automatisch.
Wer ist ab 11.09.2026 meldepflichtig?
Die Meldepflicht trifft alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Die Verordnung gilt unabhängig vom Sitz des Unternehmens — ein US-Unternehmen, das Software in der EU verkauft, ist ebenso betroffen wie ein deutsches KMU.
Ausnahmen bestehen für:
- Medizinprodukte nach MDR/IVDR (das Medizinprodukt selbst — nicht das Cloud-Backend)
- Kraftfahrzeuge unter UNECE R155/R156 (das Fahrzeug — nicht Aftermarket-Software)
- Produkte für den nationalen Sicherheitsbereich
- Open-Source-Software ohne kommerziellen Kontext
Unsicher, ob Sie betroffen sind? Unser kostenloser CRA-Pflicht-Check gibt Ihnen in 2 Minuten Klarheit.
Was muss gemeldet werden — und was nicht?
Meldepflichtig ist eine Schwachstelle, wenn:
- Sie in einem Ihrer Produkte mit digitalen Elementen vorhanden ist
- Sie aktiv ausgenutzt wird (CISA-KEV-Eintrag oder eigene Erkenntnis)
- Sie das Produkt betrifft (nicht durch Konfiguration oder Architektur ausgeschlossen)
Nicht meldepflichtig sind:
- Bekannte CVEs ohne aktive Ausnutzung (auch schwerwiegende CVSS-Scores allein reichen nicht)
- Schwachstellen in Produkten außerhalb des EU-Marktes
- Schwachstellen, die durch Ihre Produktarchitektur nachweislich nicht ausnutzbar sind (VEX-Statement erforderlich)
Die 3-Stufen-Meldekette: 24h, 72h, 14 Tage
Die CRA-Meldepflicht folgt einer dreistufigen Eskalationslogik:
Stufe 1 — 24-Stunden-Frühwarnung: Spätestens 24 Stunden nach Kenntnis einer aktiv ausgenutzten Schwachstelle müssen Sie eine strukturierte Frühwarnung an die ENISA Single Reporting Platform (SRP) übermitteln. Pflichtinhalte: Produkt-Identifikation, CVE-Referenz, erste Impact-Einschätzung.
Stufe 2 — 72-Stunden-Notification: Innerhalb von 72 Stunden folgt ein detaillierterer Bericht mit Impact-Analyse, betroffenen Versionen und ersten eingeleiteten Maßnahmen.
Stufe 3 — 14-Tage-Final-Report: Spätestens 14 Tage nach der Frühwarnung muss ein vollständiger Abschlussbericht vorliegen: Behebungsplan, Patch-Status, Nachweis der Kundenkommunikation und Zeitlinie der Maßnahmen.
Die Fristen laufen ab dem Zeitpunkt, zu dem Sie Kenntnis erlangen — nicht ab dem Zeitpunkt, zu dem die CVE öffentlich wird.
Was ist die ENISA Single Reporting Platform?
Die ENISA Single Reporting Platform (SRP) ist die zentrale EU-Meldeplattform für CRA-Art.-14-Pflichten. Sie wird von der Europäischen Agentur für Cybersicherheit betrieben und ist Stand April 2026 noch in der Beta-Phase.
Für deutsche Hersteller gilt: Die ENISA-SRP ist die primäre Meldestelle. Das BSI erhält Meldungen über ein nationales CSIRT-Weiterleitungsverfahren — eine separate BSI-Meldung ist nach aktuellem Stand nicht erforderlich.
Die SRP erwartet Meldungen im CSAF-Format (Common Security Advisory Framework) — einem maschinenlesbaren JSON-Standard.
Bußgelder bei Verstößen: Bis 10 Mio. EUR
Verstöße gegen Art. 14 (Meldepflichtverstöße) werden mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet — je nachdem, welcher Betrag höher ist.
Zusätzlich kann die Marktaufsichtsbehörde ein Marktverbot verhängen. Für die meisten Hersteller ist dies die schwerwiegendere Sanktion — das Produkt darf dann nicht mehr in der EU verkauft werden.
Wichtig: Die Bußgelder gelten ab dem ersten Verstoß — es gibt keine Übergangsfrist für Unternehmen, die bisher kein Schwachstellenmanagement hatten.
In 5 Schritten zur Meldepflicht-Compliance
Schritt 1 — SBOM erstellen: Ohne vollständige Software Bill of Materials wissen Sie nicht, welche Abhängigkeiten Ihr Produkt hat — und damit nicht, welche CVEs Sie betreffen. Starten Sie mit der SBOM-Generierung, bevor Sie sich mit der Meldepflicht befassen.
Schritt 2 — CISA-KEV-Monitoring einrichten: Abonnieren Sie den CISA-KEV-Feed oder nutzen Sie ein Tool, das Ihre SBOM täglich gegen CISA-KEV abgleicht. So erkennen Sie Meldepflicht-Trigger automatisch und rechtzeitig.
Schritt 3 — ENISA-SRP-Zugang einrichten: Registrieren Sie sich bei EU Login (dem EU-Authentifizierungsdienst) und legen Sie Ihre Produkte in der ENISA SRP an. Dieser Prozess dauert mehrere Tage — beginnen Sie früh.
Schritt 4 — Meldeprozess definieren: Legen Sie intern fest: Wer entscheidet über die Meldung? Wer füllt das Formular aus? Wer kommuniziert mit Kunden? Ein undefinierter Prozess kostet Sie wertvolle Stunden innerhalb des 24h-Fensters.
Schritt 5 — Werkzeug zur Automatisierung wählen: Die 24h-Frist ist in der Praxis kaum manuell einzuhalten — insbesondere wenn Ihre SBOM viele Abhängigkeiten hat. SBOMfunk automatisiert Schritte 1–3 und generiert die ENISA-SRP-Formulare automatisch.
Möchten Sie die Meldepflicht-Compliance in 30 Minuten aufsetzen? SBOMfunk automatisiert den gesamten Prozess — von der SBOM-Generierung bis zur ENISA-Meldung. Beta-Zugang sichern.