Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen (PDE) zu engmaschigen Meldungen. Wer Kenntnis von einer aktiv ausgenutzten Schwachstelle in einem eigenen PDE oder einem schwerwiegenden Vorfall erlangt, hat wenig Zeit zum Reagieren. Die Verordnung ist zwar erst ab Dezember 2027 vollständig anwendbar. Die Meldepflichten nach Art. 14 CRA greifen jedoch bereits ab dem 11. September 2026, also deutlich früher.
Zwei Auslöser, dreistufiges Meldesystem
Zu unterscheiden sind zwei Konstellationen. Zum einen die aktiv ausgenutzte Schwachstelle nach Art. 14 Abs. 1 CRA. Zum anderen der schwerwiegende Sicherheitsvorfall nach Art. 14 Abs. 3 CRA.
Aktiv ausgenutzte Schwachstelle
Eine aktiv ausgenutzte Schwachstelle liegt nach Art. 3 Nr. 42 CRA vor, wenn verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur eine Schwachstelle in einem System ohne Zustimmung des Systemeigners ausgenutzt hat. Stammt die aktiv ausgenutzte Schwachstelle aus einer Zulieferkomponente, trifft die Meldepflicht nach Art. 14 CRA den Produkthersteller; bei separat vermarkteten Komponenten meldet der Komponentenhersteller zusätzlich.
Schwerwiegender Sicherheitsvorfall
Der schwerwiegende Sicherheitsvorfall nach Art. 14 Abs. 5 CRA erfasst jedes Ereignis, das sich negativ auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit sensibler oder wichtiger Daten oder Funktionen auswirkt oder auswirken kann. Außerdem erfasst er jede Konstellation, die zur Einführung oder Ausführung böswilliger Codes in einem PDE oder im Netzwerk und Informationssystem eines Nutzers geführt hat oder führen könnte. Wo genau die Grenze zwischen betrieblicher Auffälligkeit und meldepflichtigem Vorfall verläuft, erfordert weitere Guidelines der Kommission und wird sich für die Praxis noch zeigen. Die bisher von der EU-Kommission oder der in Deutschland zuständigen Stelle, das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthalten diesbezüglich bis dato zumindest noch keine konkretisierenden Angaben.
Kenntniserlangung
Wie der Hersteller überhaupt Kenntnis erlangt, regelt der CRA nicht. Die Europäische Kommission benennt in ihren FAQ (Stand Januar 2026) beispielhafte Kanäle.[1] Dazu zählen Hinweise von Kunden oder Partnerunternehmen, Threat-Intelligence-Berichte, Meldungen staatlicher Cybersicherheitsbehörden und ethischer Hacker sowie eigene Erkenntnisse aus internem Monitoring, Scans, Telemetrie, Honeypots oder der Beobachtung einschlägiger Foren. Eine Pflicht zur systematischen Bewirtschaftung all dieser Kanäle folgt daraus nicht. Anhang I Teil II CRA verlangt allerdings eine zentrale Anlaufstelle für Schwachstellenhinweise, eine koordinierte Offenlegungspolitik und Vorkehrungen zum Informationsaustausch.
Meldeverfahren
Für beide Konstellationen gilt ein dreistufiges Meldeverfahren, das sich zwar je nach Art des Meldeauslösers im Einzelnen unterscheidet, allerdings gelten folgende Gemeinsamkeiten:
Die erste Stufe ist eine Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung. Sie geht über die einheitliche Meldeplattform an das nach Art. 14 Abs. 7 CRA als Koordinator benannte Computer Security Incident Response Team (CSIRT) (in Deutschland das BSI [2]) und parallel an die ENISA. Inhaltlich ist auf dieser Stufe zumindest der Hinweis auf die Schwachstelle oder den Vorfall sowie die Angabe der Mitgliedstaaten, in denen das Produkt nach Kenntnis des Herstellers bereitgestellt wurde, erforderlich.
Innerhalb weiterer 48 Stunden, also spätestens 72 Stunden nach Kenntnis, folgt die zweite Stufe. Diese Meldung muss weitere Informationen über das Produkt enthalten, die Art der Ausnutzung oder des Vorfalls beschreiben, die Korrektur- und Risikominderungsmaßnahmen benennen, die Nutzer ergreifen können und gegebenenfalls angeben, als wie sensibel die gemeldeten Informationen angesehen werden.
Auf der dritten Stufe differenziert der CRA näher zwischen den beiden Auslösern. Bei einer aktiv ausgenutzten Schwachstelle ist ein Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Korrektur- oder Risikominderungsmaßnahme vorzulegen. Er muss die Schwachstelle samt Schweregrad beschreiben, Informationen zum Angreifer enthalten, falls verfügbar, und die bereitgestellten Updates und Patches benennen. Bei einem schwerwiegenden Vorfall verlängert sich die Frist für den Abschlussbericht auf einen Monat. Zusätzlich kann das CSIRT einen Zwischenbericht anfordern.
Die Knappheit der 24-Stunden-Frist verdient besondere Beachtung. Feiertage, Wochenenden und Urlaubszeiten lassen sich aus ihr nicht herausrechnen. Eine Frühwarnung in dieser Zeit gelingt in der Regel nur, wenn feste Zuständigkeiten, Vertretungsregelungen und Vorlagen für die Erstmeldung bereits vor dem Ereignis bestehen.
Meldeplattform
Technisch laufen die Pflichtmeldungen über eine zentrale Meldeplattform nach Art. 16 CRA, die von der ENISA einzurichten und zu betreiben ist. Der Meldeweg wird von jeder national zuständigen Behörde unterstützt. Für die Meldung von Schwachstellen hat das BSI bereits eine Meldeplattform eingerichtet, über die man nach dem Anlegen eines Unternehmenskontos bestehende Schwachstellen melden kann. Das Portal ist über https://portal.bsi.bund.de/ erreichbar.
Weitere Adressaten
Mit der Meldung an das CSIRT und die ENISA ist die Pflicht nicht vollständig erfüllt. Nach Art. 14 Abs. 8 CRA sind nach Kenntnis einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls zusätzlich die betroffenen Nutzer des Produkts zu informieren. Mitzuteilen sind die Schwachstelle oder der Vorfall selbst sowie Korrektur- und Risikominderungsmaßnahmen, die der Nutzer ergreifen kann. In der Praxis wird das überwiegend über Update-Kanäle und Sicherheits-Advisories laufen. Unterlässt der Hersteller die Information, kann das CSIRT sie selbst an die Nutzer geben. Praktisch hängt das davon ab, ob dem CSIRT die erforderlichen Daten überhaupt zur Verfügung stehen, was typischerweise ohnehin nur über den Hersteller möglich sein dürfte.
Hinzu kommt eine Meldung in die andere Richtung. Nach Art. 13 Abs. 6 CRA hat der Produkthersteller eine festgestellte Schwachstelle in einer verbauten Drittkomponente an deren Hersteller oder Maintainer zu melden und entwickelte Patches in maschinenlesbarem Format bereitzustellen. Dadurch soll auch eine Downstream Behebung von Schwachstellen sichergestellt werden, da die Gefahr, dass die einbezogene Software (vor allem bei Free- and Open Source Software) auch bei anderen Herstellern zum Einsatz kommt und so durch die Rückmeldepflicht eines Herstellers ganze Produktkategorien vor bestehenden Sicherheitslücken geschützt werden können.
Sanktionen und Vorbereitung
Verstöße gegen die Meldepflichten können nach Art. 64 Abs. 2 CRA mit Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet werden. Maßgeblich ist der höhere Betrag. Marktüberwachungsbehörden können darüber hinaus gem. Art. 54 Abs. 5 CRA Korrekturmaßnahmen anordnen, ein Produkt zurückrufen oder vom Markt nehmen.
Anders als bei den meisten anderen Pflichten nach dem erfassen die Meldepflichten nach Art. 69 Abs. 3 CRA auch solche Produkte mit digitalen Elementen, die bereits vor dem 11. Dezember 2027 in Verkehr gebracht wurden. Wie auch bereits die Kommission in Ihren FAQ erkannt hat, kann dies vor allem bei älteren Bestandsprodukten zu nicht unerheblichem Mehraufwand führen, da ursprüngliche Build-Umgebungen oder mit der Entwicklung des Produktcodes vertrautes Personal oft nicht mehr verfügbar sind. Dies entlässt jedoch auch Hersteller älterer Produkte nicht von den in Art. 14 CRA geregelten Pflichten des Schwachstellenhandlings. Die Meldung einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls und die Information der Nutzer bleiben gleichwohl zu leisten.[3]
Bis September 2026 sollten feste Zuständigkeiten stehen, einschließlich Vertretung außerhalb der Geschäftszeiten. Entscheidungswege für die Qualifikation eines Befunds als aktiv ausgenutzt oder schwerwiegend gehören ebenso dazu wie Textvorlagen für die drei Meldestufen und technische Schnittstellen zur späteren Meldeplattform. Wer Produkte nicht vollständig selbst entwickelt, sondern auf Zulieferkomponenten angewiesen ist, sollte die rechtzeitige Zuarbeit der Komponentenhersteller vertraglich absichern. Die Frist läuft ab Kenntnis des Produktherstellers und nicht erst dann, wenn zum Beispiel der Komponentenhersteller oder Subdienstleister relevante Aussagen liefert. Sinnvoll erscheint zudem eine Abstimmung mit bestehenden Prozessen insbesondere nach der DSGVO und der NIS2-RL, da derselbe Vorfall mehrere Meldepflichten nebeneinander auslösen kann und man so bereits auf bestehende und etablierte Prozesse zurückgreifen kann.
[1] FAQs on the Cyber Resilience Act, Version 1.0 – 03/12/2025, S. 52.
[2] Meldeportal des BSI für Schwachstellen: https://portal.bsi.bund.de/
[3] FAQs on the Cyber Resilience Act, Version 1.0 – 03/12/2025, S. 54.