Cyber Resilience Act: Phase 1 mit Meldepflicht für Hersteller ab 2026

Veröffentlicht am 15. Februar 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Am 10. Dezember 2024 ist der Cyber Resilience Act der EU offiziell in Kraft getreten. Dieses Jahr laufen Übergangsfristen ab, was in Phase 1 eine Meldepflicht für Hersteller von Geräten und Software bedingt. Ab dem 11. September 2026 greifen die "Ver­pflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheits­vorfällen". Hier eine kurze Übersicht zum Thema.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Der Cyber Resilience Act (CRA)

Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet. Die betreffende EU-Informationsseite ist oben verlinkt.

OpenKritis geht auf dieser Webseite auf den EU CRA ein, und das BSI hat das Dokument Cyber Resilience Act zum Thema veröffentlicht. Dort wird erklärt, dass alle Produkte, die in der EU verkauft werden und "digitale Elemente" enthalten, den Anforderungen des CRA entsprechen müssen.

Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. "Produkte mit digitalen Elementen" werden im CRA als Produkte inklusive derer Datenfernverarbeitungslösungen definiert, die direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden werden können.

Damit gilt der CRA sowohl für vernetzte Hardwareprodukte (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und Smart-Meter-Gateways in intelligenten Messsystemen) als auch für reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.

Fristen des Cyber Resilience Act (CRA)

20 Tage nach der Veröffentlichung im Amtsblatt der EU trat der CRA am 11. Dezember 2024 in Kraft. Die Umsetzung des CRA erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen. Relevant sind für Unternehmen, die Produkte anbieten, die unter den CRA fallen, folgende Stichtage:

  • 11. September 2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle
  • 11. Dezember 2027: Alle CRA-Anforderungen müssen bei neuen Produkten eingehalten werden.

Ab dem 11. Dezember 2026 sollen ausreichende Konformitätsbewertungsstellen zur Prüfung vorhanden sein. Das BSI hat auf dieser Seite noch einige Informationen diesbezüglich für Unternehmen zusammen getragen.

ONEKEY weist auf Meldepflicht hin

Das Düsseldorfer Cybersicherheitsunternehmen ONEKEY hat mir kürzlich einige Hinweise auf diese Meldepflichten für Unternehmen im Hinblick auf den CRA zukommen lassen. Das Unternehmen betreibt eine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel und CRA-Compliance.

ONEKEY weist darauf hin, dass der Cyber Resilience Act (CRA) ab 2026 erstmals unmittelbare Auswirkungen habe, auf die sich die Hersteller digitaler Geräte, Maschinen und Anlagen mit Internet­verbindung einstellen müssen.

Meldefrist ab 11. September 2026

Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht für das laufende Jahr einen für Firmen besonders wichtigen Zeitpunkt vor. Ab 11. September 2026 greifen die "Ver­pflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheits­vorfällen". ONEKEY schreibt dazu: Hersteller müssen Sicherheitslücken und sicherheitsrelevante Vorfälle melden, sobald sie davon Kenntnis erlangen — und zwar innerhalb kurzer Fristen.

Hierzu baue die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform – CRA Single Reporting Platform (SRP) – auf, über die künftig alle Meldungen abgegeben werden müssen.

Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformitätsnachweis gelten, wie oben erwähnt, vollständig ab 11. Dezember 2027. "2026 beginnt die operative Phase des Cyber Resilience Act", sagt ONEKEY-Geschäftsführer Jan Wendenburg.

In wenigen Monaten, ab 11. Juni 2026 sollen die ersten Konformitätsbewertungsstellen (CABs) ihre Tätigkeit aufnehmen und die Konformität von Produkten vorab prüfen. Es handelt sich dabei um zugelassene, unabhängige Prüfstellen. Dadurch können Hersteller einen externen CRA-Konformitätsnachweis erhalten. ONEKEY-CEO Jan Wendenburg erklärt, dass Eile geboten sei: "Die betroffenen Hersteller müssen bis spätestens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise  und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas prüfen kann."

Für Produkte mit hohem Sicherheitsrisiko (CRA-Klassen „critical" und „highly critical") wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Geräte mit großem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformitätsbewertung Pflicht.

"Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine Selbsterklärung", stellt Jan Wendenburg klar. Es handelt sich dabei um eine Erklärung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erfüllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformitätsbewertung beinhalten, wie sie über die ONEKEY-Plattform erreicht werden kann. Ohne eine solche Erklärung dürfen diese Produkte nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.

Höchste Zeit für die Hersteller

Jan Wendenburg erklärt: "Es wird höchste Zeit für die Hersteller, ihre vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu unterziehen." Aus Erfahrungen bei den entsprechenden Tests auf der ONEKEY-Plattform weiß Wendenburg, dass in den meisten Fällen Lücken zutage treten, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu genügen, die auf sie zukommen. Als Beispiele nennt Wendenburg Schwachstellen in externen Programmen von Partnern außerhalb der EU mit wenig Verständnis für CRA-Compliance, zugekaufte Komponenten mit unvollständiger Dokumentation oder Open-Source-Software.

Software-Stücklisten erforderlich

Der ONEKEY-Geschäftsführer führt aus: "Einer der ersten Schritte besteht darin, für jedes vernetzte Produkt eine lückenlose Software-Stückliste zu erstellen, eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich häufig als schwierig." Ziel ist es, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwach­stellen und Sicherheitslücken.

Diese Anforderungen zu erfüllen fällt vielen Herstellern schwer, so Wendenburg, und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der not­wendigen Vollständigkeit erhalten. Jan Wendenburg stellt klar: "Viele SBOMS sind unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar."

Ein Großteil des Aufwands lässt sich automatisieren

Indes gehen die CRA-Auflagen weit über die bloße Bereitstellung einer korrekten SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits während der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu gehören sichere Software- und Hardware­designs, klare Vorgaben zur Schwachstellenbehandlung, die Einführung eines durchgängigen Risikomanagements sowie verpflichtende Sicherheitsupdates über definierte Produktlebenszyklen hinweg.

"Alle diese Maßnahmen müssen nicht nur durchgeführt, sondern auch bewertet, dokumentiert und nachgewiesen werden", umreißt Jan Wendenburg den Aufwand. Er resümiert: "Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar, aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes."

Dieser Beitrag wurde unter Allgemein, Geräte, Internet, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.