{"id":321547,"date":"2026-02-15T00:05:35","date_gmt":"2026-02-14T23:05:35","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321547"},"modified":"2026-02-14T13:07:33","modified_gmt":"2026-02-14T12:07:33","slug":"cyber-resilience-act-phase-1-mit-meldepflicht-fuer-hersteller-ab-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/15\/cyber-resilience-act-phase-1-mit-meldepflicht-fuer-hersteller-ab-2026\/","title":{"rendered":"Cyber Resilience Act: Phase 1 mit Meldepflicht f\u00fcr Hersteller ab 2026"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Am 10. Dezember 2024 ist der Cyber Resilience Act der EU offiziell in Kraft getreten. Dieses Jahr laufen \u00dcbergangsfristen ab, was in Phase 1 eine Meldepflicht f\u00fcr Hersteller von Ger\u00e4ten und Software bedingt. Ab dem 11. September 2026 greifen die \"<em>Ver\u00adpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheits\u00advorf\u00e4llen<\/em>\". Hier eine kurze \u00dcbersicht zum Thema.<\/p>\n<p><!--more--><\/p>\n<h2>Der Cyber Resilience Act (CRA)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/55dc150a8ff04c349f4c52adf51c5644\" alt=\"\" width=\"1\" height=\"1\" \/>Der EU Cyber Resilience Act (<a href=\"https:\/\/www.cyberresilienceact.eu\/the-cra-explained\/\" target=\"_blank\" rel=\"noopener\">EU CRA<\/a>) schafft in der EU einen einheitlichen Rechtsrahmen f\u00fcr Cybersicherheit von\u00a0<i class=\"q\">Produkten mit digitalen Elementen<\/i>. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support \u00fcber den gesamten Lebenszyklus f\u00fcr Cybersicherheit dieser Produkte verpflichtet. Die betreffende EU-Informationsseite ist oben verlinkt.<\/p>\n<p>OpenKritis geht auf <a href=\"https:\/\/www.openkritis.de\/eu\/eu-cra-cyber-resilience-act.html\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> auf den EU CRA ein, und das BSI hat das Dokument\u00a0<a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act_node.html\" target=\"_blank\" rel=\"noopener\">Cyber Resilience Act<\/a> zum Thema ver\u00f6ffentlicht. Dort wird erkl\u00e4rt, dass alle Produkte, die in der EU verkauft werden und \"digitale Elemente\" enthalten, den Anforderungen des CRA entsprechen m\u00fcssen.<\/p>\n<p>Das umfasst neben preisg\u00fcnstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. \"Produkte mit digitalen Elementen\" werden im CRA als Produkte inklusive derer Datenfernverarbeitungsl\u00f6sungen definiert, die direkt oder indirekt mit einem Ger\u00e4t oder einem Netzwerk verbunden werden k\u00f6nnen.<\/p>\n<p>Damit gilt der CRA sowohl f\u00fcr vernetzte Hardwareprodukte (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und Smart-Meter-Gateways in intelligenten Messsystemen) als auch f\u00fcr reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und m\u00fcssen daher die Anforderungen des CRA nicht erf\u00fcllen.<\/p>\n<h2>Fristen des\u00a0Cyber Resilience Act (CRA)<\/h2>\n<p>20 Tage nach der Ver\u00f6ffentlichung im Amtsblatt der EU trat der CRA am 11. Dezember 2024 in Kraft. Die Umsetzung des CRA erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte m\u00fcssen zu diesem Zeitpunkt alle Anforderungen erf\u00fcllen. Relevant sind f\u00fcr Unternehmen, die Produkte anbieten, die unter den CRA fallen, folgende Stichtage:<\/p>\n<ul>\n<li>11. September 2026: Meldepflicht f\u00fcr Schwachstellen und Sicherheitsvorf\u00e4lle<\/li>\n<li>11. Dezember 2027: Alle CRA-Anforderungen m\u00fcssen bei neuen Produkten eingehalten werden.<\/li>\n<\/ul>\n<p>Ab dem 11. Dezember 2026 sollen ausreichende Konformit\u00e4tsbewertungsstellen zur Pr\u00fcfung vorhanden sein. Das BSI hat auf <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act_node.html\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> noch einige Informationen diesbez\u00fcglich f\u00fcr Unternehmen zusammen getragen.<\/p>\n<h2>ONEKEY weist auf Meldepflicht hin<\/h2>\n<p>Das D\u00fcsseldorfer Cybersicherheitsunternehmen <a href=\"https:\/\/www.onekey.com\/de\" target=\"_blank\" rel=\"noopener nofollow\">ONEKEY<\/a> hat mir k\u00fcrzlich einige Hinweise auf diese Meldepflichten f\u00fcr Unternehmen im Hinblick auf den CRA zukommen lassen. Das Unternehmen betreibt eine Plattform zur \u00dcberpr\u00fcfung von Ger\u00e4tesoftware (Firmware) auf Sicherheitsm\u00e4ngel und CRA-Compliance.<\/p>\n<p>ONEKEY weist darauf hin, dass der Cyber Resilience Act (CRA) ab 2026 erstmals unmittelbare Auswirkungen habe, auf die sich die Hersteller digitaler Ger\u00e4te, Maschinen und Anlagen mit Internet\u00adverbindung einstellen m\u00fcssen.<\/p>\n<h3>Meldefrist ab 11. September 2026<\/h3>\n<p>Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht f\u00fcr das laufende Jahr einen f\u00fcr Firmen besonders wichtigen Zeitpunkt vor. Ab 11. September 2026 greifen die \"Ver\u00adpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheits\u00advorf\u00e4llen\". ONEKEY schreibt dazu: Hersteller m\u00fcssen Sicherheitsl\u00fccken und sicherheitsrelevante Vorf\u00e4lle melden, sobald sie davon Kenntnis erlangen \u2014 und zwar innerhalb kurzer Fristen.<\/p>\n<p>Hierzu baue die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform \u2013 CRA Single Reporting Platform (SRP) \u2013 auf, \u00fcber die k\u00fcnftig alle Meldungen abgegeben werden m\u00fcssen.<\/p>\n<p>Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformit\u00e4tsnachweis gelten, wie oben erw\u00e4hnt, vollst\u00e4ndig ab 11. Dezember 2027. \"2026 beginnt die operative Phase des Cyber Resilience Act\", sagt ONEKEY-Gesch\u00e4ftsf\u00fchrer Jan Wendenburg.<\/p>\n<p>In wenigen Monaten, ab 11. Juni 2026 sollen die ersten Konformit\u00e4tsbewertungsstellen (CABs) ihre T\u00e4tigkeit aufnehmen und die Konformit\u00e4t von Produkten vorab pr\u00fcfen. Es handelt sich dabei um zugelassene, unabh\u00e4ngige Pr\u00fcfstellen. Dadurch k\u00f6nnen Hersteller einen externen CRA-Konformit\u00e4tsnachweis erhalten. ONEKEY-CEO Jan Wendenburg erkl\u00e4rt, dass Eile geboten sei: \"Die betroffenen Hersteller m\u00fcssen bis sp\u00e4testens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise\u00a0 und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB \u00fcberhaupt etwas pr\u00fcfen kann.\"<\/p>\n<p>F\u00fcr Produkte mit hohem Sicherheitsrisiko (CRA-Klassen \u201ecritical\" und \u201ehighly critical\") wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Ger\u00e4te mit gro\u00dfem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformit\u00e4tsbewertung Pflicht.<\/p>\n<p>\"F\u00fcr rund 90 Prozent aller vernetzten Produkte gen\u00fcgt allerdings eine Selbsterkl\u00e4rung\", stellt Jan Wendenburg klar. Es handelt sich dabei um eine Erkl\u00e4rung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erf\u00fcllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformit\u00e4tsbewertung beinhalten, wie sie \u00fcber die ONEKEY-Plattform erreicht werden kann. Ohne eine solche Erkl\u00e4rung d\u00fcrfen diese Produkte nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.<\/p>\n<h3>H\u00f6chste Zeit f\u00fcr die Hersteller<\/h3>\n<p>Jan Wendenburg erkl\u00e4rt: \"Es wird h\u00f6chste Zeit f\u00fcr die Hersteller, ihre vernetzten Ger\u00e4te, Maschinen und Anlagen einer CRA-Konformit\u00e4tsbewertung zu unterziehen.\" Aus Erfahrungen bei den entsprechenden Tests auf der ONEKEY-Plattform wei\u00df Wendenburg, dass in den meisten F\u00e4llen L\u00fccken zutage treten, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu gen\u00fcgen, die auf sie zukommen. Als Beispiele nennt Wendenburg Schwachstellen in externen Programmen von Partnern au\u00dferhalb der EU mit wenig Verst\u00e4ndnis f\u00fcr CRA-Compliance, zugekaufte Komponenten mit unvollst\u00e4ndiger Dokumentation oder Open-Source-Software.<\/p>\n<h3>Software-St\u00fccklisten erforderlich<\/h3>\n<p>Der ONEKEY-Gesch\u00e4ftsf\u00fchrer f\u00fchrt aus: \"Einer der ersten Schritte besteht darin, f\u00fcr jedes vernetzte Produkt eine l\u00fcckenlose Software-St\u00fcckliste zu erstellen, eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich h\u00e4ufig als schwierig.\" Ziel ist es, m\u00f6gliche Software-Schwachstellen, die Hackern als Angriffsfl\u00e4che dienen k\u00f6nnten, zu identifizieren, um sie zeitnah beheben zu k\u00f6nnen.<\/p>\n<p>Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abh\u00e4ngigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem \u00dcberblick \u00fcber alle bekannten Schwach\u00adstellen und Sicherheitsl\u00fccken.<\/p>\n<p>Diese Anforderungen zu erf\u00fcllen f\u00e4llt vielen Herstellern schwer, so Wendenburg, und sei es nur, weil sie von ihren Vorlieferanten nicht die gew\u00fcnschten Informationen in der not\u00adwendigen Vollst\u00e4ndigkeit erhalten. Jan Wendenburg stellt klar: \"Viele SBOMS sind unvollst\u00e4ndig, veraltet oder ohne Kontext zu Schwachstellen. F\u00fcr die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese l\u00fcckenhaften und teilweise \u00fcberholten Software-St\u00fccklisten unbrauchbar.\"<\/p>\n<h3>Ein Gro\u00dfteil des Aufwands l\u00e4sst sich automatisieren<\/h3>\n<p>Indes gehen die CRA-Auflagen weit \u00fcber die blo\u00dfe Bereitstellung einer korrekten SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits w\u00e4hrend der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu geh\u00f6ren sichere Software- und Hardware\u00addesigns, klare Vorgaben zur Schwachstellenbehandlung, die Einf\u00fchrung eines durchg\u00e4ngigen Risikomanagements sowie verpflichtende Sicherheitsupdates \u00fcber definierte Produktlebenszyklen hinweg.<\/p>\n<p>\"Alle diese Ma\u00dfnahmen m\u00fcssen nicht nur durchgef\u00fchrt, sondern auch bewertet, dokumentiert und nachgewiesen werden\", umrei\u00dft Jan Wendenburg den Aufwand.\u00a0Er res\u00fcmiert: \"Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein f\u00fcr die digitale Sicherheit in Europa dar, aber sie f\u00fchrt auch f\u00fcr die Hersteller zu einem Aufwand erheblichen Ausma\u00dfes.\"<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 10. Dezember 2024 ist der Cyber Resilience Act der EU offiziell in Kraft getreten. Dieses Jahr laufen \u00dcbergangsfristen ab, was in Phase 1 eine Meldepflicht f\u00fcr Hersteller von Ger\u00e4ten und Software bedingt. Ab dem 11. September 2026 greifen die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/02\/15\/cyber-resilience-act-phase-1-mit-meldepflicht-fuer-hersteller-ab-2026\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,731,908,426,7459],"tags":[15539,3081,4328,3836],"class_list":["post-321547","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-gerate","category-internet","category-sicherheit","category-software","tag-cra","tag-geraete","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321547"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321547\/revisions"}],"predecessor-version":[{"id":321551,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321547\/revisions\/321551"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}