Contents
- CRA Berichtspflichten
CRA Berichtspflichten
CRA Berichtspflichten – Überblick
Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu klar definierten Berichts- und Meldepflichten bei Sicherheitsvorfällen und Schwachstellen.
Ziel ist eine frühzeitige, EU-weit koordinierte Reaktion auf Cyberrisiken entlang der gesamten Lieferkette.
Die Berichtspflichten gelten ab dem 11. September 2026 und sind unmittelbar verbindlich.
Wer ist berichtspflichtig?
Berichtspflichtig sind Hersteller im Sinne des Cyber Resilience Act, die:
- Hardware- oder Softwareprodukte mit digitalen Elementen
- im Europäischen Binnenmarkt in Verkehr bringen oder bereitstellen
Die Pflichten gelten unabhängig davon, ob das Produkt eigenständig oder als Bestandteil eines Gesamtsystems vertrieben wird.
Welche Ereignisse sind meldepflichtig?
Der CRA unterscheidet zwei meldepflichtige Ereigniskategorien:
1. Aktiv ausgenutzte Schwachstellen
Schwachstellen, die bereits tatsächlich ausgenutzt werden und die Sicherheit des Produkts beeinträchtigen.
2. Schwerwiegende Sicherheitsvorfälle
Sicherheitsereignisse, die erhebliche Auswirkungen auf:
- Verfügbarkeit
- Integrität
- Vertraulichkeit
des Produkts mit digitalen Elementen haben.
Die Meldepflicht ist anlassbezogen, nicht periodisch.
Meldefristen nach dem CRA
Der Cyber Resilience Act sieht ein dreistufiges Meldeverfahren mit festen Fristen vor:
Frühwarnung
- innerhalb von 24 Stunden nach Bekanntwerden des Ereignisses
Vollständige Meldung
- innerhalb von 72 Stunden nach Bekanntwerden
Abschlussbericht
- bei aktiv ausgenutzten Schwachstellen:
spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme - bei schwerwiegenden Vorfällen:
spätestens einen Monat nach der Meldung
Die Fristen sind hart und nicht verlängerbar.
CRA Single Reporting Platform (SRP)
Hersteller melden Ereignisse nur einmal über die zentrale CRA Single Reporting Platform (SRP).
Adressaten der Meldung
- zuständiges CSIRT des Mitgliedstaats der Hauptniederlassung
- ENISA (Europäische Agentur für Cybersicherheit)
Das empfangende CSIRT verteilt die Informationen an weitere betroffene CSIRTs innerhalb der EU.
Ausnahme: Verzögerte Weitergabe von Meldungen
Unter außergewöhnlichen Umständen kann ein CSIRT die Weitergabe von Meldungen vorübergehend zurückhalten, wenn:
- berechtigte Gründe der Cybersicherheit vorliegen
- die Voraussetzungen des delegierten Rechtsakts vom 11. Dezember 2025 erfüllt sind
Diese Ausnahme ist eng auszulegen und stellt keinen Regelfall dar.
Rolle der ENISA
Die ENISA ist gemäß Artikel 16 CRA verantwortlich für:
- Aufbau
- Betrieb
- Weiterentwicklung
der CRA Single Reporting Platform.
Die Plattform wird spätestens zum 11. September 2026 einsatzbereit sein; davor ist ein Testbetrieb vorgesehen.
Abgrenzung zur NIS-2-Richtlinie
Die CRA Berichtspflichten sind nicht identisch mit NIS-2-Meldepflichten:
| CRA | NIS-2 |
|---|---|
| Produktsicherheit | Betriebs- und Dienstsicherheit |
| Hersteller | Betreiber wesentlicher bzw. wichtiger Einrichtungen |
| Produktbezogene Vorfälle | Service- und Netzvorfälle |
Unternehmen können parallel unter beide Regelwerke fallen.
Praktische Umsetzung für Hersteller
Hersteller sollten frühzeitig sicherstellen:
- kontinuierliche Überwachung von Schwachstellen
- klare interne Eskalations- und Entscheidungsprozesse
- 24/7-Meldebereitschaft
- dokumentierte Bewertung „aktiv ausgenutzt“ vs. „schwerwiegend“
- technische und organisatorische Anbindung an die SRP
Die Berichtspflichten sind prüf- und sanktionsrelevant.
Die CRA Berichtspflichten sind ein zentrales Element der europäischen Cyberresilienzstrategie.
Sie verlangen von Herstellern schnelle Reaktion, klare Prozesse und hohe organisatorische Reife.
Nicht gemeldete oder verspätet gemeldete Ereignisse stellen einen Verstoß gegen unmittelbar geltendes EU-Recht dar.
Quelle: https://digital-strategy.ec.europa.eu/de/policies/cra-reporting