Zurück zum Journal
IT-Sicherheit Juli 2026

Cyber Resilience Act: Meldepflicht ab September 2026 für IoT-Hersteller

Ab dem 11. September 2026 müssen Hersteller von IoT-Produkten aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb von Stunden melden. Die Pflicht betrifft den gesamten Produktbestand, nicht nur Neuentwicklungen.

Der Cyber Resilience Act wird konkret: Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb von Stunden melden.

Der EU Cyber Resilience Act (CRA) trat am 10. Dezember 2024 in Kraft. Viele Unternehmen haben die Verordnung bislang als abstrakte Anforderung wahrgenommen. Das ändert sich jetzt: Am 11. September 2026 tritt die erste operative Pflicht in Kraft. Hersteller von Produkten mit digitalen Elementen, also nahezu jedes IoT-Gerät, müssen dann aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an die zuständigen Behörden melden. Die Fristen sind knapp: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht nach spätestens 14 Tagen.

Unsere Position ist klar: Wer jetzt nicht mit dem Aufbau der erforderlichen Prozesse beginnt, riskiert ab September 2026 den Marktzugang für seine Produkte. Die Meldepflicht ist der erste operative Test für die CRA-Compliance. Sie betrifft nicht nur neue Geräte, sondern den gesamten Produktbestand, der bereits im Markt ist.

Die Meldepflicht verlangt von Herstellern eine strukturierte Reaktion auf aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle mit festgelegten Fristen und Meldewegen.

Der CRA unterscheidet zwei Meldeauslöser: aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle. Eine Schwachstelle gilt als aktiv ausgenutzt, wenn ein Angreifer sie bereits in einem System ausnutzt. Ein schwerer Sicherheitsvorfall liegt vor, wenn der Vorfall die Sicherheit des Produkts oder seiner Nutzer erheblich beeinträchtigt. Die Meldung erfolgt an die nationale CSIRT (Computer Security Incident Response Team) des Mitgliedsstaats, in dem der Hersteller seinen Sitz hat, sowie an die EU-Agentur ENISA.

Die Meldefristen sind gestaffelt: Eine Frühwarnung muss innerhalb von 24 Stunden nach Kenntnisnahme erfolgen. Sie enthält erste Informationen über den Vorfall und die ergriffenen Maßnahmen. Eine vollständige Meldung folgt innerhalb von 72 Stunden. Sie umfasst eine detaillierte Beschreibung der Schwachstelle oder des Vorfalls, der betroffenen Produkte und der Auswirkungen. Ein Abschlussbericht ist nach spätestens 14 Tagen vorzulegen. Er dokumentiert die Ursachenanalyse und die ergriffenen Abhilfemaßnahmen.

Wir halten diese Fristen für ambitioniert, aber notwendig. Sie zwingen Hersteller, ihre Incident-Response-Prozesse zu professionalisieren. Ein manueller Prozess, der auf E-Mails und Telefonaten basiert, wird diesen Anforderungen nicht gerecht. Erforderlich sind automatisierte Erkennungs- und Meldesysteme, die innerhalb weniger Stunden eine qualifizierte Bewertung liefern.

Die Meldepflicht gilt nicht nur für neue Produkte, sondern für den gesamten Produktbestand, der bereits im Markt ist.

Ein weit verbreitetes Missverständnis ist die Annahme, der CRA gelte nur für Produkte, die nach dem Stichtag entwickelt werden. Das Gegenteil ist der Fall: Die Meldepflicht ab September 2026 betrifft alle Produkte mit digitalen Elementen, die zum Zeitpunkt des Vorfalls im Markt sind. Das schließt Geräte ein, die vor Jahren entwickelt und ausgeliefert wurden. Hersteller müssen also auch für ihre Bestandsprodukte Prozesse vorhalten, um Schwachstellen und Vorfälle zu erkennen und zu melden.

Diese Regelung hat weitreichende Konsequenzen. Viele IoT-Hersteller haben für ältere Produkte keine aktive Schwachstellenüberwachung mehr. Sie gehen davon aus, dass die Produkte am Ende ihres Lebenszyklus sind. Der CRA verlangt jedoch, dass Hersteller für die gesamte erwartete Produktlebensdauer Sicherheitsupdates bereitstellen und Schwachstellen managen. Die erwartete Produktlebensdauer ist dabei nicht die geplante, sondern die tatsächliche Nutzungsdauer, die oft deutlich länger ist.

Unsere Position: Hersteller müssen jetzt eine Bestandsaufnahme ihrer Produktportfolios durchführen. Sie müssen für jedes Produkt mit digitalen Elementen klären, ob es noch im Markt ist, welche Schwachstellen bekannt sind und wie der Incident-Response-Prozess für dieses Produkt aussieht. Fehlt dieser Prozess, ist das Produkt ab September 2026 ein Risiko für den gesamten Marktzugang des Unternehmens.

Bei Nichteinhaltung der Meldepflicht drohen Marktzugangsbeschränkungen, Bußgelder und Haftungsrisiken für Hersteller.

Der CRA sieht ein gestaffeltes Sanktionssystem vor. Die schwerwiegendste Konsequenz ist der Entzug des Marktzugangs. Die zuständigen Behörden können Produkte vom Markt nehmen, wenn der Hersteller seine Meldepflichten nicht erfüllt. Das bedeutet faktisch ein Vertriebsverbot für die betroffenen Produkte in der gesamten EU. Hinzu kommen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Darüber hinaus entstehen Haftungsrisiken. Wenn ein Hersteller eine aktiv ausgenutzte Schwachstelle nicht meldet und dadurch Schäden bei Nutzern entstehen, kann er zivilrechtlich haftbar gemacht werden. Die Beweislast kehrt sich um: Der Hersteller muss nachweisen, dass er seine Sorgfaltspflichten erfüllt hat. Ohne dokumentierte Meldeprozesse ist dieser Nachweis kaum zu führen.

Wir halten die Sanktionen für angemessen. Der CRA macht Cybersicherheit von einer optionalen Qualitätseigenschaft zu einer verbindlichen Produktpflicht mit Nachweispflicht über den gesamten Lebenszyklus. Wer diese Pflicht ignoriert, gefährdet nicht nur die Sicherheit seiner Kunden, sondern auch seine eigene Marktposition.

Hersteller sollten jetzt Prozesse für Schwachstellenmanagement und Incident Response aufbauen, die innerhalb von Stunden greifen.

Die Vorbereitung auf die Meldepflicht erfordert konkrete Maßnahmen. An erster Stelle steht der Aufbau eines Incident-Response-Teams, das rund um die Uhr erreichbar ist. Dieses Team muss in der Lage sein, eine eingehende Meldung innerhalb von 24 Stunden zu bewerten und eine Frühwarnung zu versenden. Dazu gehören definierte Eskalationswege, Checklisten und Vorlagen für die Meldungen an die Behörden.

Ein zentrales Werkzeug ist die Software Bill of Materials (SBOM). Eine SBOM listet alle Komponenten eines Produkts auf, einschließlich Open-Source-Bibliotheken und Drittanbieter-Software. Sie ermöglicht es, bei Bekanntwerden einer Schwachstelle sofort zu prüfen, ob das eigene Produkt betroffen ist. Der CRA fordert die Erstellung und Pflege einer SBOM als Teil des Schwachstellenmanagements.

Darüber hinaus empfehlen wir die Implementierung eines automatisierten Schwachstellen-Scannings, das kontinuierlich den gesamten Produktbestand überwacht. Security-by-Design-Prinzipien sollten in den Entwicklungsprozess integriert werden, um Schwachstellen von vornherein zu vermeiden. Dazu gehören regelmäßige Penetrationstests, Code-Reviews und die Verwendung sicherer Programmierpraktiken.

Ein weiterer wichtiger Punkt ist die Dokumentation. Der CRA verlangt, dass Hersteller ihre Sicherheitsmaßnahmen nachweisen können. Das bedeutet, dass alle Prozesse, Entscheidungen und Meldungen lückenlos dokumentiert werden müssen. Ein Sicherheitsvorfall, der nicht dokumentiert ist, gilt als nicht gemeldet.

Der September 2026 ist der erste Meilenstein, aber nicht der letzte: Ab Dezember 2027 müssen alle betroffenen Produkte mit nachgewiesener CRA-Konformität in der EU bereitgestellt werden.

Die Meldepflicht ab September 2026 ist der erste operative Test. Der zweite große Meilenstein folgt am 11. Dezember 2027. Ab diesem Datum dürfen Produkte mit digitalen Elementen nur noch in der EU bereitgestellt werden, wenn sie die CRA-Konformität nachweisen. Das bedeutet, dass Hersteller ihre Produkte einer Konformitätsbewertung unterziehen müssen, in der Regel durch eine interne oder externe Prüfung. Die Konformität wird durch eine EU-Konformitätserklärung und die CE-Kennzeichnung dokumentiert.

Wir raten Herstellern, die Vorbereitung auf den CRA als kontinuierlichen Prozess zu verstehen. Die Meldepflicht ist der erste Schritt. Wer jetzt die Prozesse für Schwachstellenmanagement und Incident Response aufbaut, schafft die Grundlage für die spätere Konformitätsbewertung. Wer wartet, bis die Fristen näher rücken, riskiert Zeitdruck und mögliche Marktzugangsbeschränkungen.

Der CRA ist kein vorübergehendes Phänomen. Er etabliert einen dauerhaften Rechtsrahmen für Cybersicherheit in der EU. Hersteller, die sich frühzeitig anpassen, sichern sich nicht nur ihren Marktzugang, sondern auch einen Wettbewerbsvorteil. Denn Cybersicherheit wird zunehmend zum Kaufkriterium für Kunden und Geschäftspartner.

Häufige Fragen

Welche Meldepflichten gelten ab September 2026 für IoT-Hersteller nach dem CRA?

Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden. Die Meldung erfolgt gestaffelt: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht nach spätestens 14 Tagen. Adressaten sind die nationale CSIRT und die EU-Agentur ENISA.

Betrifft die Meldepflicht nur neue Produkte oder auch bereits ausgelieferte Geräte?

Die Meldepflicht gilt für den gesamten Produktbestand, der zum Zeitpunkt des Vorfalls im Markt ist. Das schließt Geräte ein, die vor Jahren entwickelt und ausgeliefert wurden. Hersteller müssen auch für Bestandsprodukte Prozesse zur Erkennung und Meldung von Schwachstellen vorhalten.

Welche Fristen und Meldewege sind für Schwachstellenmeldungen vorgeschrieben?

Die Fristen sind gestaffelt: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach 14 Tagen. Die Meldung erfolgt an die nationale CSIRT des Sitzlandes des Herstellers und an ENISA. Die Meldung muss elektronisch und in einem standardisierten Format erfolgen.

Was passiert, wenn ein Hersteller die Meldepflicht nicht einhält?

Bei Nichteinhaltung drohen Marktzugangsbeschränkungen, Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes sowie zivilrechtliche Haftungsrisiken. Die Behörden können Produkte vom Markt nehmen, wenn der Hersteller seine Meldepflichten nicht erfüllt.