Zurück zum Blog
HostingCRACompliance

CRA-Meldepflicht ab September 2026: Vorbereitung für Softwarehersteller

·6 Min. Lesezeit

Cyber Resilience Act: Neue Spielregeln für Softwarehersteller

Der **Cyber Resilience Act (CRA)** der EU ist die erste umfassende Regulierung, die Cybersicherheitsanforderungen für **Produkte mit digitalen Elementen** verbindlich vorschreibt. Ab September 2026 treten die ersten Pflichten in Kraft – insbesondere die Meldepflicht für aktiv ausgenutzte Schwachstellen. Softwarehersteller und IT-Dienstleister müssen sich jetzt vorbereiten.

Was ist der Cyber Resilience Act?

Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Das umfasst:

Software: (Stand-alone und eingebettet)
Hardware mit Software-Komponenten: (IoT-Geräte, Router, Smart-Home-Produkte)
Cloud-Dienste: , soweit sie integraler Bestandteil eines Produkts sind

**Ausgenommen** sind unter anderem reine SaaS-Dienste (die unter NIS2 fallen), Open-Source-Software ohne kommerzielle Nutzung und bereits regulierte Produkte (Medizinprodukte, Kfz).

Die Meldepflicht ab September 2026

Die wohl dringendste Pflicht: Ab September 2026 müssen Hersteller **aktiv ausgenutzte Schwachstellen** in ihren Produkten innerhalb von **24 Stunden** an die ENISA (EU-Agentur für Cybersicherheit) melden.

**Was gemeldet werden muss:**

Beschreibung der Schwachstelle
Betroffene Produkte und Versionen
Schweregrad und potenzielle Auswirkungen
Bekannte Ausnutzung (Exploits)
Ergriffene oder geplante Gegenmaßnahmen

**Innerhalb von 72 Stunden** muss eine aktualisierte Meldung mit detaillierteren Informationen folgen.

Weitere Pflichten (ab 2027)

Ab Ende 2027 gelten die vollständigen CRA-Anforderungen:

Security by Design:: Cybersicherheit muss von Anfang an in der Produktentwicklung berücksichtigt werden
Schwachstellenmanagement:: Hersteller müssen einen dokumentierten Prozess zur Erkennung und Behebung von Schwachstellen haben
Sicherheitsupdates:: Kostenlose Sicherheitsupdates für die erwartete Produktlebensdauer (mindestens 5 Jahre)
SBOM (Software Bill of Materials):: Eine maschinenlesbare Auflistung aller Software-Komponenten
Konformitätsbewertung:: Je nach Risikoklasse Selbstbewertung oder externe Prüfung
**Achtung für Open-Source-Projekte:** Wenn ein Unternehmen Open-Source-Software kommerziell einsetzt und distribuiert, fällt es unter den CRA. Reine Community-Projekte ohne kommerzielle Absicht sind ausgenommen, aber die Abgrenzung ist im Detail komplex.

Was Sie jetzt tun sollten

**1. Betroffenheit prüfen:**

Stellen Sie Produkte mit digitalen Elementen auf dem EU-Markt bereit? Dann sind Sie wahrscheinlich betroffen.

**2. Schwachstellenmanagement aufbauen:**

Implementieren Sie einen Prozess, der es Ihnen ermöglicht, Schwachstellen in Ihren Produkten zu erkennen, zu bewerten und zu melden.

**3. SBOM-Prozesse etablieren:**

Beginnen Sie jetzt damit, Software-Stücklisten für Ihre Produkte zu erstellen. Tools wie **Syft, CycloneDX oder SPDX** unterstützen Sie dabei.

**4. Meldeprozesse testen:**

Stellen Sie sicher, dass Sie innerhalb von 24 Stunden eine qualifizierte Meldung absetzen können.

Fazit

Der Cyber Resilience Act wird die **Softwareentwicklung in Europa nachhaltig verändern**. Die Meldepflicht ab September 2026 ist der erste Meilenstein – aber nur der Anfang. Unternehmen, die jetzt mit der Vorbereitung beginnen, verschaffen sich einen Wettbewerbsvorteil und vermeiden Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes.

Interesse geweckt?

Lassen Sie uns über Ihr Projekt sprechen.

Kontakt aufnehmen
WhatsApp Chat