CRA-Meldepflicht: Maschinenbauer müssen ab September 24 Stunden reagieren
Veröffentlicht: 14.07.2026 um 10:48 Uhr, Redaktion boerse-global.de
Der Cyber Resilience Act (CRA) zwingt Hersteller digitaler Produkte zu weitreichenden Compliance-Maßnahmen. Ab dem 11. September 2026 greift die erste scharfe Regel: Unternehmen müssen ausgenutzte Schwachstellen innerhalb von 24 Stunden an die EU-Cybersicherheitsbehörde ENISA und nationale Stellen melden.
Eine detaillierte Analyse folgt nach 72 Stunden. Der Abschlussbericht muss bei Schwachstellen nach 14 Tagen vorliegen, bei Sicherheitsvorfällen nach einem Monat.
Hohe Bußgelder und lange Update-Pflichten
Die Strafen für Verstöße sind happig: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen. Ab dem 11. Dezember 2027 müssen alle neu in Verkehr gebrachten Produkte vollständig CRA-konform sein – inklusive CE-Kennzeichnung nach „Security-by-Design"-Prinzipien.
Besonders knifflig für den Maschinenbau: Die Update-Pflicht gilt über die gesamte Nutzungsdauer. Bei steuerlichen Abschreibungszeiträumen von bis zu 13 Jahren bedeutet das eine langfristige Patch-Infrastruktur.
Angesichts der strengen Meldefristen des Cyber Resilience Acts müssen Unternehmen ihre IT-Infrastruktur jetzt proaktiv gegen Angriffe absichern. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Sicherheitslücken schließen und die neuen gesetzlichen Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheits-Leitfaden für Unternehmen kostenlos herunterladen
Industrie liefert erste Antworten
Die Hersteller reagieren. Siemens präsentierte am 13. Juli eine neue Generation der Sinumerik-One-Steuerung. Die Modelle NCU 1740.2 und 1760.2 mit 64-Bit-Architektur sind laut Unternehmen „CRA-ready" – ausgelegt für langfristige Updates und Cybersicherheit.
Auch die IMA Schelling Group zog nach: Am 12. Juli stellte sie die Plattform Aimi vor. Sie kombiniert Maschinensteuerung mit Sicherheitsmanagement und erfüllt sowohl die Maschinenverordnung ab Januar 2027 als auch den CRA. Ab Herbst 2026 sollen Einzelmaschinen mit der auf Verschlüsselung und Usermanagement fokussierten Lösung bestellbar sein.
Große Wissenslücken in der Wirtschaft
Trotz der nahenden Fristen sind nur 13 Prozent der Unternehmen vollständig über die CRA-Anforderungen informiert. Cybersicherheitsexperten raten dringend zur Erstellung von Software-Stücklisten (SBOM) und zu Krisenübungen – um die internen Eskalationswege für die 24-Stunden-Meldepflicht zu testen.
Neben dem Cyber Resilience Act bringt auch die EU-KI-Verordnung weitreichende Dokumentations- und Kennzeichnungspflichten für Unternehmen mit sich. Sichern Sie sich diesen kompakten Umsetzungsleitfaden, um alle relevanten Fristen und Risikoklassen des AI Acts rechtssicher im Blick zu behalten. Kostenloses E-Book zur EU-KI-Verordnung sichern
Der CRA ist nur ein Teil eines größeren Regulierungspakets. Bereits am 6. März endete die Registrierungsfrist für die NIS2-Richtlinie beim BSI. Von 29.500 betroffenen Unternehmen meldeten sich bislang rund 11.500 an. Ab dem 2. August greifen zudem Transparenzpflichten für Hochrisiko-KI im Rahmen des AI Act. Verbraucher profitieren ab dem 31. Juli von einem erweiterten Recht auf Reparatur.
In der Automobilbranche gilt seit dem 7. Juli eine neue Pflicht: EU-Neuwagen müssen einen Aufmerksamkeitsassistenten haben, der Fahrer bei Ablenkung warnt – ohne dauerhafte Speicherung biometrischer Daten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
