Cyber Resilience Act: 24-Stunden-Meldefrist ab September greift
27.06.2026 - 08:08:16 | boerse-global.de
Die EU-Kommission treibt die erste große Umsetzungswelle des Cyber Resilience Act (CRA) voran – und setzt Hersteller damit massiv unter Druck.
Bereits am 11. September 2026 tritt die erste verbindliche Meldefrist in Kraft. Dann müssen Unternehmen aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden vorläufig melden. Eine detaillierte Analyse folgt binnen 72 Stunden über die zentrale ENISA-Meldeplattform.
Was Hersteller jetzt wissen müssen
Die Verordnung, die im Dezember 2024 in Kraft trat, erfasst künftig mehr als 90 Prozent aller Internet-of-Things-Produkte (IoT), die in der EU verkauft werden. Das betrifft nicht nur Smart-Home-Geräte, sondern auch Industriekomponenten, vernetzte Medizintechnik und Unterhaltungselektronik.
Die Anforderungen sind ambitioniert: Hersteller müssen Security-by-Design-Prinzipien umsetzen, Sicherheitsupdates für mindestens fünf Jahre bereitstellen und während des gesamten Produktlebenszyklus ein detailliertes Schwachstellenmanagement betreiben.
Abgestufte Risikoklassen und drastische Strafen
Der CRA unterteilt Produkte in verschiedene Risikostufen. Während die Standardkategorie eine Selbstauskunft erlaubt, benötigen Produkte der Klassen Important I und II sowie Critical eine externe Prüfung oder verpflichtende Zertifizierung.
Die Strafen bei Verstößen haben es in sich: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen – eine existenzielle Bedrohung selbst für mittelständische Unternehmen.
Jean-Louis Carrara, Senior Vice President bei Kigen, bezifferte die Compliance-Kosten auf rund 100.000 Euro pro Produktlinie. Seine Botschaft an die Industrie: „Der Übergang zur verpflichtenden Sicherheit ist keine Option mehr – er entscheidet über den Marktzugang in Europa."
Bedrohungslage eskaliert
Der Zeitpunkt der Regulierung ist kein Zufall. Der Black Kite European Cyber Risk Report 2026 dokumentiert einen alarmierenden Anstieg: Die Zahl der Ransomware-Vorfälle in Europa stieg zwischen Januar und April 2026 um 55,1 Prozent im Vergleich zum Vorjahreszeitraum.
Ab September 2026 gilt die 24h-Meldefrist für Sicherheitslücken – mit Strafen bis 15 Mio. Euro. Die kostenlose CRA-Compliance-Checkliste zeigt Ihnen, welche Pflichten auf Ihre Produktlinie zukommen und wie Sie die Fristen einhalten. CRA-Checkliste per E-Mail anfordern
Die monatliche Durchschnittszahl kletterte von 108 Vorfällen in der ersten Jahreshälfte 2025 auf 171 in den ersten Monaten dieses Jahres. Besonders betroffen: der verarbeitende Sektor mit 27,9 Prozent aller gemeldeten Fälle.
Deutschland führt die Länderstatistik an, gefolgt von Großbritannien, Frankreich, Italien und Spanien. Gemeinsam entfallen auf diese fünf Länder 70 Prozent aller europäischen Ransomware-Angriffe.
Die Achillesferse: Lieferketten
Besonders brisant: Die Analyse zeigt, dass 64 Organisationen über Drittanbieter und Zulieferer kompromittiert wurden. Diese Schwachstelle in der industriellen Lieferkette adressieren sowohl der CRA als auch die NIS2-Richtlinie – mit dem Ziel, Sicherheitslücken an den Schnittstellen zu schließen.
Internationale Welle der Regulierung
Europa ist mit dem Vorstoß nicht allein. Bereits am 1. Juli 2026 treten in Vietnam und Südkorea neue Digitalgesetze in Kraft. Vietnam verpflichtet mit seinem Digital Transformation Law und einem separaten Cybersecurity Law E-Commerce-Plattformen, KI-Entwickler und Cloud-Anbieter zu umfassenden Schutzmaßnahmen.
Südkorea wiederum verlangt mit dem Act on the Promotion of Industrial Digital Transformation von Unternehmen, die mit Industriedaten wirtschaften, spezifische Sicherheitsvorkehrungen.
Ausblick: Der Countdown läuft
Branchenverbände wie Orgalim fordern bereits Nachbesserungen am europäischen Cybersecurity-Zertifizierungsrahmen, um mit der technologischen Entwicklung Schritt zu halten. Projekte wie EU ENFORCERS, an dem auch Wibu-Systems beteiligt ist, arbeiten an Konzepten für kontinuierliche Sicherheitsnachweise und vertrauenswürdige Software-Updates.
Betrifft Ihr Unternehmen die CRA-Meldefrist? Mit der kostenlosen Checkliste prüfen Sie in 10 Minuten, ob Ihre IoT-Produkte die neuen Anforderungen erfüllen – inklusive Notfallplan für die 24h-Meldung. Jetzt Checkliste sichern
Eine Diskussionsrunde zur industriellen Cybersicherheit ist für den 16. Juli 2026 in Karlsruhe geplant.
Die vollständige Anwendbarkeit aller CRA-Anforderungen beginnt am 11. Dezember 2027. Hersteller haben damit gut 18 Monate Zeit, um ihre technische Dokumentation und Konformitätsbewertungen abzuschließen – ein straffer Zeitplan, der jetzt schon viele Unternehmen fordert.
