Wer ist von den CRA-Meldepflichten nach Art. 14 betroffen?

Art. 14 CRA gilt für alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Das umfasst Hardware mit Netzwerkfunktion (Router, Industriesteuerungen, Smart-Home-Geräte) ebenso wie Software-Produkte, die eigenständig vermarktet werden. Auch KMU und Kleinstunternehmen sind grundsätzlich erfasst, sofern sie nicht unter die engen Ausnahmen für Open-Source-Software ohne kommerzielle Verwertung fallen.

Was ist eine aktiv ausgenutzte Schwachstelle im Sinne des CRA?

Eine Schwachstelle gilt als aktiv ausgenutzt, wenn konkrete Hinweise vorliegen, dass Angreifer sie in der Praxis einsetzen, um in Systeme einzudringen oder Schäden zu verursachen. Nicht ausreichend ist die theoretische Ausnutzbarkeit oder die Veröffentlichung eines Proof-of-Concept. Entscheidend ist das Vorliegen tatsächlicher Exploitation-Aktivität, etwa durch eigene Beobachtung, CERT-Berichte oder glaubwürdige Threat-Intelligence-Quellen.

Wie verhält sich die CRA-Meldepflicht zur NIS2-Meldepflicht?

CRA Art. 14 und NIS2 Art. 23 sind parallele Regime mit unterschiedlichem Adressatenkreis. NIS2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Meldung erheblicher Sicherheitsvorfälle an die nationale Behörde (BSI). CRA Art. 14 verpflichtet Hersteller von Produkten mit digitalen Elementen zur Meldung aktiv ausgenutzter Schwachstellen an ENISA. Unternehmen, die sowohl Hersteller als auch NIS2-pflichtige Einrichtung sind, können von beiden Pflichten gleichzeitig erfasst sein.

Was droht bei Nichtmeldung nach Art. 14 CRA?

Der CRA sieht für Verstöße gegen die Meldepflicht nach Art. 14 Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Zuständig für die Durchsetzung sind die nationalen Marktüberwachungsbehörden. In Deutschland wird voraussichtlich die Bundesnetzagentur federführend sein.

Informationssicherheit Cyber Resilience Act NIS2

Ratgeber

CRA-Meldepflichten ab September 2026: Was Hersteller jetzt vorbereiten müssen.

Q: Was ist die ENISA Single Reporting Platform?

Die ENISA Single Reporting Platform (SRP) ist die zentrale digitale Plattform, über die Hersteller Meldungen nach Art. 14 CRA einreichen. ENISA leitet die Meldung automatisch an die zuständige nationale CSIRT und bei kritischen Produkten auch an die Marktüberwachungsbehörde weiter. Die Plattform befindet sich im Aufbau; ENISA hat angekündigt, sie spätestens zur Geltung der Meldepflicht am 11. September 2026 bereitzustellen.

Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen binnen 24 Stunden an ENISA melden. Was Art. 14 CRA verlangt, wie die Meldeplattform funktioniert und welche internen Prozesse jetzt aufgebaut werden müssen.

Zuletzt aktualisiert: Juni 2026

Hintergrund

Eine neue operative Pflicht trifft Hersteller mit kurzem Vorlauf.

Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen zu einem umfassenden Sicherheitslebenszyklus: von der sicheren Gestaltung über Schwachstellenmanagement bis hin zu Supportzeiträumen. Die meisten CRA-Pflichten gelten erst ab dem 11. Dezember 2027. Art. 14 jedoch tritt bereits am 11. September 2026 in Kraft.

Art. 14 verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen in ihren Produkten sowie schwerwiegende Sicherheitsvorfälle unverzüglich an die ENISA Single Reporting Platform zu melden. Die Erstmeldung muss innerhalb von 24 Stunden erfolgen, sobald der Hersteller Kenntnis erlangt. Eine ausführlichere Folgemeldung ist innerhalb von 72 Stunden fällig. ENISA leitet die Meldung automatisch an die zuständige nationale CSIRT (in Deutschland: BSI) weiter.

Die Meldepflicht ist nicht auf kritische Produkte beschränkt. Sie gilt für alle Hersteller, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen — unabhängig von Unternehmensgröße oder Produktkategorie. KMU sind betroffen; lediglich Open-Source-Software ohne kommerzielle Verwertung ist ausgenommen.

Frühzeitig starten

Wer die 24-Stunden-Frist einhalten will, braucht ein funktionierendes Vulnerability-Management-System, klare interne Eskalationswege und einen vorab eingerichteten Zugang zur ENISA Single Reporting Platform. Wer bis September wartet, wird die Frist im Ernstfall nicht halten können.

Kernaspekte

Sechs Dimensionen der CRA-Meldepflicht.

Anwendungsbereich

Art. 14 gilt für Hersteller aller Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Hardware mit Netzwerkfähigkeit, eigenständige Softwareprodukte und eingebettete Systeme fallen ebenso darunter wie Apps mit Verbindung zu Cloud-Backend-Systemen.

Alle Hersteller mit EU-Marktauftritt betroffen
Keine Größenschwelle — KMU eingeschlossen
Open-Source ohne kommerzielle Verwertung ausgenommen
Importeure und Händler nur bei Eigenmarken-Produkten

Meldepflichtige Ereignisse

Meldepflichtig sind aktiv ausgenutzte Schwachstellen im eigenen Produkt sowie schwerwiegende Sicherheitsvorfälle, die die Sicherheit des Produkts beeinträchtigen. Rein theoretisch ausnutzbare Schwachstellen ohne Exploitation-Nachweis lösen keine Meldepflicht aus.

Aktiv ausgenutzte Schwachstellen (Exploitation in the Wild)
Schwerwiegende Sicherheitsvorfälle mit Produktbezug
Theoretisch ausnutzbare Schwachstellen nicht meldepflichtig
Frühzeitige Klassifikation interner Vorfälle entscheidend

24-Stunden-Erstmeldung

Die Erstmeldung muss innerhalb von 24 Stunden nach Kenntniserlangung bei ENISA eingehen. Sie kann zunächst unvollständig sein, muss aber mindestens das betroffene Produkt, die Art der Schwachstelle und die bekannte Exploitation-Aktivität beschreiben. Eine detaillierte Folgemeldung ist innerhalb von 72 Stunden einzureichen.

Frist: 24 Stunden nach Kenntniserlangung
Erstmeldung darf vorläufig und unvollständig sein
Folgemeldung mit Details binnen 72 Stunden
Interne Eskalationskette muss 24/7 funktionieren

ENISA Single Reporting Platform

Alle Meldungen gehen über die ENISA SRP ein. Die Plattform leitet automatisch an die nationale CSIRT weiter und benachrichtigt bei kritischen Produkten die Marktüberwachungsbehörde. Der Zugang zur Plattform muss vorab eingerichtet werden — eine Ad-hoc-Registrierung im Ernstfall kostet wertvolle Zeit.

Zentrale EU-Meldeinfrastruktur unter enisa.europa.eu
Automatische Weiterleitung an nationales CSIRT (DE: BSI)
Registrierung und Test-Zugänge frühzeitig einrichten
API-Schnittstelle für automatisierte Meldungen geplant

Verhältnis zu NIS2

CRA Art. 14 und NIS2 Art. 23 sind parallele Pflichten mit unterschiedlichem Adressatenkreis. NIS2 gilt für Betreiber wesentlicher und wichtiger Einrichtungen; CRA gilt für Hersteller. Unternehmen, die beide Rollen haben, können von beiden Regimen gleichzeitig betroffen sein — mit getrennten Meldekanälen.

CRA: Hersteller-Pflicht, Meldung an ENISA SRP
NIS2: Betreiber-Pflicht, Meldung an BSI/nationale Behörde
Beide Pflichten können gleichzeitig ausgelöst werden
Interne Koordination zwischen IT-Security und Produktteam nötig

Sanktionen

Verstöße gegen die Meldepflicht nach Art. 14 CRA können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes belegt werden. Zuständig sind die nationalen Marktüberwachungsbehörden; in Deutschland wird voraussichtlich die Bundesnetzagentur federführend sein.

Bis zu 15 Mio. Euro oder 2,5 % Jahresumsatz
Marktüberwachungsbehörde als Durchsetzungsstelle
In DE: voraussichtlich Bundesnetzagentur zuständig
Rückruf- und Marktentnahme-Anordnung möglich

Vorgehen

In vier Schritten meldepflichtig-ready bis September 2026.

Scope klären und Produkte erfassen

Alle Produkte mit digitalen Elementen identifizieren, die auf dem EU-Markt bereitgestellt werden. Für jedes Produkt klären: Fällt es unter Art. 14? Wer ist intern für Schwachstellenmeldungen verantwortlich?

Vulnerability-Management aufbauen

Prozesse zur Erkennung, Klassifikation und Bewertung von Schwachstellen etablieren. Quellen für Threat Intelligence definieren (CVE-Datenbanken, CERT-Feeds, eigenes SIEM). Kriterien für "aktiv ausgenutzt" intern festlegen.

ENISA SRP-Zugang einrichten

Organisationszugang zur ENISA Single Reporting Platform beantragen, Test-Meldungen einreichen. Formular-Anforderungen und Felder kennenlernen. API-Anbindung für automatisierte Meldungen prüfen, falls Volumen es rechtfertigt.

Eskalationskette und Playbook

Interne 24/7-Eskalationskette definieren: Wer wird wann informiert, wer trifft die Meldeentscheidung, wer verfasst die Erstmeldung? Playbook für den Ernstfall erstellen und Tabletop-Übung durchführen.

FAQ

Häufige Fragen zu CRA Art. 14.

Verwandte Themen

Wer ist von der Meldepflicht nach Art. 14 CRA betroffen?+

Art. 14 gilt für alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Das betrifft Hardware mit Netzwerkfunktion, eigenständige Softwareprodukte und eingebettete Systeme. Auch KMU und Kleinstunternehmen sind grundsätzlich erfasst. Lediglich Open-Source-Software ohne kommerzielle Verwertung ist ausgenommen.

Was ist eine aktiv ausgenutzte Schwachstelle?+

Eine Schwachstelle gilt als aktiv ausgenutzt, wenn konkrete Hinweise vorliegen, dass Angreifer sie in der Praxis einsetzen, um in Systeme einzudringen oder Schäden zu verursachen. Theoretische Ausnutzbarkeit oder die Veröffentlichung eines Proof-of-Concept allein genügen nicht. Entscheidend ist das Vorliegen tatsächlicher Exploitation-Aktivität, belegt etwa durch eigene Beobachtung, CERT-Berichte oder Threat-Intelligence-Quellen.

Was ist die ENISA Single Reporting Platform?+

Die ENISA SRP ist die zentrale EU-Plattform für Meldungen nach Art. 14 CRA. Hersteller reichen Meldungen über die Plattform ein; ENISA leitet sie automatisch an die zuständige nationale CSIRT weiter. In Deutschland ist das das BSI. Die Plattform wird spätestens zum 11. September 2026 verfügbar sein. Registrierung und Test-Zugänge sollten vorab eingerichtet werden.

Wie unterscheidet sich CRA Art. 14 von der NIS2-Meldepflicht?+

NIS2 Art. 23 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Meldung erheblicher Sicherheitsvorfälle an die nationale Behörde. CRA Art. 14 verpflichtet Hersteller von Produkten mit digitalen Elementen zur Meldung aktiv ausgenutzter Schwachstellen an ENISA. Unternehmen, die beide Rollen einnehmen, können von beiden Pflichten gleichzeitig mit unterschiedlichen Fristen und Meldekanälen betroffen sein.

Was droht bei Verstoß gegen die Meldepflicht?+

Der CRA sieht für Verstöße gegen Art. 14 Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor. Zusätzlich können Marktüberwachungsbehörden Rückruf- und Marktentnahme-Anordnungen erlassen. In Deutschland wird voraussichtlich die Bundesnetzagentur als zuständige Marktüberwachungsbehörde fungieren.

Grundlage Cyber Resilience Act Zur Seite Verwandt NIS2-Umsetzung Zur Seite Leistung Informationssicherheit Zur Leistung

Ist Ihr Schwachstellenmanagement bereit für den 11. September 2026?

Lassen Sie uns gemeinsam prüfen, ob Ihre Prozesse die 24-Stunden-Meldepflicht nach Art. 14 CRA erfüllen können.

Kostenloses Erstgespräch buchen