Aktuelles, Branche - geschrieben von dp am Sonntag, Juli 12, 2026 0:04 - noch keine Kommentare
Cyber Resilience Act (CRA): Bringschuld der Unternehmen per September 2026
Cycode erläutert, warum im CRA-Kontext bereits der 11. September 2026 ein Datum von zentraler Bedeutung ist
[datensicherheit.de, 12.07.2026] Der „Cyber Resilience Act“ (CRA) der EU ist am 11. Dezember 2024 in Kraft getreten. Cycode erinnert in einer aktuellen Stellungnahme, dass dann exakt drei Jahre später alle Unternehmen, die Produkte mit digitalen Elementen anbieten, vollständige „Compliance“ gemäß dieser neuen Verordnung beweisen müssen. Cycode führt hierzu aus, warum jedoch bereits der 11. September 2026 das wichtigere Datum ist.

Foto: Cycode
Jochen Koehler: Unternehmen brauchen durchgängiges Monitoring und klare Meldeprozesse, um Sicherheitsrisiken schnell in den Griff zu bekommen!
Am 11. September 2026 treten CRA-Meldepflichten für Schwachstellen und Sicherheitsvorfälle in Kraft
Bis zum letzten Augenblick zu warten, um erst dann eine CRA-Strategie umzusetzen, könnte fatal sein. „Denn bereits am 11. September 2026 treten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle im Rahmen des CRA in Kraft.“ Ab diesem Datum müssten Unternehmen
- innerhalb von 24 Stunden nach Kenntnisnahme einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls eine Frühwarnung an die ENISA (European Network and Information Security Agency) und das zuständige CSIRT (Computer Security Incident Response Team) – CERT-Bund (Computer Emergency Response Team) in Deutschland – übermitteln,
- innerhalb von 72 Stunden eine vollständige Meldung an die Behörden einreichen und
- innerhalb von 14 Tagen nach Bereitstellung einer Korrekturmaßnahme (beziehungsweise innerhalb eines Monats bei schwerwiegenden Vorfällen) einen Abschlussbericht vorlegen.
„Wer diesen Fristen nicht gerecht wird, dem drohen horrende Kosten!“ Bei schwerwiegenden Verstößen seien höchste Geldbußen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) vorgesehen. Doch auf diese Anforderungen seien die wenigsten Unternehmen Stand heute vorbereitet. Sicherheits- und Produktverantwortliche, welche sich aktuell auf die Frist im September 2026 vorbereiten, sähen sich in der Regel vier zentralen Lücken gegenüber, welche sie schließen müssten.
1. CRA-Lücke: Ungeklärte Verantwortlichkeiten und kein Eskalationspfad
In vielen Unternehmen sei nicht klar, wer die Meldung an die ENISA und das CSIRT tatsächlich einreicht. Auch eine Vertretung für den Krankheits- oder Urlaubsfall der verantwortlichen Person fehle in der Regel.
- Ungeklärt sei zudem häufig, wer überhaupt befugt ist, darüber zu entscheiden, ob ein Hinweis eines „AppSec“-Systems zu einer Schwachstelle als „aktiv ausgenutzt“ einzustufen ist.
Da in den meisten Unternehmen diese Überlegungen erst im akuten Notfall geklärt werden sollten, drohten Verstöße gegen den CRA durch verpasste Fristen und in zweiter Instanz horrende Bußgelder.
2. CRA-Lücke: Verzerrtes Zeitgefühl
Die durchschnittliche Zeit bis zum Erkennen einer aktiv ausgenutzten Schwachstelle im eigenen Produkt sei eben nicht mit der MTTR („Mean Time To Repair“) eines SIEM-Alarms gleichzusetzen.
- Sie hänge vielmehr von Kundenmeldungen, der Einbindung von „Threat Intelligence“ und davon ab, wie schnell ein „Triage-Call“ einberufen werden kann.
Die meisten Teams hätten den vollständigen Ablauf nie gemessen. Viele Unternehmen stellten dann bei einem Testlauf fest, „dass 24 Stunden mit ihrer aktuellen Strategie gar nicht realistisch einzuhalten sind“.
3. CRA-Lücke: Kein sauberes Inventar potenziell betroffener Produkte
Die Meldepflicht gelte für jedes auf dem EU-Markt bereitgestellte Produkt. Viele Unternehmen hätten ein großes Produktportfolio, wüssten aber gar nicht, auf welche davon die Vorschriften des CRA anzuwenden sind.
- Oft herrsche auch Unkenntnis darüber, welche Versionen noch unterstützt werden, welche Komponenten gemeinsam genutzt werden und welche Kunden in der EU ansässig sind.
Ohne dieses Wissen könnten sie unter dem Zeitdruck bei einem tatsächlichen Notfall nicht einmal den nötigen Umfang einer Meldung an die ENISA und das CSIRT definieren.
4. CRA-Lücke: Kein holistisches Monitoring des gesamten „Software Development Lifecycle“
Eine Schwachstelle, welche eine Meldung auslöst, könne im eigenen Code vorkommen. Sie könne allerdings auch aus einer „Dependency“ zu einem Produkt eines Drittanbieters, einer Open-Source-Bibliothek, einer kompromittierten CI/CD-Pipeline, einem offengelegten „Secret“ oder aus KI-generiertem Code stammen.
- „Je schneller Unternehmen Warnsignale mit ihren jeweiligen Produkten, den Auswirkungen auf die Kunden und möglichen Behebungs- oder Korrekturmaßnahmen korrelieren können, desto schneller erfolgt die Frühwarnung.“
Teams, welche mit fragmentierten Scannern und voneinander getrennten ASPM („Application Security Posture Management“)-Dashboards arbeiten, verlören Stunden durch die manuelle Korrelation.
Richtige CRA-Strategie wird zum wichtigsten Faktor
Unternehmen sollten zunächst vollständige Transparenz über alle Produkte mit digitalen Elementen schaffen und diese hinsichtlich ihres Support-Status sowie ihrer regulatorischen Relevanz erfassen.
- Ebenso erforderlich seien klar definierte Verantwortlichkeiten für die Bewertung, Eskalation und Meldung von Sicherheitsvorfällen sowie aktiv ausgenutzten Schwachstellen. Neben klar definierten Ansprechpartnern und Vertretungsregelungen müssten sie auch Entscheidungswege, Rufbereitschaften sowie die Einbindung von Rechtsabteilung und Management festlegen.
Es gelte sicherzustellen, dass Verantwortliche im Ernstfall innerhalb kürzester Zeit nachvollziehbar entscheiden könnten, ob ein Ereignis meldepflichtig ist und wer die erforderlichen Schritte veranlasst.
Auch regelmäßige Übungen unter realistischen Bedingungen für CRA-Konformität erforderlich
„Darüber hinaus müssen technische und organisatorische Prozesse etabliert werden, die eine schnelle Erkennung, Bewertung und Einordnung von Sicherheitsrisiken ermöglichen!“, unterstreicht Jochen Koehler, „Vice President of EMEA Sales“ bei Cycode.
- Er führt aus: „Dazu gehört kontinuierliches Monitoring selbst entwickelter Software und Code-Basen, Open-Source-Komponenten, Drittanbieter-Abhängigkeiten, CI/CD-Umgebungen, Infrastruktur, Container, Secrets und KI-Komponenten.“
Ergänzend seien standardisierte Melde- und Freigabeprozesse, vorbereitete Vorlagen für regulatorische Meldungen, dokumentierte „Runbooks“ sowie regelmäßige Übungen unter realistischen Bedingungen erforderlich.
Weitere Informationen zum Thema:
cycode, 11.08.2025
Introducing Cycode’s VP of EMEA Sales, Jochen Koehler
enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Who we are / The European Union Agency for Cybersecurity. Towards a Trusted and Cyber Secure Europe
Bundesamt für Sicherheit in der Informationstechnik
CERT-Bund / CERT-Bund, das Computer Emergency Response Team für Bundesbehörden, ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen
datensicherheit.de, 30.04.2026
FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln / Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden
datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen
datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden
Aktuelles, Experten - Juli 11, 2026 0:32 - noch keine Kommentare
AI Act: Bundesrat hat Weg für Durchführungsgesetz zur europäischen KI-Verordnung freigemacht
weitere Beiträge in Experten
- ISMS: Sieben Tipps für mehr Datensicherheit in KMU
- Zum Start in die Sommerferien 2026: Stau-Informationen per Radio und App bevorzugt
- Chat-Kontrolle: DAV-Warnung vor Wiederbelebung im Eilverfahren
- Bei Cloud-Ausfall droht fast jedes zweite Unternehmen lahmgelegt zu werden
- Informationsfreiheit im Bund bedroht – Informationsfreiheitsbeauftragte kritisieren Bundesregierung
Aktuelles, Branche - Juli 12, 2026 0:04 - noch keine Kommentare
Cyber Resilience Act (CRA): Bringschuld der Unternehmen per September 2026
weitere Beiträge in Branche
- Deutsche Bank: Vorwürfe der Datenschutzverletzung thematisieren Gefährdung durch Mitarbeiter-Zugänge
- Datensicherheit und digitale Souveränität: Grundlagen nachhaltiger Wettbewerbsfähigkeit
- ISMS: Sieben Tipps für mehr Datensicherheit in KMU
- Web-Analyse: 84 Prozent der Unternehmen treffen Entscheidungen auf Basis fragwürdiger Daten
- Engage Paris 2026: Wie Frontier AI die IT-Sicherheit verändert
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen


