Am 11. September 2026 treten die ersten Meldepflichten des EU Cyber Resilience Act in Kraft. Bei Verstößen drohen Unternehmen Bußgelder in Millionenhöhe.
Obwohl die vollständige Umsetzung des europäischen Cyber Resilience Act (CRA) erst für den 11. Dezember 2027 vorgeschrieben ist, müssen Unternehmen mit digitalen Produkten bereits ab dem 11. September 2026 neue Pflichten erfüllen. Ab diesem Datum greift eine gestaffelte Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
Unternehmen sind verpflichtet, innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung an die Europäische Agentur für Cybersicherheit (ENISA) sowie an das zuständige nationale Computer-Notfallteam, in Deutschland das CERT-Bund, zu übermitteln. Innerhalb von 72 Stunden muss eine detaillierte Meldung folgen. Ein Abschlussbericht ist binnen 14 Tagen nach Bereitstellung einer Behebungsmaßnahme einzureichen. Bei Verstößen gegen diese Fristen sieht der Gesetzgeber Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ausfällt.
Die vier größten organisatorischen Defizite beim Cyber Resilience Act
Nach Analysen des Sicherheitsunternehmens Cycode weisen viele Betriebe erhebliche Vorbereitungsdefizite auf, um die regulatorischen Vorgaben rechtzeitig zu erfüllen. Die Praxis zeigt vier zentrale Schwachpunkte in den Unternehmensabläufen:
- Ungeklärte Verantwortlichkeiten: In vielen Organisationen fehlen feste Eskalationspfade und Vertretungsregelungen für den Fall von Sicherheitsmeldungen. Zudem ist oft nicht definiert, welche Personen die Befugnis besitzen, eine Schwachstelle offiziell als aktiv ausgenutzt einzustufen.
- Falsche Einschätzung der Reaktionszeit: Die Einhaltung der 24-Stunden-Frist erweist sich in Testläufen oft als unrealistisch, da die Erkennung von komplexen Bedrohungen meist von externen Kundenmeldungen und Bedrohungsanalysen abhängt und interne Prozesse zu langsam anlaufen.
- Fehlendes Produktinventar: Es mangelt an einer systematischen Erfassung aller auf dem EU-Markt angebotenen Produkte, ihrer unterstützten Softwareversionen sowie der betroffenen Kundenbasis, was eine schnelle Definition des Ausmaßes im Notfall blockiert.
- Fragmentiertes Monitoring: Viele IT-Abteilungen nutzen isolierte Sicherheits-Scanner. Dadurch geht bei der manuellen Zuordnung von Warnsignalen aus eigenem Code, Open-Source-Bibliotheken oder Drittanbieter-Komponenten kritische Zeit verloren.
Anforderungen an technische Prozesse
Um den drohenden Sanktionen zu begegnen, ist der Aufbau ganzheitlicher Überwachungssysteme für den gesamten Softwareentwicklungsprozess erforderlich. Dazu gehört das kontinuierliche Monitoring von Code-Basen, Abhängigkeiten zu externen Anbietern, CI/CD-Umgebungen und künstlicher Intelligenz. Unternehmen müssen und strukturierte Meldeprozesse implementieren, Dokumentationen vorbereiten und regelmäßige Krisenübungen unter realistischen Bedingungen durchführen. Jochen Koehler, Vice President of EMEA Sales bei Cycode, betont die Notwendigkeit strukturierter Abläufe:
„Unternehmen brauchen durchgängiges Monitoring und klare Meldeprozesse, um Sicherheitsrisiken schnell in den Griff zu bekommen.“
Jochen Koehler, Vice President of EMEA Sales bei Cycode
(Cycode/red)