Cyber Resilience Act: Warum die Meldepflicht ab 11.09.2026 die stille Zäsur für Hersteller und Käufer ist
Ab dem 11. September 2026 gilt die CRA-Meldepflicht — 24 Stunden Frühwarnung, 72 Stunden Vollmeldung, 14 Tage Final Report. Das BSI wird zur zentralen Marktüberwachungsbehörde. Was das für Hersteller, Software-Anbieter und M&A-Käufer im DACH-Mittelstand jetzt bedeutet — und wo die Fallen liegen.

Am 11. September 2026 wird der Cyber Resilience Act (CRA) für Hersteller in Europa erstmals operational spürbar. Zu diesem Datum treten die Meldepflichten in Kraft: 24 Stunden Frühwarnung, 72 Stunden vollständige Meldung, 14 Tage Abschlussbericht. Nicht 2027, wenn die vollen Konformitätspflichten greifen. Sondern 2026 — und für viele DACH-Unternehmen deutlich früher, als ihre internen Prozesse darauf vorbereitet sind.
Die weit verbreitete Annahme, der CRA sei ein Thema "bis Dezember 2027", ist falsch. Zwischen den beiden Daten liegen 15 Monate, in denen ein Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden muss — bevor er die zugrundeliegenden Konformitätsanforderungen überhaupt vollständig umgesetzt haben muss. Es ist ein Zeitfenster, in dem operative Meldedisziplin verlangt wird, während die Substanz noch entsteht.
Für Hersteller mit vernetzten Produkten, für Software-Anbieter und für institutionelle Käufer in laufenden M&A-Prozessen ist der 11.09.2026 damit kein Compliance-Meilenstein. Er ist ein Belastungstest für Governance, Incident-Response-Fähigkeit und interne Berichtswege.
Was der CRA konkret verlangt — und warum die Meldepflicht zuerst greift
Die Verordnung (EU) 2024/2847 ist am 10. Dezember 2024 in Kraft getreten. Sie führt erstmals verbindliche Cybersicherheitsanforderungen für alle „Produkte mit digitalen Elementen" ein, die auf dem Unionsmarkt bereitgestellt werden — Hardware, Software, IoT, industrielle Steuerungskomponenten, Betriebssysteme, Firmware, separat vertriebene digitale Bauteile.
Die zentrale zeitliche Struktur des CRA:
| Datum | Was greift | |---|---| | 10.12.2024 | CRA tritt in Kraft | | 11.09.2026 | Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle | | 11.12.2027 | Vollständige Anwendbarkeit — nur noch CRA-konforme Produkte mit CE-Kennzeichnung |
Die Meldekette ist bewusst kurz getaktet und in Artikel 14 CRA geregelt:
- Innerhalb von 24 Stunden nach Kenntnisnahme: initiale Frühwarnung an das zuständige nationale Computer Security Incident Response Team (CSIRT) und an ENISA
- Innerhalb von 72 Stunden: vollständige Meldung mit verfügbaren Details
- Spätestens 14 Tage nach Bereitstellung einer Korrekturmaßnahme (bzw. innerhalb eines Monats bei schweren Vorfällen): Abschlussbericht
Diese Meldungen laufen über die von ENISA betriebene Single Reporting Platform (SRP) — eine zentrale Anlaufstelle für die gesamte Union. Meldung an einer Stelle; automatische Weiterleitung an das jeweils zuständige CSIRT.
Der wesentliche Punkt für Geschäftsführer: Die Meldepflicht gilt auch für Produkte, die bereits vor dem 11. Dezember 2027 auf dem Markt waren. Es gibt keinen Bestandsschutz für Altgeräte. Wer heute vernetzte Produkte in Verkehr gebracht hat und sie 2026 noch am Markt hat, ist ab 11.09.2026 meldepflichtig — unabhängig davon, ob die volle CRA-Konformität schon steht.
Deutschland: Das BSI wird digitaler TÜV
Parallel zur europäischen Regelung hat der Bundestag am 11. Juni 2026 in erster Lesung den Entwurf des CRA-Durchführungsgesetzes beraten; der Bundesrat hat den Gesetzentwurf am 12. Juni 2026 ohne Einwendungen passieren lassen (Deutscher Bundestag Drs. 21/6134). Das Gesetz schafft den nationalen Rahmen für die Durchsetzung des CRA in Deutschland — und die Zuständigkeitsstruktur ist eindeutig.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zentrale Marktüberwachungsbehörde für den CRA benannt (§ 65 BSIG-E). Es prüft Produktkonformität, ordnet Maßnahmen an und wird gleichzeitig Notifizierungsstelle für die Konformitätsbewertungsstellen (§ 66 BSIG-E), die bei besonders kritischen Produktkategorien die formale Prüfung übernehmen.
Der Gesetzentwurf sieht darüber hinaus ein Cyber-Resilienz-Reallabor mit einem Budget von 7,5 Millionen Euro vor (§ 67 BSIG-E) — eine Struktur, in der Hersteller ihre Produkte in einem regulatorisch begleiteten Umfeld testen können, bevor sie sie in Verkehr bringen.
Heise fasst das treffend zusammen: „BSI wird digitaler TÜV für vernetzte Produkte." Was das für Hersteller bedeutet: Die Behörde, die bisher primär Empfehlungen aussprach, wird 2026 zur durchsetzungsbefugten Aufsicht.
Wer wirklich betroffen ist — und wo die Grauzonen liegen
Der Anwendungsbereich des CRA ist breiter als vielen bewusst ist. Erfasst sind sämtliche Produkte mit digitalen Elementen — nicht nur klassische IoT-Geräte, sondern auch:
- Betriebssysteme und Anwendungssoftware (auch B2B)
- Firmware und Middleware
- Netzwerkgeräte, industrielle Steuerungen (ICS/OT)
- Separat vertriebene digitale Komponenten und Bibliotheken
Nicht in den CRA fallen dagegen — Stand Commission Guidance vom März 2026 — reine SaaS-Angebote. Das war lange strittig; die Kommission hat die Grenze in einer Draft-Guidance im März 2026 geklärt: Standalone-SaaS ist außerhalb des Anwendungsbereichs. Der wichtige Vorbehalt: Sobald ein SaaS-Dienst den dreiteiligen „Remote Data Processing Services"-Test (RDPS) erfüllt — also für die Kernfunktion eines Produkts mit digitalen Elementen essentiell ist — fällt er wieder unter den CRA.
Für Software-Anbieter im DACH-Mittelstand bedeutet das eine juristisch komplexe Ausgangslage:
- Reines SaaS-Geschäftsmodell — vermutlich nicht CRA-pflichtig, aber die RDPS-Bewertung muss dokumentiert vorliegen.
- Hybrid-Angebote (On-Prem-Komponente + Cloud-Backend) — die On-Prem-Komponente fällt eindeutig unter den CRA; das Backend wird als Komponente behandelt und in die Lieferkettensorgfalt einbezogen.
- Software-Bibliotheken, SDKs, npm-Pakete mit kommerzieller Absicht — im CRA-Fokus, insbesondere in der Verbindung mit der aktuellen Supply-Chain-Angriffsserie auf npm, Ruby Gems und SAP-Pakete.
Der Open-Source-Software-Steward — ein neuer Vertragsakteur
Eine der strukturellen Neuerungen des CRA ist die Kategorie des Open-Source-Software-Stewards: eine juristische Person, die systematisch und dauerhaft die Entwicklung von Open-Source-Software unterstützt, ohne selbst Hersteller im klassischen Sinne zu sein.
Stewards unterliegen einem bewusst leichteren Regime als Hersteller — im Kern drei Pflichten: eine dokumentierte Cybersicherheitsrichtlinie, die Meldepflicht für aktiv ausgenutzte Schwachstellen und aktive Kommunikation mit der Nutzergemeinschaft. Keine vollständige Konformitätsbewertung, keine CE-Kennzeichnung, keine technische Dokumentation im vollen Umfang.
Die Open Source Business Alliance (OSBA) hat in ihrer Stellungnahme zum Durchführungsgesetz explizit darauf hingewiesen, dass Stewards häufig sehr begrenzte personelle und finanzielle Ressourcen haben und aktive Unterstützung durch das BSI brauchen. Ob diese Unterstützung in der Praxis so aussieht, wie der Regelungsgeber sie sich vorstellt, wird sich zwischen September 2026 und Ende 2027 zeigen.
Für Unternehmen bedeutet die Steward-Kategorie zweierlei: Erstens ist zu prüfen, ob eigene Open-Source-Aktivitäten die Steward-Rolle auslösen. Zweitens ist bei kritischen Open-Source-Abhängigkeiten in der eigenen Produktarchitektur zu klären, wer als Steward benannt ist — und wie belastbar dessen Meldekette tatsächlich ist.
Der Standards-Engpass 2026
Die 41 harmonisierten Standards, die die konkrete technische Ausgestaltung der CRA-Anforderungen liefern sollen, sind derzeit in aktiver Entwicklung, aber noch nicht final. CEN, CENELEC und ETSI haben im April 2025 den Standardisierungsauftrag M/606 angenommen und arbeiten auf Q3 2026 als Zieltermin hin. Die öffentliche Konsultation der Entwürfe ist für Mitte Juli bis Mitte November 2026 vorgesehen.
Verzögerungen sind eingepreist. Die Standardisierungsorganisationen haben sich zwar auf eine Lieferung mindestens ein Jahr vor voller CRA-Anwendbarkeit verpflichtet — aber das enge Zeitfenster gilt als sportlich. Das bedeutet für Hersteller: Wer wartet, bis die finalen Standards vorliegen, verliert 2026 als operative Vorbereitungsphase.
Ein pragmatischer Weg — bereits von führenden Rechtsberatern empfohlen — ist die Ausrichtung an der bereits publizierten EN 18031-Reihe (aus der RED Delegated Act-Umsetzung), auf der die horizontalen CRA-Standards aufbauen. Rund zwei Drittel der Anforderungen der geplanten CRA-Standards decken sich mit EN 18031. Hersteller, die die EN 18031 bereits umgesetzt haben, verfügen über einen substanziellen Vorsprung.
Was der CRA für M&A und Vendor Due Diligence bedeutet
Der Punkt, der in der öffentlichen CRA-Diskussion noch unterschätzt wird — und der für institutionelle Käufer im DACH-Raum bereits jetzt handlungsleitend sein sollte — betrifft die Übertragung der Meldepflicht bei Unternehmenstransaktionen.
Wer 2026 oder 2027 einen Software-Hersteller, einen IoT-Anbieter oder ein Industrieunternehmen mit vernetzten Produkten erwirbt, übernimmt die vollständige CRA-Historie: bereits gemeldete Schwachstellen, offene Meldepflichten, technische Dokumentationslücken, unvollständige CE-Kennzeichnungen. Ein Target, das die 24-Stunden-Frühwarnung im September 2026 verpasst hat, trägt die entsprechenden Sanktionsrisiken mit — und der Käufer erbt sie mit dem Closing.
Konkret sollten CRA-relevante Fragen in jede M&A Cyber Due Diligence eines Software- oder Hardware-Herstellers integriert werden:
- Anwendungsbereich: Welche Produkte des Targets fallen unter den CRA? Ist die RDPS-Bewertung dokumentiert?
- Meldehistorie: Wurden aktiv ausgenutzte Schwachstellen zwischen 11.09.2026 und Closing gemeldet? Wenn nein — warum nicht?
- Incident-Response-Fähigkeit: Ist die 24/72-Stunden-Meldekette prozessual belastbar, oder existiert sie nur auf dem Papier?
- Standards-Konformität: Ist die EN 18031-Basislinie umgesetzt? Welche horizontalen CRA-Standards sind bereits adressiert?
- Lieferkettensorgfalt: Welche Software-Komponenten und SBOM-Prozesse sind etabliert? Wie belastbar ist die Nachweiskette für kritische Open-Source-Abhängigkeiten?
- Konformitätsbewertung: Ist der Weg zur CE-Kennzeichnung bis 11.12.2027 definiert und mit Ressourcen unterlegt?
Diese Fragen sind nicht abstrakt. Sie werden — spätestens ab Herbst 2026 — Gegenstand harter Preisverhandlungen sein. Der Kaufpreishebel einer sauberen Cyber Due Diligence verschiebt sich in Deals mit CRA-Exponierung strukturell nach oben.
Das Zusammenspiel mit NIS2, DORA und dem SBOM-Regime
Der CRA steht nicht allein. Er greift in ein enger werdendes europäisches Regulierungsgeflecht, das für DACH-Unternehmen mittlerweile aus mindestens vier ineinandergreifenden Rechtsakten besteht:
- NIS2 (in Deutschland seit Oktober 2024 in Umsetzung) — Governance-Pflichten für „wesentliche" und „wichtige" Einrichtungen, persönliche Haftung der Geschäftsführung, Meldepflichten für Betreiber.
- CRA — Produktsicherheitspflichten für Hersteller.
- DORA — spezifische digitale Betriebsstabilität für den Finanzsektor.
- Product Liability Directive (überarbeitet) — zivilrechtliche Produkthaftung, die Software und digitale Elemente explizit einschließt.
Für einen Hersteller, der gleichzeitig als NIS2-„wichtige Einrichtung" gilt und ein CRA-pflichtiges Produkt in Verkehr bringt, überlagern sich die Meldepflichten: NIS2-Meldung an das BSI als CSIRT-Betreiber-Behörde plus CRA-Meldung an die Single Reporting Platform. Ein einheitlicher, dokumentierter Meldeprozess ist ab September 2026 kein Optionenpunkt mehr. Er ist die operative Voraussetzung, um beide Regime nicht gegeneinander laufen zu lassen.
Drei Maßnahmen mit Wirkung — vor September 2026
1. CRA-Anwendungsbereich klären und dokumentieren
Nicht jedes Produkt fällt unter den CRA; nicht jedes vermeintliche „SaaS" ist außerhalb. Die dokumentierte Bewertung der Anwendbarkeit — inklusive RDPS-Test für SaaS-Komponenten — ist der Ausgangspunkt jeder CRA-Vorbereitung und die erste Frage, die eine Marktüberwachungsbehörde bei einem Vorfall stellen wird.
2. Meldekette bis zur Board-Ebene bauen
Die 24-Stunden-Frühwarnung ist keine IT-Aufgabe. Sie ist eine Governance-Aufgabe. In der Praxis scheitern Meldungen selten am fehlenden Schwachstellen-Detektionssystem, sondern an unklaren Eskalationswegen zwischen Security-Team, Rechtsabteilung und Geschäftsführung. Ein dokumentierter Incident-Playbook mit klaren Zeitmarken (T+2h Interne Eskalation, T+8h Legal-Review, T+18h ENISA-Meldung) ist die operative Basis, auf der die 24/72/14-Kadenz überhaupt einhaltbar wird.
Ein strukturiertes vCISO-Mandat etabliert genau diese Kette — mit Geschäftsführungsberichterstattung, klarer Rollenverteilung und einem laufenden Meldeprozess, der im Fall der Fälle nicht neu erfunden werden muss.
3. Supply-Chain-Nachweise vor jede M&A-Transaktion ziehen
Für Käufer, die 2026/2027 Software- oder Hardware-Hersteller adressieren, gehört eine CRA-spezifische Prüfschicht in die Due-Diligence-Architektur — als eigenständige Prüfungsdimension, nicht als Zusatz zur klassischen IT-Prüfung. Fragen zu SBOM, RDPS, Meldehistorie und Standards-Konformität sind in M&A Cyber Due Diligence mittlerweile Standard-Bestandteil; die CRA-Erweiterung wird ab Herbst 2026 zur Voraussetzung, um post-Closing-Sanktionsrisiken sauber zu quantifizieren.
Für Portfoliogesellschaften, die selbst betroffen sind, empfiehlt sich ein strukturierter Compliance Sprint, der die Anwendungsbereichsanalyse, den Meldeprozess und die Standards-Basislinie in einer dokumentierbaren Form zusammenführt.
Warum Woodlands
Woodlands Advisory ist auf regulatorisch getriebene Cyber-Beratung im institutionellen Kapitalmarkt spezialisiert. Der Gründer verantwortet aktuell die Global Security Advisory Lead-Funktion bei SAP und hat die Post-Acquisition-Cyber-Integration von Signavio nach der SAP-Übernahme geleitet — eine Rolle, in der Regulierungsgeflechte wie NIS2, CRA und das aufkommende AI-Regime auf reale Deal-Realitäten treffen.
Die Delivery erfolgt durch ein kuratiertes Team aus Senior-Praktikern mit Cloud-, Identity-, AppSec- und Compliance-Schwerpunkt — kein Outsourcing, keine Junior-Substitution. Der Partnerstack für Tooling (Vanta, Kertos, Aikido) und Kanzlei-Partner für vertragliche und regulatorische Fragen sind strukturell eingebunden, nicht ad hoc improvisiert.
Für PE-Häuser, Family Offices und M&A-Advisors im DACH-Raum liefert Woodlands CRA-relevante Bewertungen in einer Form, die im Investment-Committee und in SPA-Verhandlungen belastbar ist: als Risikoquantifizierung mit Kaufpreisbezug, nicht als Framework-Zitat.
Wenn Sie Ihre eigene CRA-Exponierung, die Ihres Portfolios oder eines aktuellen Targets einordnen möchten, sprechen wir vertraulich.
Quellen (Tier 1 & Tier 2):
- Europäische Kommission — Cyber Resilience Act Policy Page & CRA Reporting Obligations & CRA Standardisation
- ENISA — Single Reporting Platform (SRP)
- Deutscher Bundestag — Drucksache 21/6134 (26.05.2026) — Gesetzentwurf zur Durchführung der Cyberresilienz-Verordnung
- BMI — Gesetzgebungsverfahren Cyberresilienz-Verordnung
- BSI — Cyber Resilience Act — Themenseite
- DLA Piper — Cyber Resilience Act: The Fine Line Between SaaS and Digital Products (Feb 2026)
- Open Source Business Alliance — Stellungnahme zum CRA-Durchführungsgesetz
- Crowell & Moring LLP — EU CRA: September 11, 2026 Reporting Deadline
- Heise Online — BSI wird digitaler TÜV für vernetzte Produkte
Artikel teilen
Sprechen wir über Ihr konkretes Thema.
20 Minuten. Vertraulich. Unverbindlich.
Erstgespräch vereinbaren →← Zurück zu allen Artikeln