Strategie & Markt1. Juli 2026 

Cyber Resilience Act

Ab 11. September 2026 greift die erste operative Stufe des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden.

Veröffentlicht
Lesedauer
min
Aktualität
aktuell
Cyber Resilience Act

Kurz zusammengefasst

Was: Ab 11. September 2026 greift die erste operative Stufe des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden.

Fristen (dreistufig): Early Warning innerhalb 24 Stunden, vollständige Meldung innerhalb 72 Stunden, Abschlussbericht innerhalb 14 Tagen (bei Vorfällen einen Monat). Meldung läuft zentral über die ENISA Single Reporting Platform an BSI und ENISA. DigiFors GmbH

Wer betroffen ist: Plugin- und Theme-Anbieter, Auftrags-Webentwicklung mit eigenem Code, SaaS- und Tool-Anbieter. Keine KMU-Untergrenze. Nicht-kommerzielle Open-Source-Software ist ausgenommen, sobald Geld fließt (Premium, Support-Verträge), gilt der CRA. ADVISORI

Vorbereitung (4 Punkte): Produktinventar, Schwachstellen-Monitoring mit Eskalationskette, Update-Kanal absichern, SBOM-Dokumentation. Aufwand: 15 bis 25 Personentage Erstausstattung.

Sanktionen: Bis 15 Mio. Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Am 25.06.2026 hat das BSI in Berlin zum zweiten Treffen der CRA-Marktueberwachungsbehoerden eingeladen. Das Ergebnis ist klar: Die erste Stufe des Cyber Resilience Acts greift am 11. September 2026. Wer Produkte mit digitalen Elementen herstellt oder vertreibt, hat ab diesem Datum eine Meldepflicht. Bei aktiv ausgenutzten Schwachstellen. Und bei schwerwiegenden Sicherheitsvorfaellen.

Das klingt zunaechst nach Konzern-Thema. Ist es aber nicht. Wer eine Website mit Plugin-Architektur betreibt, wer eine eigene Software anbietet oder wer Auftragsentwicklungen verkauft, faellt in den Geltungsbereich. Wir erklaeren in diesem Beitrag, was die Pflicht konkret bedeutet, wer betroffen ist und wie KMU sich bis September vorbereiten.

Quelle: BSI-Pressemitteilung vom 26.06.2026.

WAS DER CRA REGELT

Der Cyber Resilience Act gilt EU-weit. Er adressiert alle Produkte mit digitalen Elementen. Damit sind nicht nur Hardware-Geraete gemeint. Software, Web-Anwendungen, IoT-Komponenten, Apps und auch Cloud-Dienste fallen darunter, sobald sie in der EU vertrieben werden.

Die Stufen im Ueberblick:

  • 11. September 2026: Meldepflicht fuer aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfaelle
  • Dezember 2027: Vollstaendige Anwendbarkeit, alle Produkte mit digitalen Elementen muessen angemessene Cybersicherheit bieten

Die erste Stufe ist die operative. Die zweite Stufe ist die strukturelle. Beide muessen vorbereitet werden.

Quelle: Golem.de zu Cyber Resilience und Compliance (Stand 24.06.2026).

WER MELDEN MUSS

Die Meldepflicht trifft Hersteller. Das BSI definiert den Begriff weit. Wer in eigenem Namen ein Produkt mit digitalen Elementen auf den EU-Markt bringt, gilt als Hersteller. Drei typische KMU-Konstellationen sind betroffen:

1. Plugin-Entwickler und Theme-Anbieter. Wer ein WordPress-Plugin, eine TYPO3-Extension oder ein Theme verkauft, ist Hersteller. Auch wenn der Vertrieb ueber den offiziellen Marktplatz laeuft.

2. Auftrags-Webentwicklung mit eigenem Code. Wer fuer Kunden Custom-Module entwickelt und diese pflegt, faellt unter die Hersteller-Definition. Das Kundenprojekt ist das Produkt.

3. SaaS- und Tool-Anbieter. Wer ein Online-Tool, eine Buchungsplattform oder eine API anbietet, ist Hersteller des Online-Dienstes.

Reine Dienstleister wie Hosting-Provider oder Beratungsfirmen sind nicht direkt von der Meldepflicht erfasst. Sie haben aber Mitwirkungspflichten gegenueber ihren Auftraggebern.

WAS GEMELDET WERDEN MUSS

Die Pflicht greift bei zwei Fallgruppen.

Fallgruppe 1: Aktiv ausgenutzte Schwachstelle. Sobald eine Schwachstelle in einem ausgelieferten Produkt von Angreifern tatsaechlich genutzt wird, gilt die Meldepflicht. Theoretische Luecken sind nicht meldepflichtig. Aktive Exploits sind es.

Fallgruppe 2: Schwerwiegender Sicherheitsvorfall mit Produktbezug. Ein Datenleck, ein Ransomware-Befall, eine Manipulation der Update-Kette. Wenn der Vorfall das Produkt selbst betrifft und schwerwiegend ist, gilt die Pflicht.

Die Meldung geht zentral ueber die im Aufbau befindliche europaeische Single Reporting Platform. Diese Plattform ist noch nicht live. Das BSI arbeitet aktuell an maschinenlesbaren Austauschformaten. Wir gehen davon aus, dass die Plattform bis Anfang September 2026 fertig ist.

WAS KMU BIS SEPTEMBER VORBEREITEN

Wir empfehlen unseren Mandanten einen klaren Vier-Punkte-Plan.

Punkt 1: Produktinventar. Listen Sie alle digitalen Produkte und Komponenten auf, die Ihr Unternehmen unter eigenem Namen vertreibt. Plugins, Themes, Custom-Module, SaaS-Dienste, APIs. Eine zweispaltige Liste reicht: Produktname plus Verantwortlicher im Team.

Punkt 2: Schwachstellen-Monitoring etablieren. Sie brauchen einen Prozess, der eintreffende Sicherheitsmeldungen schnell bewertet. Konkret: Wer prueft Hinweise von Kunden, Security-Researchern oder externen Diensten? Wer entscheidet, ob ein Exploit aktiv ist? Wer schreibt die Meldung an die Single Reporting Platform?

Punkt 3: Update-Kanal absichern. Der Cyber Resilience Act setzt voraus, dass Sicherheitsupdates zuverlaessig beim Kunden ankommen. Wer Plugins ueber den offiziellen wordpress.org-Marktplatz vertreibt, hat den Kanal bereits. Wer eigene Update-Server betreibt, prueft deren Integritaet jetzt. Signaturen, HTTPS-only, Audit-Log sind die Mindeststandards.

Punkt 4: Dokumentation aufsetzen. Sie brauchen eine schlanke Dokumentation pro Produkt: Welche Komponenten sind enthalten? Welche Drittbibliotheken werden genutzt? Wer ist verantwortlich? Diese Software Bill of Materials wird ab Dezember 2027 ohnehin Pflicht. Wer 2026 schon anfaengt, hat einen Puffer.

Quelle: BSI Pressemitteilung zum AdCo-CRA-Treffen.

SECHS GUT GEMEINTE FEHLER

In unserer Praxis sehen wir aktuell sechs typische Fehlannahmen.

Fehler 1: "Wir sind zu klein." Die Verordnung kennt keine Untergrenze fuer KMU bei der Meldepflicht. Auch ein Plugin mit 500 Installationen faellt in den Geltungsbereich, sobald Geld dafuer fliesst.

Fehler 2: "Open Source ist ausgenommen." Nur reine Open-Source-Projekte ohne kommerziellen Bezug sind von vielen Pflichten befreit. Sobald ein Plugin mit Premium-Lizenz verkauft wird, gilt der CRA.

Fehler 3: "Das Hosting macht das." Hosting-Anbieter sind nicht Hersteller der ausgelieferten Software. Wer ein Plugin produziert, traegt die Verantwortung.

Fehler 4: "Wir warten auf das BSI." Das BSI veroeffentlicht Leitlinien. Die Pflicht greift trotzdem am 11.09.2026. Wer dann erst anfaengt, hat ein Problem.

Fehler 5: "Wir melden nur, wenn der Kunde fragt." Die Meldepflicht ist proaktiv. Sobald eine aktive Ausnutzung bekannt wird, beginnt die Frist. Unabhaengig von Kundenanfragen.

Fehler 6: "Das ist ein US-Tool, wir sind raus." Wer ein US-Plugin in der EU vertreibt oder in eigenen Projekten einsetzt und damit Geld verdient, traegt eine Mitwirkungspflicht. Der Vertrieb-Standort zaehlt.

UNSERE PRAXIS-EMPFEHLUNG

Wir bauen aktuell mit zwei Mandanten genau diese Strukturen auf. Beide sind WordPress-Plugin-Anbieter im niedrigen vierstelligen Installations-Bereich. Der Aufwand fuer die komplette Erstausstattung liegt bei etwa 15 bis 25 Personentagen.

Aufgesplittet:

  • Produktinventar plus Verantwortlichkeiten: 1-2 Tage
  • Schwachstellen-Monitoring-Prozess mit Eskalationsplan: 3-5 Tage
  • Update-Kanal-Audit und Signatur-Setup: 5-8 Tage
  • Software Bill of Materials je Produkt: 4-6 Tage
  • Notfallplan plus Meldevorlagen: 2-4 Tage

Wer die Vorbereitung intern macht, kommt damit aus. Wer extern unterstuetzt, plant einmalig drei- bis vierstellige Kosten ein. Laufende Kosten danach: gering.

Wichtig: Die September-Stufe ist die einfachere. Die Dezember-2027-Stufe verlangt eine technische Cybersicherheitsarchitektur. Wer die September-Vorarbeit sauber macht, hat den Sprung zu 2027 deutlich kuerzer.

UEBERSCHNEIDUNG MIT ANDEREN PFLICHTEN

Der CRA steht nicht allein. Drei weitere EU-Vorgaben treffen die gleichen Unternehmen.

NIS-2. Fuer wichtige und besonders wichtige Einrichtungen ab 50 Beschaeftigten. Wer in Sektoren wie Energie, Wasser, Digital, Gesundheit taetig ist, hat zusaetzliche Pflichten. Das BSI hat im Juni 2026 die Registrierungs-Plattform aktualisiert.

EU AI Act. Artikel 50 greift am 02. August 2026. KI-generierte Inhalte muessen gekennzeichnet werden.

DSGVO. Die bestehenden Meldepflichten bei Datenschutzvorfaellen laufen weiter.

KMU behandeln die vier Pflichtbereiche besser nicht getrennt. Wer den CRA-Plan baut, prueft parallel die anderen drei. Doppelarbeit faellt weg.

Quelle: BSI zu Kritischen Infrastrukturen und NIS-2.

UNSERE EINSCHAETZUNG

Die September-Stufe wirkt zunaechst wie eine bueroratische Huerde. In Wahrheit erzwingt sie nuetzliche Hygiene-Massnahmen: Produktinventar, Schwachstellen-Prozess, Update-Sicherheit. Das sind Dinge, die ein verantwortlich arbeitendes Software-Unternehmen ohnehin braucht.

Die Schwierigkeit liegt nicht in der Vorbereitung. Sie liegt im Erkennen, dass man ueberhaupt betroffen ist. Wir hoeren aktuell viele Geschaeftsfuehrer sagen: "Wir verkaufen doch keine Cybersicherheits-Produkte." Korrekt. Aber sie verkaufen Produkte mit digitalen Elementen. Das reicht.

Wer jetzt anfaengt, hat bis September acht Wochen Vorlauf. Das genuegt.

CHECKLISTE FUER DEN VORLAUF

  1. Klaeren: Verkaufen wir Plugins, Themes, Custom-Module, SaaS-Dienste, APIs?
  2. Inventarliste anlegen: Produkt, Version, Verantwortlicher, Drittbibliotheken
  3. Schwachstellen-Monitoring-Kontakt benennen: eine Person, eine E-Mail-Adresse, eine Reaktionsfrist
  4. Update-Kanal pruefen: Signatur, HTTPS, Audit-Log, Rollback-Moeglichkeit
  5. Meldevorlage vorbereiten: technische Beschreibung, Betroffenheit, Massnahmen
  6. Termin mit der Geschaeftsfuehrung: CRA-Status-Check zum 31.08.2026

Wir helfen KMU bei der CRA-Vorbereitung ohne Compliance-Theater. Wir analysieren Ihre Produkte, bauen Ihre Monitoring-Struktur und schreiben mit Ihnen die Meldevorlagen. Wenn Sie wissen wollen, ob und in welcher Form Sie betroffen sind, schreiben Sie uns: Kontakt

FAQ

Sind kostenlose WordPress-Plugins von der CRA-Meldepflicht ausgenommen?

Nur dann, wenn das Plugin reines Open-Source-Projekt ohne kommerziellen Bezug ist. Sobald Premium-Versionen, Support-Vertraege oder bezahlte Erweiterungen verkauft werden, gilt der Cyber Resilience Act. Die Hoehe des Umsatzes spielt keine Rolle.

Was zaehlt als schwerwiegender Sicherheitsvorfall?

Schwerwiegend ist ein Vorfall, der spuerbare Auswirkungen auf die Funktion des Produkts oder die Daten der Nutzer hat. Datenleck, Ransomware-Befall, Manipulation der Update-Kette, Uebernahme von Nutzerkonten. Das BSI praezisiert die Definition in den naechsten Wochen. Eine erste offizielle Leitlinie wird im August 2026 erwartet.

Wie funktioniert die Meldung konkret?

Die Meldung laeuft ueber die europaeische Single Reporting Platform. Diese Plattform ist Ende Juni 2026 noch im Aufbau. Erwartet wird ein webbasiertes Formular plus eine maschinenlesbare Schnittstelle. Wir empfehlen, dass Sie sich ab Mitte August 2026 dort registrieren.

Was kostet die Vorbereitung fuer ein kleines Software-Unternehmen?

Realistisch zwischen 15 und 25 Personentagen Eigenleistung fuer die komplette Erstausstattung. Bei externer Begleitung liegen die einmaligen Kosten im niedrigen bis mittleren vierstelligen Bereich. Laufende Kosten danach sind gering, sofern keine aktiven Vorfaelle gemeldet werden muessen.

Was passiert bei Nichtbeachtung?

Die Sanktionen orientieren sich an der DSGVO-Logik. Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen. Fuer KMU sind die Bussgelder typischerweise deutlich niedriger, aber empfindlich genug, um den Geschaeftsbetrieb zu treffen.