Cyber Resilience Act: Software-Hersteller stehen vor Pflicht zur Meldung von Sicherheitslücken

Ab September müssen Software-Hersteller in der EU aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden melden. Diese Pflicht markiert den Startschuss für ein neues Zeitalter der verbindlichen Cybersicherheit, das freiwillige Standards ablöst und Hersteller in die Haftung nimmt. Die Regulierungen in Brüssel und Washington setzen weltweit neue Maßstäbe.

Während neue EU-Gesetze die Haftung für Unternehmen verschärfen, rücken auch die Verantwortlichen in den Fokus von Cyberkriminellen. Dieses kostenlose E-Book unterstützt Geschäftsführer dabei, Sicherheitslücken proaktiv zu schließen und aktuelle gesetzliche Anforderungen rechtzeitig zu erfüllen. IT-Sicherheit stärken und Haftungsrisiken minimieren

EU setzt mit Cyber Resilience Act neue Deadline

Der Countdown läuft: Ab dem 11. September 2026 tritt die erste große Pflicht der EU-Verordnung für Cyber-Resilienz (CRA) in Kraft. Von diesem Tag an müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen an die EU-Agentur für Cybersicherheit (ENISA) und nationale Behörden melden. Die Fristen sind knapp: Eine erste Warnung ist innerhalb von 24 Stunden fällig, eine detaillierte Meldung innerhalb von 72 Stunden.

Besonders brisant: Die Meldepflicht gilt nicht nur für neue Software, sondern auch für ältere Produkte, die noch unterstützt werden. Für die Meldungen baut ENISA derzeit eine zentrale Plattform auf, die pünktlich zum Stichtag starten soll.

Parallel dazu entsteht die Infrastruktur für die Produktzertifizierung. Ab dem 11. Juni 2026 benennen die EU-Mitgliedstaaten offizielle Prüfstellen. Diese unabhängigen Labore sollen „wichtige“ und „kritische“ Produkte testen, bevor sie die CE-Kennzeichnung erhalten. Für schätzungsweise 90 Prozent aller vernetzten Produkte reicht laut EU-Kommission jedoch eine Selbstbewertung der Hersteller aus – verbunden mit einer detaillierten Konformitätserklärung.

USA setzen auf kontinuierliche Sicherheitsnachweise

Auch in den USA schreitet die Regulierung voran. Das National Institute of Standards and Technology (NIST) hat Ende März 2026 neue Richtlinien für sichere Software-Entwicklung veröffentlicht. Der Fokus liegt auf dem Secure Software Development Framework (SSDF), das Sicherheit direkt in moderne Entwicklungsprozesse integrieren soll.

Die aktualisierte Version des Rahmens verlangt von Unternehmen wiederholbare Nachweise für ihre Sicherheitsmaßnahmen. Es reicht nicht mehr, sich in einem Audit zu einem bestimmten Zeitpunkt zu präsentieren. Stattdessen muss dokumentiert werden, welche Tools eingesetzt, welche Schwachstellen gefunden und wie diese behoben wurden – und das alles, bevor das Produkt den Nutzer erreicht.

Die Cybersecurity and Infrastructure Security Agency (CISA) verschärft parallel dazu ihre „Secure by Design“-Initiative. Seit dem 1. Januar 2026 erwarten die Behörden von Herstellern konkrete Fahrpläne für den Umstieg auf speichersichere Programmiersprachen wie Rust oder Java. Wer keinen Plan vorweisen kann, muss bei öffentlichen Aufträgen in den USA mit erhöhter Prüfung rechnen. Die US-Regierung stuft Speichersicherheit inzwischen als Säule der nationalen Sicherheit ein.

Globaler Trend: Transparenz und Haftung

Ein klarer Trend zeichnet sich ab: Regulierer weltweit wollen ganze Klassen von Sicherheitslücken systematisch ausschalten. Ein zentrales Mittel dafür ist der verpflichtende Software Bill of Materials (SBOM). Diese maschinenlesbare Stückliste aller Software-Komponenten soll es ermöglichen, bei einer neuen Schwachstelle in einer Open-Source-Bibliothek sofort alle betroffenen Systeme zu identifizieren.

Die neuen Regeln bedeuten eine massive Umstellung, besonders für kleine und mittlere Unternehmen. Die Strafen bei Verstößen sind drastisch: Die EU droht mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. In den USA können nicht konforme Anbieter vom lukrativen Geschäft mit der Bundesregierung ausgeschlossen werden.

Besonders die psychologischen Manipulationstaktiken von Hackern stellen neben technischen Lücken eine massive Gefahr für die Unternehmenssicherheit dar. Das kostenlose Anti-Phishing-Paket bietet eine branchenspezifische Risikoanalyse und zeigt in vier Schritten, wie Firmen ihre Abwehr gegen gezielte Angriffe wie CEO-Fraud stärken. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

Die Ära der pauschalen Haftungsausschlüsse in Nutzungsbedingungen ist vorbei. Die CRA und die NIST-Richtlinien schaffen einen rechtlichen Mindeststandard dafür, was „angemessene“ Sicherheit bedeutet. Wer diesen Standard nicht erfüllt, muss im Schadensfall mit Zivilklagen rechnen.

Ausblick: Automatisierung wird zum Schlüssel

Wie können Unternehmen diese komplexen Anforderungen bewältigen? Die Antwort liegt in der Automatisierung. Noch in diesem Jahr wird ein starker Anstieg bei „Compliance-as-Code“-Plattformen erwartet. Diese Tools integrieren sich direkt in den Entwicklungsprozess, generieren SBOMs automatisch und prüfen Sicherheitskontrollen in Echtzeit.

Der nächste regulatorische Schritt ist bereits in Vorbereitung: NIST und europäische Behörden arbeiten an Standards für den Einsatz von Künstlicher Intelligenz in der Software-Entwicklung. Code, der von großen Sprachmodellen generiert wird, soll künftig den gleichen strengen Sicherheitsstandards genügen wie von Menschen geschriebene Software. Bis zur vollständigen Anwendung der CRA Ende 2027 wird die Branche zeigen müssen, ob sie die neuen, datengetriebenen Sicherheitsvorgaben in die Praxis umsetzen kann.

de | boerse | 69134233 |