Cyber, Resilience

Cyber Resilience Act: Meldepflicht für Hersteller ab 11. September

Veröffentlicht: 11.07.2026 um 21:33 Uhr, Redaktion boerse-global.de

Ab September 2026 gelten strikte Meldepflichten für IT-Sicherheitslücken. Bei Verstößen drohen Millionenstrafen, während die Industrie mit neuer Hardware reagiert.

CRA-Meldepflicht ab September: Unternehmen drohen hohe Bußgelder
Abstrakte Darstellung von Cybersicherheitsvorschriften mit digitalen Linien, leuchtenden Knoten und einer schützenden Schicht über einer Platine. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ab dem 11. September 2026 greifen die ersten verbindlichen Meldepflichten des Cyber Resilience Act (CRA). Hersteller von Produkten mit digitalen Elementen müssen dann Sicherheitslücken und Vorfälle innerhalb strikter Fristen melden. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Strikte Zeitvorgaben für Unternehmen

Der Zeitplan ist eng: Eine erste Frühwarnung muss innerhalb von 24 Stunden nach Bekanntwerden erfolgen. Die vollständige Meldung folgt nach 72 Stunden. Einen abschließenden Bericht müssen Unternehmen spätestens 14 Tage nach der Korrektur des Problems einreichen. Gemeldet wird über eine zentrale Plattform der EU-Agentur für Cybersicherheit (ENISA).

Ziel der Verordnung: Sicherheit über den gesamten Produktlebenszyklus gewährleisten – vom Design bis zum Ende der Support-Laufzeit.

Industrie rüstet mit neuer Hardware auf

Siemens stellte am 10. Juli 2026 eine neue Generation von Hardware für die Sinumerik-One-Steuerungen vor. Die Baugruppen sind speziell auf die CRA-Anforderungen ausgelegt und unterstützen KI-Anwendungen.

Anzeige

Die neuen EU-Regulierungen fordern von Unternehmen klare Konzepte zur Risikodokumentation und Qualitätssicherung ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihrer Rechts- und IT-Abteilung, alle relevanten Fristen und Pflichten rechtzeitig im Blick zu behalten. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Der Hintergrund: Der globale Markt für Embedded-Computing soll 2026 ein Volumen von rund 68 Milliarden US-Dollar erreichen. Gleichzeitig sehen 75 Prozent der Fertigungsunternehmen Cybersicherheit als größtes Hindernis für Industrie-4.0-Konzepte.

EU verknüpft KI-Regulierung mit Sicherheitsrichtlinien

Am 10. Juli veröffentlichte die EU-Kommission einen Aktionsplan, der die KI-Verordnung (AI Act) enger mit bestehenden Richtlinien wie NIS2 und dem CRA verzahnt. KI-Modelle müssen demnach vor ihrem Markteintritt auf Cybersicherheit geprüft werden. Die ENISA stellt dafür Testplattformen bereit.

Für das vierte Quartal 2026 ist zudem der Start einer EU-weiten Challenge geplant. Sie soll die Entwicklung KI-gestützter Sicherheitslösungen fördern. Auch die EZB zieht mit: Sie fordert von Banken bis Oktober 2026 detaillierte Konzepte zur Abwehr KI-gestützter Angriffe.

Anzeige

Angesichts neuer Gesetze und wachsender Cyberrisiken stehen viele Unternehmen vor der Herausforderung, ihre IT-Sicherheit ohne explodierende Kosten zu stärken. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie Sicherheitslücken proaktiv schließen und die aktuellen gesetzlichen Anforderungen rechtssicher erfüllen. Gratis-E-Book: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Vorbereitung vieler Betriebe unzureichend

Die Lage ist ernüchternd: Zwar kennen 66 Prozent der Unternehmen den Cyber Resilience Act, aber nur 13 Prozent haben ein tiefgehendes Verständnis der geforderten technischen Dokumentation. Häufige Defizite gibt es bei der Produktinventarisierung, dem Monitoring des Software-Entwicklungszyklus und der Klärung interner Verantwortlichkeiten.

Zur Unterstützung veröffentlichte das Fraunhofer AISEC das Open-Source-Tool Codyze. Es prüft Quellcode automatisiert auf Sicherheitsanforderungen und unterstützt Java, Python und C++. Das Tool bietet spezifische Regelsätze für den CRA sowie für Richtlinien des BSI.

Die Dringlichkeit zeigt sich in aktuellen Zahlen: Rund 87 Prozent der deutschen Unternehmen waren zuletzt von Cyberangriffen betroffen. Der Gesamtschaden wird auf fast 290 Milliarden Euro geschätzt. Besonders alarmierend: Die Angriffe auf Industrieanlagen haben sich seit 2022 verdoppelt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69747696 |