Cyber Resilience Act: Neue Meldepflicht für Hersteller ab September
03.07.2026 - 23:35:06 | boerse-global.de
Die Lage hat sich grundlegend gewandelt.
Angreifer nutzen KI für komplexe Attacken
Der aktuelle Verizon Data Breach Investigations Report 2026 zeigt: Software-Schwachstellen sind mit 31 Prozent der häufigste Angriffsvektor — sie haben den Diebstahl von Zugangsdaten abgelöst. Besonders Ransomware treibt die Entwicklung an: 48 Prozent aller Sicherheitsvorfälle gehen auf Erpressungssoftware zurück.
Sicherheitsexperten beobachten eine Professionalisierung der Angreifer. Moderne KI-Modelle planen komplexe Angriffsketten eigenständig und nutzen selbst jahrelang unentdeckte Schwachstellen aus. Das Zeitfenster zwischen Entdeckung einer Lücke und deren Ausnutzung schrumpft dramatisch. Reine Prävention reicht nicht mehr, der Fokus muss auf Erkennung und Reaktion liegen.
NIS2 und Cyber Resilience Act verschärfen Regeln
Seit Dezember 2025 gilt die europäische NIS2-Richtlinie über das IT-Sicherheitsgesetz (BSIG). Betroffen sind Unternehmen ab 50 Mitarbeitern in Chemie, Produktion und Industrie. Sie müssen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz einführen.
Der Cyber Resilience Act (CRA) schafft neue Pflichten für Hersteller vernetzter Produkte. Seit dem 11. Juni 2026 gelten die Bestimmungen schrittweise. Am 11. September 2026 greift eine strikte Meldepflicht für aktiv ausgenutzte Schwachstellen. Bis Dezember 2027 müssen Hersteller alle Sicherheitsanforderungen erfüllen, inklusive einer Software-Stückliste (SBOM). Das BSI übernimmt die Marktüberwachung.
Geschäftsführer haften persönlich
Ab September greift die CRA-Meldepflicht für aktiv ausgenutzte Schwachstellen. Geschäftsführer haften persönlich bei fehlendem ISMS. Unser Leitfaden zeigt, wie Sie die neuen Pflichten umsetzen. Kostenlosen Compliance-Leitfaden anfordern
Ein zentraler Punkt der neuen Gesetzgebung: die Verschärfung der Verantwortlichkeiten auf Führungsebene. Nach § 38 BSIG sowie § 43 GmbHG und § 93 AktG haften Geschäftsführer und Vorstände bei Cyber-Vorfällen zunehmend persönlich. Sie sind für Umsetzung und Überwachung von Risikomanagementmaßnahmen verantwortlich.
Fehlt ein ISMS oder ist es unzureichend, drohen bei einem Ransomware-Angriff massive Schadensersatzforderungen. Bereits mittelgroße Unternehmen erleiden Schäden in Millionenhöhe — durch mehrtägige Produktionsausfälle und Lösegeldforderungen. Die Kosten für ein ISMS liegen für diese Größenordnung bei 150.000 bis 250.000 Euro über drei Jahre.
Lieferketten und OT-Sicherheit als blinde Flecken
Ein wachsender Problembereich bleibt die Sicherheit in der operativen Technologie (OT) und der Lieferkette. Der Verizon-Bericht verzeichnet einen Anstieg von Vorfällen mit Beteiligung Dritter um 60 Prozent. Erfolgreiche Cyberangriffe erfolgen zu einem Großteil über Zulieferer. Die NIS2-Richtlinie fordert daher explizit Sicherheitsbewertungen für die gesamte Lieferkette.
In der Prozessindustrie rückt der Schutz kritischer Komponenten in den Fokus. Auf einem IT-Sicherheitskongress der IHK Bodensee-Oberschwaben Anfang Juli wurden Schwachstellen in Rechenzentren thematisiert — etwa in unterbrechungsfreien Stromversorgungen oder Klimareglern. Neue Forschungsansätze sollen helfen: Das LOEWE-Projekt „PlantProtect“ entwickelt ein hybrides Sicherheitssystem mit KI zur Anomaliedetektion.
Betrifft Sie das? Als Hersteller vernetzter Produkte müssen Sie ab September Schwachstellen melden. Unser Leitfaden enthält eine Checkliste zur Meldepflicht und eine ISMS-Aufbau-Anleitung. Leitfaden per E-Mail sichern
Cybersecurity bleibt oft reine IT-Aufgabe
Eine aktuelle Studie von HarfangLab unter 750 europäischen Führungskräften zeigt: 73 Prozent erwarten schwere Beeinträchtigungen ihres Geschäftsbetriebs durch Cybervorfälle. Dennoch sehen 51 Prozent das Thema weiterhin primär als IT-Aufgabe und nicht als strategisches Geschäftsrisiko. Die Sicherheitskultur muss tiefer in den Unternehmen verankert werden.
