Was sich am 11. September 2026 tatsächlich ändert
Der EU Cyber Resilience Act legt eine feste Meldepflicht fest, die am 11. September 2026 beginnt. Sobald ein Hersteller mit hinreichender Sicherheit davon ausgeht, dass eine Schwachstelle in einem seiner Produkte aktiv ausgenutzt wird oder dass ein schwerwiegender Vorfall die Sicherheit dieses Produkts getroffen hat, beginnt die Uhr zu laufen. Eine Frühwarnung muss binnen 24 Stunden die EU-Cybersicherheitsagentur ENISA und das zuständige nationale CSIRT erreichen, geleitet über eine einheitliche Meldeplattform, die beide gleichzeitig benachrichtigt.
Mit der 24-Stunden-Warnung ist es nicht getan. Eine ausführlichere Meldung ist binnen 72 Stunden fällig und ein Abschlussbericht binnen 14 Tagen, sobald eine korrigierende oder eindämmende Maßnahme verfügbar ist. Auslöser ist nicht der vollständige forensische Nachweis. Eine laufende Untersuchung stoppt die Uhr nicht, sodass die praktische Frage für einen Inhaber einfach lautet: Könnte Ihr Team das Signal erkennen, entscheiden, dass es die Kriterien erfüllt, und innerhalb eines Arbeitstages melden?
Warum dies Produkte betrifft, die Sie bereits verkauft haben
Der Punkt, der viele Betriebe überrascht, ist der Anwendungsbereich. Die Pflicht beschränkt sich nicht auf Produkte, die nach dem Stichtag auf den Markt kommen. Solange ein Produkt mit digitalen Elementen am 11. September 2026 oder danach auf dem EU-Markt bleibt, fallen seine Schwachstellen und schwerwiegenden Vorfälle unter die Meldepflicht, einschließlich Altgeräte und älterer Baureihen, die noch verkauft werden. Ein vernetzter Sensor, eine Maschinensteuerung oder eine vor Jahren ausgelieferte Softwarekomponente kann Sie in eine 24-Stunden-Meldung ziehen.
Hier liegt das Risiko für einen typischen Mittelstandshersteller. Die Entwicklung wurde vor langer Zeit abgenommen, das Produkt ist ausgereift, und niemand verantwortet dafür ein 24-Stunden-Meldeverfahren. Die aktuelle Leitlinie der Kommission vom März 2026 ist die maßgeblichste verfügbare Auslegung, sie liegt aber noch im Entwurf vor und ist nicht förmlich angenommen, sodass sich manches Detail noch verschieben kann. Die zentralen Fristen und die Reichweite auf bestehende Produkte sind bereits klar genug, um damit zu planen.
Was ein Inhaber jetzt sinnvoll prüfen kann
Beginnen Sie mit einer ehrlichen Bestandsaufnahme dessen, was Sie tatsächlich verkaufen und was digitale Elemente enthält, einschließlich eingebetteter Software und vernetzter Funktionen in älteren Baureihen. Fragen Sie dann, wer im Unternehmen zuerst erfahren würde, dass eines dieser Produkte ausgenutzt wird, und wie das einen Entscheidungsträger erreicht, der eine Meldung freigeben kann. Wenn die ehrliche Antwort lautet, dass die Nachricht über ein Wochenende in einem Postfach liegen bliebe, haben Sie die Lücke gefunden. Ein benannter Verantwortlicher, ein festgelegter Weg und eine eingeübte 24-Stunden-Übung zählen hier mehr als ein dickes Richtliniendokument.
Nichts davon ist Rechtsberatung, und die endgültige Form der Leitlinie steht noch nicht fest. Aber die Richtung ist gesetzt, und der Stichtag ist nah. Die Meldepflicht jetzt als Frage der operativen Bereitschaft zu behandeln, statt später als Compliance-Memo, ist das, was die Unternehmen, die ruhig melden, von denen trennt, die hektisch reagieren. Die Arbeit ist überwiegend Prozess und Verantwortung, keine neue Technologie.
Weiterlesen: Eine US-Quantenfrist erreicht Ihre Lieferkette · Cybersicherheit ist jetzt Chefsache