Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die Single Reporting Platform der ENISA melden. Die Eingabemaske auf der Plattform ist dabei schnell ausgefüllt. Anspruchsvoller ist alles, was um die reine Eingabe herum passiert: die Rückfragen des zuständigen CSIRT und das rechtzeitige Informieren der eigenen Nutzer.
Der Meldeprozess des Cyber Resilience Act (Verordnung (EU) 2024/2847), kurz CRA, ist die Abfolge von Schritten, mit der ein Hersteller eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall an die zuständigen Stellen meldet und parallel die betroffenen Nutzer informiert. Er beginnt, sobald der Hersteller von dem Ereignis Kenntnis erlangt, und endet erst mit dem Abschlussbericht und dem abgeschlossenen Informieren der Nutzer. Die eigentliche Meldung auf der Plattform ist nur ein Teil davon.
Inhalt
ToggleDer Meldeprozess im CRA, kurz eingeordnet
Zwei Ereignistypen lösen die Meldepflicht aus. Erstens jede aktiv ausgenutzte Schwachstelle, die in einem Produkt mit digitalen Elementen enthalten ist und von der der Hersteller Kenntnis erlangt. Zweitens jeder schwerwiegende Sicherheitsvorfall, der sich auf die Sicherheit des Produkts auswirkt.
Adressaten sind immer zwei Stellen gleichzeitig: das als Koordinator benannte CSIRT und die ENISA. Beide erreicht der Hersteller über dieselbe Meldung, übermittelt über die einheitliche Meldeplattform. Das zuständige CSIRT richtet sich dabei nach der Hauptniederlassung des Herstellers in der Union.
Welche Fristen für die einzelnen Meldestufen gelten, behandeln wir ausführlich im Schwester-Artikel zu den Meldefristen. Hier geht es um den Prozess: Wer macht was, wann und gegenüber wem.
Warum die Meldung selbst der einfache Teil ist
Erfahrungsgemäß unterschätzen Hersteller den organisatorischen Aufwand und überschätzen den technischen. Das technische Melden über die Plattform ist eine überschaubare Formularsache. Die folgenden Beschreibungen stützen sich auf den Testbetrieb der Plattform (Stand Juni 2026). Die Felder und Abläufe sind noch nicht final und können sich bis zur Freigabe noch ändern.
Registrierung auf der Single Reporting Platform
Für den Zugang brauchen Sie einen EU-Login, einen persönlichen Account, der dem Unternehmen anschließend zugeordnet wird. Bei der Registrierung wählen Sie selbst den nationalen Endpunkt, also das für Sie zuständige CSIRT. Ein deutsches Unternehmen wählt dafür den Endpunkt „CSIRT Germany”.
Die Auswahl des richtigen CSIRT liegt in Ihrer Verantwortung. Das Portal prüft sie nicht; die ENISA geht davon aus, dass Sie das zuständige CSIRT vorab in Erfahrung gebracht haben. Anschließend validiert das CSIRT die Zuordnung zwischen Person und Hersteller, etwa telefonisch oder per E-Mail. Wichtig für die Praxis: Diese Validierung ist keine Voraussetzung für eine wirksame Meldung. Sie können auch dann melden, wenn der Account noch nicht validiert ist.
Die drei Meldestufen als Formular
Die Meldung läuft in drei Stufen ab, die sich im Portal als aufeinander aufbauende Formulare zeigen.
- Frühwarnung (Early Warning): Die erste Stufe verlangt nur wenige Angaben, etwa Titel, Zusammenfassung, betroffener Hersteller und die Mitgliedstaaten, in denen das Produkt verfügbar ist. Die Auswahl der Vertriebsländer entscheidet darüber, welche weiteren nationalen CSIRTs benachrichtigt werden.
- Detaillierte Meldung (72h Notification): Die zweite Stufe ergänzt die inhaltlichen Angaben, bei Schwachstellen etwa die Art der Ausnutzung und die ergriffenen Abhilfemaßnahmen.
- Abschlussbericht (Final Report): Die dritte Stufe enthält die ausführliche Beschreibung. Mit der Übermittlung ist die Meldung geschlossen; danach sind keine Änderungen mehr möglich.
Wie Sie die Plattform Schritt für Schritt bedienen und wie die Fristen für die drei Stufen genau laufen, beschreiben wir ausführlich im Detail-Artikel zu den Meldefristen.
Was passiert nach der Meldung? Die Rückfragen des CSIRT
Mit dem Absenden ist der Prozess nicht beendet. Das als Koordinator benannte CSIRT, das die Meldung zuerst erhält, kann den Hersteller erforderlichenfalls auffordern, einen Zwischenbericht über relevante Statusaktualisierungen zur Schwachstelle oder zum Sicherheitsvorfall vorzulegen. Sie sollten also damit rechnen, dass nach der Meldung weiterer Austausch nötig wird, und dafür intern eine erreichbare Ansprechperson vorhalten.
Auf der Plattform dient das Feld „Additional Notes“ dem Austausch mit dem nationalen CSIRT. Über diesen Kanal lassen sich Statusaktualisierungen und ergänzende Informationen übermitteln.
Ein offener Punkt betrifft die Konsequenzen einer verpassten Folgemeldung. Im Testbetrieb zeigt das Dashboard 48 Stunden nach der Erstmeldung einen Hinweis an, dass die Folgemeldung (nach spätestens 72 Stunden) noch aussteht. Welche Folgen eine tatsächlich verpasste Folgemeldung hat, ist aktuell noch nicht bekannt. Hier sollten Sie die weitere Entwicklung bis zur Freigabe verfolgen.
Die eigentliche Herausforderung: Wie informieren Sie Ihre Nutzer rechtzeitig?
In der Beratungspraxis zeigt sich: Das Informieren der Nutzer ist der anspruchsvollste Strang des Prozesses, nicht die Plattform-Meldung selbst. Denn hier laufen rechtliche Pflicht, Kommunikation und Zeitdruck zusammen.
Nachdem ein Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall erlangt hat, informiert er die betroffenen Nutzer und gegebenenfalls alle Nutzer über das Ereignis. Erforderlichenfalls informiert er auch über Risikominderungs- und Korrekturmaßnahmen, die Nutzer ergreifen können, gegebenenfalls in einem strukturierten, maschinenlesbaren Format.
Diese Pflicht ist risikobasiert auszulegen. Nach dem Leitlinien-Entwurf der Kommission bedeutet die Information über eine aktiv ausgenutzte Schwachstelle oder einen Sicherheitsvorfall nicht, dass diese öffentlich gemacht oder unterschiedslos verbreitet werden müssen. Wo es angemessen ist, können Hersteller die Weitergabe detaillierter Informationen auf die betroffenen Nutzer oder Kunden beschränken. Das gilt besonders für Produkte in sensiblen oder kritischen Umgebungen, in denen eine öffentliche Offenlegung technischer Details selbst neue Risiken schaffen könnte. Eine breitere Offenlegung kann angemessen werden, sobald die Schwachstelle behoben oder eingedämmt ist.
Versäumt es der Hersteller, die Nutzer rechtzeitig zu informieren, können die als Koordinatoren benannten CSIRTs diese Informationen ersatzweise bereitstellen, wenn sie das für verhältnismäßig und erforderlich halten. Das Informieren der Nutzer kann Ihnen also nicht abgenommen werden, ohne dass die Behörde an Ihrer Stelle nach außen kommuniziert. Das ist ein guter Grund, die Kommunikation selbst in der Hand zu behalten.
Vorgelagert ist die zentrale Anlaufstelle. Hersteller müssen eine zentrale Anlaufstelle benennen, die es den Nutzern ermöglicht, direkt und schnell mit ihnen zu kommunizieren, auch um die Meldung von Schwachstellen zu erleichtern. In den Informationen und Anleitungen für den Nutzer ist zudem die zentrale Kontaktstelle anzugeben, bei der Schwachstellen gemeldet werden können und das Konzept für die koordinierte Offenlegung zu finden ist, ebenso die Art der angebotenen technischen Sicherheitsunterstützung und das Enddatum des Unterstützungszeitraums. Wer diese Kanäle erst im Ernstfall aufbaut, verliert wertvolle Zeit.
Ein Beispiel aus dem Maschinenbau: Bei einer vernetzten Maschinensteuerung mit Fernwartung erreichen Sie die betroffenen Betreiber gezielt über die hinterlegten Kontaktdaten und einen Sicherheitshinweis, ohne die Schwachstelle breit öffentlich zu machen. Voraussetzung ist, dass Sie wissen, wo Ihre Produkte im Einsatz sind, und einen funktionierenden Kommunikationsweg dorthin haben.
Ein PSIRT bündelt Meldung, Behörde und Benachrichtigung der Nutzer
Der folgende Abschnitt ist eine Praxisempfehlung von Secuvise und keine Vorgabe des CRA. Die Verordnung schreibt kein bestimmtes Organisationsmodell vor; sie verlangt nur, dass die Pflichten erfüllt werden.
In der Praxis bewährt sich ein Product Security Incident Response Team, kurz PSIRT. Das ist ein festes Team mit klaren Rollen, das alle drei Stränge des Meldeprozesses zusammenführt: die technische Meldung an Plattform und Behörde, den Austausch mit dem CSIRT und das Informieren der eigenen Nutzer.
Warum lohnt sich diese Bündelung? Die drei Stränge laufen unter Zeitdruck parallel und greifen ineinander. Innerhalb von 24 Stunden muss die Frühwarnung übermittelt sein, während gleichzeitig die technische Analyse läuft und die Nutzerkommunikation vorbereitet wird. Liegen Plattform-Zugang, behördlicher Kontakt und Kommunikationswege bei verschiedenen Personen ohne abgestimmten Prozess, geht im Ernstfall Zeit verloren. Ein PSIRT hält die Zuständigkeiten vorab fest: Wer hat den EU-Login, wer entscheidet über die Einstufung, wer übernimmt die Nutzerkommunikation, wer hält den Draht zum CSIRT.
Operativ leistet ein PSIRT die Triage eingehender Hinweise, die Bewertung, ob ein meldepflichtiges Ereignis vorliegt, die fristgerechte Meldung in allen drei Stufen, die Beantwortung von CSIRT-Rückfragen und die Steuerung des risikobasierten Informieren der Nutzer. So wird aus den verstreuten Einzelpflichten des CRA ein durchgängiger, eingeübter Ablauf.
Der Meldeprozess im Überblick
Die folgende Tabelle ordnet die Phasen des Prozesses den Aufgaben, der Verantwortung und dem jeweiligen Adressaten zu. Die PSIRT-Rolle ist dabei als Praxisempfehlung zu verstehen, nicht als CRA-Vorgabe.
| Phase | Aufgabe | Verantwortung (PSIRT-Rolle) | Adressat/Ziel |
|---|---|---|---|
| Entdeckung | Hinweis auf Schwachstelle oder Vorfall erfassen (intern oder über die zentrale Anlaufstelle) | Triage-Lead | intern |
| Triage | Bewerten, ob aktiv ausgenutzte Schwachstelle oder schwerwiegender Vorfall vorliegt; Kenntniszeitpunkt festhalten | Triage-Lead | intern |
| Frühwarnung | Frühwarnung über die Plattform übermitteln | Meldeverantwortlicher (EU-Login) | CSIRT + ENISA |
| Meldung | Inhaltliche Meldung mit Bewertung und Maßnahmen ergänzen | Meldeverantwortlicher | CSIRT + ENISA |
| Abschluss | Abschlussbericht erstellen und übermitteln; CSIRT-Rückfragen beantworten | Meldeverantwortlicher | CSIRT + ENISA |
| Nutzerinformation | Betroffene und ggf. alle Nutzer risikobasiert informieren, ggf. zu Korrekturmaßnahmen | Kommunikationsverantwortlicher | betroffene Nutzer |
Was Sie jetzt aufsetzen sollten
Die Pflicht greift ab dem 11. September 2026. Bis dahin lassen sich die organisatorischen Voraussetzungen ohne Zeitdruck schaffen. Sinnvoll sind vier Schritte.
- Benennen Sie die zentrale Anlaufstelle und die zentrale Kontaktstelle und nehmen Sie diese in die Nutzerinformationen auf (siehe oben).
- Bereiten Sie den Plattform-Zugang vor: EU-Login einrichten, das zuständige CSIRT bestimmen und die Registrierung im Testbetrieb durchspielen, solange das möglich ist.
- Legen Sie die Rollen fest, idealerweise gebündelt in einem PSIRT, damit im Ernstfall klar ist, wer meldet, wer entscheidet und wer kommuniziert.
- Halten Sie Kommunikationsvorlagen für das Informieren der Nutzer bereit, damit Sie nicht unter Zeitdruck erst formulieren müssen.
Wer diese Grundlagen jetzt schafft, verwandelt den Meldeprozess von einer Notfall-Improvisation in einen eingeübten Ablauf. Wenn Sie einordnen möchten, wie sich der Meldeprozess konkret auf Ihre Produkte, Prozesse und Zuständigkeiten auswirkt, lässt sich das gut in einem unverbindlichen Gespräch klären.




Kommentar hinzufügen