Die CRA 24-Stunden-Meldefrist: Was Hersteller tun müssen

Die CRA 24-Stunden-Meldefrist ist die zeitkritischste Pflicht in der Cyber Resilience Act Verordnung (EU) 2024/2847, und ab dem 11. September 2026 gilt sie für jeden Hersteller, der Produkte mit digitalen Elementen in der EU in Verkehr bringt. In dem Moment, in dem Sie von einer aktiv ausgenutzten Schwachstelle oder einem erheblichen Sicherheitsvorfall erfahren, läuft eine Uhr — und Sie haben einen Tag Zeit für eine erste Meldung an ENISA. Dieser Beitrag erklärt, wann die Uhr startet, was die Frühwarnung enthalten muss und wie Sie einen Prozess aufbauen, der die Frist verlässlich einhält.

Wann die 24-Stunden-Uhr läuft

Zwei Auslöser starten die Uhr nach Artikel 14:

1. Aktiv ausgenutzte Schwachstelle. Sie wissen oder haben Grund zu der Annahme, dass eine Schwachstelle in Ihrem Produkt ausgenutzt wird. Die Uhr startet bei Kenntnisnahme — nicht bei Bestätigung und nicht bei Patch-Verfügbarkeit.
2. Erheblicher Sicherheitsvorfall. Ein Sicherheitsvorfall mit erheblichen Auswirkungen auf Ihr Produkt tritt ein. Eine Frühwarnung ist innerhalb von 24 Stunden nach Kenntnisnahme fällig.

„Grund zu der Annahme” ist bewusst weit gefasst. Hersteller können nicht auf forensische Gewissheit warten; die Pflicht ist, auf glaubwürdige Indikatoren zu reagieren und eine erste Meldung einzureichen, die dann in den Stufen der 72-Stunden- und Abschlussbericht-Phase verfeinert wird.

Was die Frühwarnung enthalten muss

Die ersten 24 Stunden dienen der Geschwindigkeit, doch die Frühwarnung braucht Substanz. Eine vertretbare Einreichung umfasst:

• Was passiert ist — Schwachstelle oder Vorfall und wie er erkannt wurde.
• Was betroffen ist — Produktnamen, Versionen, Komponenten.
• Schweregrad und Auswirkungen — eine Ersteinschätzung, auch wenn unvollständig.
• Maßnahmen — Workarounds, Konfigurationshinweise oder Patches in Arbeit.
• Identifikatoren — CVE- oder EUVD-Referenzen, wo verfügbar.
• Kontakt — wer die Meldung für Rückfragen verantwortet.

Unvollständige Informationen sind im Frühwarnungs-Stadium akzeptabel; Schweigen ist es nicht. Die 72-Stunden-Vorfallmeldung und der spätere Abschlussbericht dienen genau dazu, Tiefe hinzuzufügen, wenn das Bild klarer wird.

Die vollständige Zeitachse im Kontext

Die 24-Stunden-Frist ist der erste Takt eines gestuften Rhythmus:

• 24 Stunden — Frühwarnung (Vorfall) und Meldung einer aktiv ausgenutzten Schwachstelle.
• 72 Stunden — Vorfallmeldung mit aktualisiertem Schweregrad, Auswirkungen und Indicators of Compromise.
• Abschlussbericht — Ursachenanalyse und Maßnahmen, in angemessener Frist nach Abschluss.

Wer sich an den 24-Stunden-Takt hält, erzeugt die Disziplin, die die späteren Stufen beherrschbar macht. Löst ein Ereignis zusätzlich eine NIS2-Meldung aus, sieht Artikel 14 eine koordinierte Einreichung vor.

So trifft man die Frist jedes Mal

Hersteller, die die 24-Stunden-Uhr konsistent einhalten, behandeln sie als einen gestalteten Prozess:

• Meldungsverantwortlichen vorab ermächtigen. Jemand muss einreichen dürfen, ohne auf einen Ausschuss zu warten.
• Gerüste vorhalten. Die Struktur vorab entwerfen, damit der erste Tag in Inhalt fließt.
• Erkennung an den Verantwortlichen koppeln. Threat Intelligence, PSIRT und Incident Response leiten ein „aktiv ausgenutzt”-Signal direkt an die einreichende Person.
• Die Uhr üben. Tabletop-Übungen, die den Timer willkürlich starten, zeigen, wo der Prozess hakt.
• Kenntnisnahme protokollieren. Eine vertretbare Dokumentation, wann Sie was wussten — der Auslöser ist Kenntnisnahme, und Sie müssen sie eventuell belegen.

Der Einsatz ist real: Bei Nichtcompliance drohen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Die Frist mit live Risiko-Sicht verknüpfen

Die 24 Stunden einzuhalten hängt davon ab, schnell zu wissen, was betroffen ist. Ein gepflegtes Risikoregister mappt erkannte Schwachstellen und Vorfälle auf die Produkte, Lieferanten und Assets, die sie betreffen — genau die Verknüpfung, die eine Frühwarnung verlangt. Ein Blick auf die Preise für die Werkzeuge, die dieses Register aktuell halten, stellt sicher, dass die Fähigkeit ein Budget hat statt eine Blindstelle zu sein, die im Vorfall entdeckt wird.

Fazit

Die CRA 24-Stunden-Meldefrist belohnt Hersteller, die Kenntnisnahme als Auslöser und die Frühwarnung als Gewohnheit behandeln. Bauen Sie die Pipeline von der Erkennung zur Einreichung vor dem 11. September 2026 auf und üben Sie die Uhr — dann wird die Frist zu einem routinierten Takt statt zu einem regulatorischen Notfall.

Für den vollständigen Melderahmen lesen Sie unseren Artikel zu den CRA Artikel 14 Meldepflichten.