CRA Artikel 14 Meldepflichten: Was Hersteller melden müssen

Wer vernetzte Hardware oder Software in der EU in Verkehr bringt, für den sind die CRA Artikel 14 Meldepflichten nicht aufschiebbar. Die Cyber Resilience Act Verordnung (EU) 2024/2847 verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen und erhebliche Sicherheitsvorfälle an die ENISA Single Reporting Platform zu melden — gestaffelt nach Zeitfenstern, die ab dem 11. September 2026 gelten. Dieser Beitrag erklärt, was eine Meldung auslöst, welche Fristen gelten und wie Sie Compliance bis zum Stichtag operationalisieren.

Was Artikel 14 verlangt

Artikel 14 legt Herstellern von Produkten mit digitalen Elementen zwei getrennte Meldepflichten auf:

1. Schwachstellenmeldung. Wenn ein Hersteller weiß oder Grund zu der Annahme hat, dass eine Schwachstelle in seinem Produkt aktiv ausgenutzt wird, muss er ENISA unverzüglich, spätestens innerhalb von 24 Stunden informieren. Die Meldung benennt die Schwachstelle, ihre Auswirkungen und verfügbare Maßnahmen.
2. Vorfallmeldung. Bei einem Sicherheitsvorfall mit erheblichen Auswirkungen folgt eine gestaffelte Meldung: eine Frühwarnung innerhalb von 24 Stunden, eine ausführlichere Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht in angemessener Frist nach der Bewältigung.

Löst dasselbe Ereignis zusätzlich eine NIS2-Meldung aus, sieht Artikel 14 eine koordinierte Einreichung vor, damit Hersteller keine widersprüchlichen Doppelberichte abgeben.

Die Fristen im Überblick

Behandeln Sie diese Zeitfenster als harte Uhren, nicht als Ziele:

• 24 Stunden — Frühwarnung bei einem erheblichen Vorfall und Meldung einer aktiv ausgenutzten Schwachstelle.
• 72 Stunden — Vorfallmeldung mit aktualisiertem Schweregrad, Auswirkungen und Indicators of Compromise.
• Abschlussbericht — Ursachenanalyse und Maßnahmen, in angemessener Frist nach Abschluss (üblicherweise rund ein Monat).

Das Verpassen des 24-Stunden-Fensters ist die Fehlerquelle, die Aufsichtsbehörden zuerst prüfen. Richten Sie den Prozess darauf aus, diese erste Frist auch bei unvollständigen Informationen einzuhalten.

Was eine compliante Meldung enthält

Eine vertretbare Artikel-14-Einreichung umfasst:

• Die betroffenen Produkte und Versionen.
• Eine Beschreibung der Schwachstelle oder des Vorfalls und des Entdeckungswegs.
• Die Auswirkungen auf Nutzer, andere Produkte und abhängige Systeme.
• Die Maßnahmen — bereits verfügbar oder in Arbeit (Patches, Workarounds, Konfigurationshinweise).
• Querverweise auf CVE- oder EUVD-Identifikatoren, sofern vorhanden.
• Eine Kontaktstelle für Rückfragen.

So operationalisieren Sie Meldereadiness

Meldereadiness ist ein Prozess, kein Dokument. Hersteller, die die 24-Stunden-Uhr verlässlich treffen, tun fünf Dinge:

1. Meldungsverantwortlichen benennen. Klare Zuständigkeit für die Entscheidung und die Einreichung.
2. Vorlagen vorhalten. Gerüste für Schwachstellen- und Vorfallmeldungen bereitlegen, damit die ersten 24 Stunden in Inhalt fließen, nicht in Struktur.
3. Erkennung an Meldung koppeln. Vulnerability Intelligence, PSIRT und Incident Response leiten ein „aktiv ausgenutzt”-Signal automatisch an den Meldungsverantwortlichen.
4. Üben. Ein Tabletop, das die Uhr willkürlich startet und bei einer eingereichten ENISA-Meldung endet.
5. Nachweise protokollieren. Eine vertretbare Dokumentation, was Sie wann wussten — der Auslöser ist Kenntnisnahme.

Der Sanktionsdruck verschärft den Anreiz: Bei Nichtcompliance drohen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Wo der Meldeprozess auf das Produktrisiko trifft

Ein Meldeprozess funktioniert nur, wenn Sie das Risiko sehen, das er beschreibt. Ein gepflegtes Risikoregister ermöglicht es, erkannte Schwachstellen und Vorfälle den Produkten, Lieferanten und Assets zuzuordnen, die sie betreffen — genau die Verknüpfung, die Artikel 14 verlangt. Kombinieren Sie das mit einem klaren Blick auf die Preise für die Werkzeuge, die das Register aktuell halten, damit Readiness ein Budget hat statt eine Lücke zu sein, die Sie im Vorfall entdecken.

Fazit

Die CRA Artikel 14 Meldepflichten machen die Offenlegung von Schwachstellen und Vorfällen aus einer Frage der Disclosure-Policy zu einer regulierten, fristgetriebenen Pflicht. Hersteller, die Sanktionen vermeiden, behandeln die 24-Stunden-Frühwarnung als Designrestriktion und bauen die Pipeline von der Erkennung zur Einreichung vor dem 11. September 2026 auf.

Die vollständige Checkliste zu Scope, Anhang I, SBOM und Konformität finden Sie in unserem Begleitartikel zur CRA Compliance-Checkliste für Hersteller.