11. September 2026: Die erste harte Frist des Cyber Resilience Act
Ab dem 11. September 2026 gelten für Hersteller von Produkten mit digitalen Elementen verbindliche Melde- und Berichtspflichten nach der Verordnung (EU) 2024/2847 – dem Cyber Resilience Act (CRA). Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) an das zuständige CSIRT und an ENISA gemeldet werden.
Bis zur vollen Anwendbarkeit aller Produktanforderungen – 11. Dezember 2027 – bleiben weniger als 18 Monate. Unternehmen, die heute mit dem Aufbau ihrer Prozesse beginnen, sind deutlich besser positioniert als jene, die auf harmonisierte Normen warten.
Bin ich überhaupt betroffen? Jetzt prüfen.
Der CRA betrifft Hersteller, Importeure und Händler von Hardware- und Softwareprodukten mit Netzwerk- oder Gerätekonnektivität – unabhängig davon, ob das Produkt kostenlos oder kommerziell vertrieben wird. Viele Unternehmen unterschätzen den eigenen Scope.
Mit dem interaktiven Betroffenheits-Check erhalten Sie in wenigen Minuten eine erste Einschätzung: Welche Rolle nehmen Sie ein (Hersteller, Importeur, Händler)? Fällt Ihr Produkt unter den CRA? Und wenn ja: In welche Produktklasse fällt es typischerweise?
Was Blackfort Technology für Sie leistet
Blackfort Technology unterstützt Hersteller digitaler Produkte bei der strukturierten Vorbereitung auf den Cyber Resilience Act – von der initialen Betroffenheitsanalyse bis zum Aufbau operativer Prozesse.
- CRA-Betroffenheits- und Scope-Analyse: Klärung von Rolle, Produktklasse und Konformitätspfad auf Basis der Verordnung und der Durchführungsverordnung (EU) 2025/2392.
- Meldeprozesse & PSIRT-Aufbau: Operativer Aufbau oder Überprüfung Ihrer Vulnerability-Handling- und Incident-Meldeprozesse für die Frist September 2026.
- SBOM-Gap-Report: Prüfung Ihrer Software-Stückliste auf CRA-Konformität – Formate (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1), Vollständigkeit, 10-Jahres-Archivierungspflicht. Gap-Report anfragen →
- Security-by-Design & ISMS-Integration: Einbettung der CRA-Anforderungen in bestehende Entwicklungs- und Sicherheitsprozesse, Unterstützung bei technischer Dokumentation und CE-Konformitätserklärung.
- DORA & NIS2 Querbeziehungen: Koordinierte Betrachtung regulatorischer Überschneidungen für Unternehmen mit mehrfacher Regulierungsexposition.
Mittelstand: Keine Größenausnahme, aber klare Prioritäten
Der Cyber Resilience Act kennt keine grundsätzliche Ausnahme für KMU. Auch kleinere Hersteller von Produkten mit digitalen Elementen sind in Scope. Allerdings gibt es punktuelle Erleichterungen – etwa bei bestimmten Melde- und Sanktionsaspekten für Kleinstunternehmen.
Entscheidend für den Mittelstand: Was zuerst? Meldeprozesse (Frist: September 2026) haben Vorrang vor SBOM-Vollständigkeit und CE-Kennzeichnung (Frist: Dezember 2027). Wer die Prioritäten kennt, vermeidet unnötigen Aufwand.
Fachliche Grundlage
Blackfort Technology wird von Christian Gebhardt geführt, der als Mitglied der ACS-KI-Facharbeitsgruppe und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs aktiv an der Weiterentwicklung praxisorientierter Sicherheitsstandards mitwirkt. Umsetzungserfahrung besteht in den Bereichen PKI, DORA, NIS2, ISMS sowie SBOM- und Schwachstellenmanagement.
Die Beratungsleistungen von Blackfort Technology sind auf technische Umsetzbarkeit ausgerichtet – keine abstrakte Compliance-Theorie, sondern strukturierte Prozesse, die in Ihrem Unternehmen operativ funktionieren.
Wissen: Hintergründe und technische Details
- CRA-Meldepflicht ab 11. September 2026: 24h/72h erklärt
- Bin ich vom Cyber Resilience Act betroffen? Rollen und Ausnahmen
- CRA-Produktklassen: Standard, Klasse I/II und kritisch
- SBOM-Anforderungen im CRA: CycloneDX, SPDX, TR-03183-2
- Cyber Resilience Act für den Mittelstand: priorisierter Umsetzungsplan