Sind Sie bereit für die CRA-Meldepflichten?

Obwohl die CRA im Allgemeinen erst ab dem 11. Dezember 2027 gilt, treten einige einzelne Artikel bereits früher in Kraft. Für Hersteller am wichtigsten zu beachten ist dabei Artikel 14 des CRA, der die Meldepflichten der Hersteller definiert. Ab dem 11. September 2026 müssen betroffene Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden, die sich auf die Sicherheit ihrer Produkte mit digitalen Elementen auswirken. Besonders für kleinere Hersteller sind diese Fristen sehr knapp:

• Unverzüglich, aber spätestens nach 24 Stunden, müssen Hersteller eine Frühwarnung senden
• Innerhalb von 72 Stunden müssen weitere Informationen zu Produkt, Schwachstelle bzw. Sicherheitsvorfall sowie zu ergriffenen und geplanten Maßnahmen vorliegen
• Bei aktiv ausgenutzten Schwachstellen muss ein Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Korrektur- oder Abhilfemaßnahme bereitstehen; bei schwerwiegenden Sicherheitsvorfällen spätestens nach einem Monat. Dieser Bericht muss unter anderem Beschreibung, Schweregrad und Auswirkungen enthalten sowie Informationen zu nötigen Aktualisierungen oder anderen Maßnahmen für Kunden.

Besonders die Frist für die Frühwarnung könnte kleinen Herstellern vor Probleme stellen. Nicht jede Firma hat auch an Wochenenden Kapazitäten, ausführliche Analysen und Berichte zu erstellen, um die Notwendigkeit einer Benachrichtigung zu prüfen. Deshalb ist es wichtig, Vorbereitungen zu treffen, um in dieser besonderen kritischen Phase keine Zeit zu verlieren. Eine gute Übersicht über eigene Produkte und ihr Sicherheitsprofil, sowie ein vorab festgelegter Prozess sind elementar.

Zusätzlich besteht trotz der wenig verbleibenden Zeit noch viel Unklarheit über viele Details der Verordnung. Die EU plant, rechtzeitig zusätzliche Hinweise zu veröffentlichen. Doch selbst wenn diese Orientierungshilfen pünktlich bereitgestellt werden, verbleibt nur noch wenig Zeit bis die Meldepflichten in Kraft treten.

Supply Warden entsteht, um Herstellern dabei zu helfen, Produktinformationen, Schwachstellen, Maßnahmen und Meldefristen an einem Ort nachvollziehbar zu machen. Tragen Sie sich in unseren Mailverteiler ein, wenn Sie Updates zu CRA-Meldepflichten, Supply-Warden-Funktionen und praktischen Vorbereitungsschritten erhalten möchten.