Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken.
Was sind die wichtigsten Regeln?
Die Ratingagentur verlangt von den Herstellern, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle zu melden, die sich auf die Sicherheit ihres Produkts mit digitalen Elementen auswirken. Sie müssen innerhalb von 24 Stunden nach Bekanntwerden eine Frühwarnung und innerhalb von 72 Stunden eine vollständige Benachrichtigung einreichen. Ein Abschlussbericht muss spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme für aktiv ausgenutzte Schwachstellen und innerhalb eines Monats für schwerwiegende Vorfälle vorgelegt werden.
Hersteller melden nur einmal über die CRA Single Reporting Platform (SRP). Die Meldung ist an das Computer Security Incident Response Team (CSIRT) gerichtet, in dem sie ihre Hauptniederlassung haben, und, sofern keine besonderen außergewöhnlichen Umstände vorliegen, werden die Informationen gleichzeitig der ENISA zur Verfügung gestellt. Das CSIRT, das die Meldung ursprünglich erhält, teilt die Meldung unverzüglich mit allen anderen CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen bereitgestellt wurde.
Unter außergewöhnlichen Umständen und aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit kann das CSIRT beschließen, die Verbreitung an andere CSIRTs zu verzögern: Am 11. Dezember 2025 erließ die Kommission einen delegierten Rechtsakt, in dem die Modalitäten und Bedingungen für die Anwendung solcher Gründe im Zusammenhang mit der Cybersicherheit genauer festgelegt wurden.
Wann wird die zentrale Meldeplattform für Ratingagenturen fertiggestellt?
Gemäß Artikel 16 der Ratingagentur ist die ENISA mit der Einrichtung der zentralen Meldeplattform für Ratingagenturen (Single Reporting Platform, SRP) beauftragt.
Die ENISA hat eine öffentliche Ausschreibung durchgeführt und Dienstleistungen von einem Auftragnehmer beschafft, um die Entwicklung des SRP zu unterstützen.
Die einheitliche Meldeplattform wird bis zum 11. September 2026 (Datum des Inkrafttretens der Meldepflichten für Ratingagenturen) einsatzbereit sein, wobei vor diesem Zeitpunkt ein Testzeitraum gilt.
Weitere Informationen zum CRA SRP werden in Kürze zur Verfügung gestellt.
Einschlägige Kooperationsstellen
Referenzdokumente und Links
Häufig gestellte Fragen zur CRA-Umsetzung
Delegierter Rechtsakt über CSIRTs, mit dem Meldungen zurückgehalten werden, die über die zentrale Meldeplattform zu verbreiten sind (angenommen, Veröffentlichung bis zum Einspruchszeitraum)
Zugehöriger Inhalt
Gesamtbild