Cyber Resilience Act: 24-Stunden-Frist für Arbeitsschutz-Hersteller startet

Ab September 2026 müssen Hersteller digitaler Arbeitsschutzsysteme Sicherheitslücken binnen eines Tages melden. Die finale EU-Verordnung setzt die Industrie unter massiven Handlungsdruck – auch für Altgeräte.

Countdown für kritische Meldepflicht

Die Uhr tickt für die Sicherheitsbranche: Am 11. September 2026 tritt die 24-Stunden-Meldepflicht des Cyber Resilience Act (CRA) in Kraft. Von diesem Tag an müssen Hersteller von digitalen Arbeitsschutzprodukten aktiv ausgenutzte Sicherheitslücken innerhalb eines Tages den Behörden melden. Eine Delegierte Verordnung der EU-Kommission vom 11. Dezember 2025 komplettiert nun das Regelwerk und beendet jede Übergangsfrist.

Das dreistufige Meldeverfahren ist strikt: Nach der Erstmeldung innerhalb von 24 Stunden an nationale CSIRT-Teams und die EU-Agentur ENISA folgt ein detaillierter Bericht nach 72 Stunden. Die abschließende Analyse muss 14 Tage nach Verfügbarkeit eines Patches vorliegen. Für die Arbeitssicherheit bedeutet dies einen Paradigmenwechsel. Denn hier kann eine Schwachstelle in einer vernetzten Schutzeinrichtung oder einem Not-Aus-System unmittelbar Menschenleben gefährden – ganz anders als bei Consumer-Produkten.

73% der deutschen Unternehmen sind laut Experten oft unvorbereitet auf Cyberangriffe — und die neuen Meldepflichten des Cyber Resilience Act verschärfen die Anforderungen. Wenn Sie vernetzte Sicherheitstechnik herstellen, brauchen Sie klare Prozesse für Erkennung, Meldung und schnelle Reaktion. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, neue gesetzliche Pflichten (inkl. KI-Regulierung) und sofort umsetzbare Schutzmaßnahmen zusammen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Altlasten werden zum Sicherheitsrisiko

Besonders brisant: Die Meldepflicht gilt nicht nur für Neuprodukte. Laut aktueller Auslegung betrifft Artikel 14 des CRA ausdrücklich auch Bestandsmaschinen. Das bedeutet, dass Hersteller vernetzter Sicherheitstechnik, die vor Jahren verkauft wurde, weiterhin für die Erkennung und Meldung von Schwachstellen verantwortlich sind – sofern die Geräte noch unterstützt werden.

Deutsche Arbeitsschutzverbände wie die DGUV und BGHM betonen seit Monaten, dass Cybersicherheit heute untrennbar mit Betriebssicherheit verbunden ist. Diese rückwirkende Verpflichtung stellt insbesondere Betreiber älterer Industrieanlagen vor enorme Herausforderungen. Hersteller müssen nun Prozesse etablieren, die ihren gesamten Katalog vernetzter Sicherheitsausrüstung abdecken, nicht nur die neuesten Modelle.

Strategische Atempause möglich

Die neue Delegierte Verordnung bringt jedoch auch eine wichtige Ausnahmeregelung: Unter „außergewöhnlichen Umständen“ können CSIRT-Teams die Weitergabe von Schwachstelleninformationen an andere Mitgliedstaaten verzögern. Diese „Delay“-Exception soll verhindern, dass Hacker durch eine zu frühe Veröffentlichung einer Lücke – noch vor Patch-Bereitstellung – aufmerksam werden und diese massenhaft ausnutzen.

Für Hersteller kritischer Sicherheitssysteme der Klassen I und II bietet dies einen strategischen Mechanismus. Sie können sich mit den Behörden abstimmen, ohne ihre Kundenbasis sofort einem breiten Risiko auszusetzen – vorausgesetzt, sie können die Verzögerung mit strengen Cybersicherheitsargumenten rechtfertigen.

Acht Monate zur finalen Vorbereitung

Die Übergangsfrist schmilzt dahin. Bis September bleiben der Industrie nur noch etwa acht Monate, um ihre Anbindung an die ENISA Single Reporting Platform abzuschließen. Diese befindet sich in der finalen Implementierungsphase.

Experten raten Herstellern vernetzter Sicherheitssysteme für das erste Quartal 2026 zu drei entscheidenden Schritten:
1. Bestandsaufnahme: Alle Bestandsmaschinen und vernetzte PSA identifizieren, die unter die Meldepflicht fallen.
2. Behördenkontakte: Direkte Kommunikationswege zum nationalen CSIRT – in Deutschland zum BSI – etablieren.
3. Probeläufe: Interne Übungen durchführen, um zu testen, ob technische und rechtliche Teams binnen 24 Stunden eine konforme Warnmeldung erstellen können.

Die Botschaft der Regulierer ist klar: Bis September 2026 muss die Meldeinfrastruktur fehlerfrei funktionieren. In der Arbeitswelt, wo digitales Versagen physischen Schaden bedeutet, ist Compliance keine Formsache mehr. Sie ist ein fundamentaler Bestandteil des Arbeitsschutzes geworden.

PS: Sie müssen dafür nicht zwangsläufig Ihre IT-Abteilung aufstocken. Der kostenlose Leitfaden “Cyber Security Awareness Trends” zeigt praxisnahe Schritte, wie Hersteller vernetzter Sicherheitstechnik Meldeprozesse, Zuständigkeiten für CSIRT‑Kommunikation und Patch‑Workflows effizient aufsetzen — inklusive Checklisten für Probeläufe und Dokumentationspflichten. So reduzieren Sie Haftungsrisiken und schützen Anwender ohne hohe Zusatzkosten. Kostenlosen Cyber-Security-Leitfaden sichern