Der 11. September 2026 klingt für viele Mittelständler noch nach „später“. Operativ ist das gefährlich kurz gedacht. Denn ab diesem Datum greifen beim Cyber Resilience Act die ersten harten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
Wichtig ist vor allem eins: Der CRA kennt bei Produkten mit digitalen Elementen keine beruhigende KMU-Ausnahme. Wer Software, vernetzte Hardware oder digitale Komponenten in der EU vertreibt, braucht nicht irgendwann eine Reaktion auf Vorfälle – sondern bald eine funktionierende Meldekette.
Die Frist, die Sie Ihrer Geschäftsleitung jetzt an die Wand hängen sollten
- 24 Stunden: Erstmeldung nach Bekanntwerden eines relevanten Vorfalls oder einer aktiv ausgenutzten Schwachstelle.
- 72 Stunden: Folgemeldung mit mehr Kontext, Einordnung und betroffenen Komponenten.
- 14 Tage: Abschlussbericht, sobald eine Abhilfemassnahme verfügbar ist.
Diese 24-72-14-Logik ist kein Detail für die Rechtsabteilung. Sie ist ein Betriebsprozess. Wer ihn erst im Ernstfall zusammensucht, verpasst ihn mit hoher Wahrscheinlichkeit.
Was Mittelständler im Mai entscheiden sollten
1. Wer löst intern den Alarm aus?
In vielen KMU ist genau das unklar. Security entdeckt etwas, Support hört zuerst von Kunden, DevOps sieht ungewöhnliche Logs, Produktmanagement kennt die betroffene Version. Wenn keiner die formale Kette startet, verstreicht die kritischste Zeit im Abstimmen.
Deshalb braucht es jetzt einen einfachen Trigger: Welche Person darf den CRA-Fall offiziell eröffnen? Nicht diskutieren, benennen.
2. Welche Produktliste ist im Ernstfall massgeblich?
Ohne saubere Zuordnung wird jede Meldung hektisch. Betroffen sind nicht nur klassische Gerätehersteller, sondern auch SaaS-Anbieter, Embedded-Teams, Maschinenbauer mit digitaler Komponente und Anbieter von Softwaremodulen. Die Minimalversion für Mai ist keine Perfektion, sondern eine belastbare Liste:
- Produkt oder Produktfamilie,
- verantwortliche Owner,
- wesentliche Drittkomponenten,
- kritische Kundensegmente und Regionen.
3. Welche Fakten müssen nach 24 Stunden verfügbar sein?
Die falsche Erwartung ist Vollständigkeit. Die richtige Erwartung ist Handlungsfähigkeit. Entscheider sollten deshalb ein Minimalpaket festlegen, das im ersten Tag realistisch beschaffbar ist:
- Was ist passiert?
- Welche Version oder Komponente ist betroffen?
- Gibt es Hinweise auf aktive Ausnutzung?
- Welche Sofortmassnahmen laufen bereits?
- Wer kommuniziert intern und extern?
Die zwei unterschätzten Baustellen
SBOM und Drittkomponenten
Spätestens bei der Folgemeldung wird es ohne Transparenz in der Lieferkette unerquicklich. Wer seine Open-Source- und Drittkomponenten nur ungefähr kennt, verliert Stunden mit Recherche statt mit Reaktion. Eine brauchbare SBOM ist deshalb keine Formalie, sondern ein Beschleuniger.
Kommunikation zwischen Technik und Geschäftsleitung
Viele Vorfälle eskalieren nicht technisch, sondern organisatorisch. Die Technik spricht in CVEs und Logs, die Geschäftsleitung braucht Auswirkungen, Optionen und Entscheidungen. Wer diese Übersetzung nicht vorbereitet, erzeugt im Krisenmoment entweder Panik oder Verzögerung.
Ein brauchbarer 30-Tage-Plan für Produkt-KMU
- Ein 60-Minuten-Workshop mit Produkt, Security, Support und Geschäftsleitung.
- Eine Produkt- und Komponentenliste in arbeitsfähiger Form.
- Ein Einseiter für die 24-72-14-Meldekette mit Verantwortlichen und Ersatzpersonen.
- Ein Testlauf an einem fiktiven Vorfall, bevor der echte kommt.
Genau das ist der Punkt: CRA-Readiness entsteht nicht durch einen grossen Ordner. Sie entsteht durch eine Meldekette, die auch an einem hektischen Dienstagmorgen funktioniert.
Wenn Sie heute entscheiden müssen, wo Sie anfangen: nicht beim perfekten Compliance-Dokument. Fangen Sie bei der ersten 24-Stunden-Frage an. Alles andere baut darauf auf.
Das könnte dich auch interessieren
💬 Hat dir dieser Artikel geholfen?
Sag uns, was dir gefehlt hat oder was du gerne tiefer erklärt hättest.
✉️ Feedback senden