{"id":1985,"date":"2026-02-05T13:29:01","date_gmt":"2026-02-05T12:29:01","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1985"},"modified":"2026-02-05T13:29:01","modified_gmt":"2026-02-05T12:29:01","slug":"onekey-cyber-resilience-act-phase-1-meldepflicht-fuer-hersteller-startet-2026","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2026\/02\/05\/onekey-cyber-resilience-act-phase-1-meldepflicht-fuer-hersteller-startet-2026\/","title":{"rendered":"Onekey: Cyber Resilience Act Phase 1 \u2013 Meldepflicht f\u00fcr Hersteller startet 2026"},"content":{"rendered":"<p>Der Cyber Resilience Act (CRA) hat ab 2026 erstmals unmittelbare Auswirkungen, auf die sich die Hersteller digitaler Ger\u00e4te, Maschinen und Anlagen mit Internet\u00adverbindung einstellen m\u00fcssen. Darauf weist das D\u00fcsseldorfer Cybersicherheitsunternehmen <a href=\"https:\/\/onekey.com\/\" target=\"_blank\" rel=\"noopener\">Onekey<\/a> hin, das eine Plattform zur \u00dcberpr\u00fcfung von Ger\u00e4tesoftware (Firmware) auf Sicherheitsm\u00e4ngel und CRA-Compliance betreibt.<\/p>\n<h4>Meldepflicht f\u00fcr Hersteller ab 11. September 2026<\/h4>\n<p>Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht f\u00fcr das laufende Jahr einen f\u00fcr Firmen besonders wichtigen Zeitpunkt vor. Ab 11. September 2026 greifen die \u201eVer\u00adpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheits\u00advorf\u00e4llen\u201c: Hersteller m\u00fcssen Sicherheitsl\u00fccken und sicherheitsrelevante Vorf\u00e4lle melden, sobald sie davon Kenntnis erlangen \u2014 und zwar innerhalb kurzer Fristen. Hierzu baut die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform \u2013 CRA Single Reporting Platform (SRP) \u2013 auf, \u00fcber die k\u00fcnftig alle Meldungen abgegeben werden m\u00fcssen.\u00a0Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformit\u00e4tsnachweis gelten vollst\u00e4ndig ab 11. Dezember 2027. \u201e2026 beginnt die operative Phase des Cyber Resilience Act\u201c, sagt Onekey-Gesch\u00e4ftsf\u00fchrer Jan Wendenburg.<\/p>\n<p>In wenigen Monaten, ab 11. Juni 2026 werden die ersten Konformit\u00e4tsbewertungsstellen (CABs) ihre T\u00e4tigkeit aufnehmen und die Konformit\u00e4t von Produkten vorab pr\u00fcfen. Es handelt sich dabei um zugelassene, unabh\u00e4ngige Pr\u00fcfstellen. Dadurch k\u00f6nnen Hersteller einen externen CRA-Konformit\u00e4tsnachweis erhalten. Warum Eile geboten ist, erkl\u00e4rt Onekey-CEO Jan Wendenburg: \u201eDie betroffenen Hersteller m\u00fcssen bis sp\u00e4testens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB \u00fcberhaupt etwas pr\u00fcfen kann.\u201c F\u00fcr Produkte mit hohem Sicherheitsrisiko (CRA-Klassen \u201ecritical\u201c und \u201ehighly critical\u201c) wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Ger\u00e4te mit gro\u00dfem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformit\u00e4tsbewertung Pflicht.<\/p>\n<p>\u201eF\u00fcr rund 90 Prozent aller vernetzten Produkte gen\u00fcgt allerdings eine Selbsterkl\u00e4rung\u201c, stellt Jan Wendenburg klar. Es handelt sich dabei um eine Erkl\u00e4rung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erf\u00fcllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformit\u00e4tsbewertung beinhalten, wie sie \u00fcber die Onekey-Plattform erreicht werden kann. Ohne eine solche Erkl\u00e4rung d\u00fcrfen diese Produkte nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.<\/p>\n<h4>H\u00f6chste Zeit f\u00fcr die Hersteller<\/h4>\n<p>Jan Wendenburg erkl\u00e4rt: \u201eEs wird h\u00f6chste Zeit f\u00fcr die Hersteller, ihre vernetzten Ger\u00e4te, Maschinen und Anlagen einer CRA-Konformit\u00e4tsbewertung zu unterziehen.\u201c Aus Erfahrungen bei den entsprechenden Tests auf der Onekey-Plattform wei\u00df er: \u201eIn den meisten F\u00e4llen treten L\u00fccken zutage, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu gen\u00fcgen, die auf sie zukommen.\u201c Als Beispiele nennt er: Schwachstellen in externen Programmen von Partnern au\u00dferhalb der EU mit wenig Verst\u00e4ndnis f\u00fcr CRA-Compliance, zugekaufte Komponenten mit unvollst\u00e4ndiger Dokumentation oder Open-Source-Software.<\/p>\n<p>Der Onekey-Gesch\u00e4ftsf\u00fchrer f\u00fchrt aus: \u201eEiner der ersten Schritte besteht darin, f\u00fcr jedes vernetzte Produkt eine l\u00fcckenlose Software-St\u00fcckliste zu erstellen, eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich h\u00e4ufig als schwierig.\u201c Ziel ist es, m\u00f6gliche Software-Schwachstellen, die Hackern als Angriffsfl\u00e4che dienen k\u00f6nnten, zu identifizieren, um sie zeitnah beheben zu k\u00f6nnen. Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abh\u00e4ngigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem \u00dcberblick \u00fcber alle bekannten Schwach\u00adstellen und Sicherheitsl\u00fccken. Diese Anforderungen zu erf\u00fcllen f\u00e4llt vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten nicht die gew\u00fcnschten Informationen in der not\u00adwendigen Vollst\u00e4ndigkeit erhalten. Jan Wendenburg stellt klar: \u201eViele SBOMS sind unvollst\u00e4ndig, veraltet oder ohne Kontext zu Schwachstellen. F\u00fcr die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese l\u00fcckenhaften und teilweise \u00fcberholten Software-St\u00fccklisten unbrauchbar.\u201c<\/p>\n<h4>Gro\u00dfteil des Aufwands l\u00e4sst sich automatisieren<\/h4>\n<p>Indes gehen die CRA-Auflagen weit \u00fcber die blo\u00dfe Bereitstellung einer korrekten SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits w\u00e4hrend der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu geh\u00f6ren sichere Software- und Hardware\u00addesigns, klare Vorgaben zur Schwachstellenbehandlung, die Einf\u00fchrung eines durchg\u00e4ngigen Risikomanagements sowie verpflichtende Sicherheitsupdates \u00fcber definierte Produktlebenszyklen hinweg. \u201eAlle diese Ma\u00dfnahmen m\u00fcssen nicht nur durchgef\u00fchrt, sondern auch bewertet, dokumentiert und nachgewiesen werden\u201c, umrei\u00dft Jan Wendenburg den Aufwand.<\/p>\n<p>Er res\u00fcmiert: \u201eDie bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein f\u00fcr die digitale Sicherheit in Europa dar, aber sie f\u00fchrt auch f\u00fcr die Hersteller zu einem Aufwand erheblichen Ausma\u00dfes.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Cyber Resilience Act (CRA) hat ab 2026 erstmals unmittelbare Auswirkungen, auf die sich die Hersteller digitaler Ger\u00e4te, Maschinen und Anlagen mit Internet\u00adverbindung einstellen m\u00fcssen. Darauf weist das D\u00fcsseldorfer Cybersicherheitsunternehmen Onekey hin, das eine Plattform zur \u00dcberpr\u00fcfung von Ger\u00e4tesoftware (Firmware) auf Sicherheitsm\u00e4ngel und CRA-Compliance betreibt. Meldepflicht f\u00fcr Hersteller ab 11. September 2026 Der am 10. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5,10],"tags":[],"class_list":["post-1985","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-networks","category-recht-gesetz"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1985","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1985"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1985\/revisions"}],"predecessor-version":[{"id":1986,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1985\/revisions\/1986"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1985"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1985"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1985"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}