CRA-Meldepflicht ab September: Hersteller müssen Schwachstellen melden
17.06.2026 - 17:40:06 | boerse-global.de
Der TÜV SÜD stellte am 16. Juni die EU-Baumusterprüfbescheinigung aus.
Damit erhalten Maschinenhersteller und Integratoren frühzeitig Planungssicherheit. Die Verordnung 2023/1230 wird erst ab dem 20. Januar 2027 verbindlich. Die Steuerung übernimmt zentrale Sicherheitsfunktionen wie die Überwachung von Not-Halt-Einrichtungen und Schutztüren sowie das sichere Abschalten von Sicherheitsventilen.
Lockout-Tagout jetzt europaweit genormt
Anzeige: Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden – sonst drohen Strafen bis zu 35 Millionen Euro. Unser Report liefert die Checkliste für CRA-Meldepflichten und den NIS-2-Umsetzungsplan. Jetzt kostenlosen CRA-Report anfordern
Parallel zur Zertifizierung trat am selben Tag die DIN EN 17975 in Kraft. Der neue Standard regelt Lockout-Tagout-Verfahren (LOTO) für die sichere Energietrennung bei Wartungsarbeiten – für elektrische, mechanische, hydraulische und thermische Systeme.
Die Pflicht zur eigenständigen Risikobeurteilung für spezifische Anlagen bleibt davon unberührt. Experten raten Unternehmen, die Integration neuer Sicherheitskomponenten jetzt anzugehen, da Vorlaufzeiten von mehreren Monaten üblich sind.
CRA-Meldepflichten starten im September
Die industrielle Sicherheitslandschaft wird komplexer. Neben der Maschinenverordnung rücken der Cyber Resilience Act (CRA) und die NIS-2-Richtlinie in den Fokus.
Ab dem 11. September 2026 greifen erste Meldepflichten für aktiv ausgenutzte Schwachstellen. Hersteller müssen Sicherheitsvorfälle innerhalb von 24 Stunden vorläufig und innerhalb von 72 Stunden vollständig melden. Ab dem 11. Dezember 2027 werden die vollständigen CRA-Anforderungen an vernetzte Produkte wirksam: Schwache Passwörter und fest codierte Anmeldedaten sind dann tabu, jedes Gerät braucht eine eigene kryptografische Identität.
Die Strafen sind happig: Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Branchenkenner betonen, dass Hardware-Designzyklen von 18 bis 24 Monaten eine sofortige Auseinandersetzung mit diesen Vorgaben erzwingen.
NIS-2: Nur jedes siebte Unternehmen ist bereit
Eine Umfrage von Mitte Juni zeigt: Gerade einmal 14,3 Prozent der befragten Unternehmen in Deutschland haben die NIS-2-Vorgaben vollständig umgesetzt. Die Richtlinie verlangt, dass betroffene Firmen innerhalb eines Monats Ansprechpartner benennen und nach spätestens zehn Monaten umfassende Schutzmaßnahmen implementiert haben.
Die Haftung für Versäumnisse trifft zunehmend den Vorstand persönlich. Besonders veraltete Zutrittssysteme gelten unter den neuen Regeln als Sicherheitsrisiko. Seit Anfang 2026 sind zudem neue Zertifizierungspflichten für kritische Komponenten in Kraft, etwa die verpflichtende BSI-NESAS-Zertifizierung für 5G-Kernnetzkomponenten.
Anzeige: Nur 14,3% der Unternehmen sind NIS-2-ready. Dabei haftet der Vorstand persönlich für Versäumnisse. Unser Report zeigt in 5 Schritten, wie Sie Ihre Sicherheitskomponenten EU-konform machen – von der Risikobeurteilung bis zur Zertifizierung. NIS-2-Umsetzungsplan jetzt sichern
AI Act und neue DGUV-Regeln kommen
Ab dem 2. August 2026 beginnt eine weitere Compliance-Phase unter dem EU AI Act. Unternehmen mit Hochrisiko-KI-Systemen in der Produktion müssen dann eine vollständige Inventur ihrer KI-Anwendungen vorlegen und entsprechende Governance-Frameworks aufbauen.
Auch organisatorisch hat sich etwas getan: Seit dem 1. Januar 2026 gilt eine reformierte DGUV Vorschrift 2. Die Schwellenwerte für die Regelbetreuung wurden von 10 auf 20 Beschäftigte angehoben. Zudem ist die digitale Fernbetreuung für Fachkräfte für Arbeitssicherheit jetzt rechtlich verankert.
