Cyber Resilience Act: Erste Meldepflicht für Sicherheitslücken ab September

Künstliche Intelligenz, Cybersicherheit und Nachhaltigkeit verändern die Anforderungen an technische Dokumentationen massiv – und das mit teils kurzen Übergangsfristen.

Maschinenverordnung ersetzt alte Richtlinie

Ein Meilenstein steht unmittelbar bevor: Die EU-Maschinenverordnung 2023/1230 löst im Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG ab. Hersteller müssen ihre technischen Unterlagen und Zertifizierungsprozesse grundlegend überarbeiten. Der VDE Verlag hat bereits im Frühjahr die sechste Auflage seines Praxisleitfadens zur CE-Kennzeichnung veröffentlicht – ein 204-seitiges Werk mit aktualisierten Checklisten, das auch die Niederspannungsrichtlinie, die EMV-Richtlinie und das Produktsicherheitsgesetz (ProdSG) berücksichtigt.

Die neuen EU-Vorgaben für KI-Systeme in Maschinen gelten bereits seit August 2024 und stellen Unternehmen vor komplexe Dokumentationspflichten. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Risikoklassen und Fristen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Besonders knifflig wird die Schnittstelle zwischen klassischer Maschinensicherheit und digitaler Innovation. Am 6. Mai einigten sich EU-Rat und Parlament auf den sogenannten Digital Omnibus zu KI. Die Kernbotschaft: Bei Maschinen mit Künstlicher Intelligenz haben branchenspezifische Regeln Vorrang. Die Herstellerhaftung bleibt jedoch bestehen – und zwar nach dem aktuellen Stand von Wissenschaft und Technik.

Eine gute Nachricht gibt es für kleine und mittlere Unternehmen: Am 7. Mai wurden Erleichterungen beschlossen. Firmen mit weniger als 250 Mitarbeitern und unter 50 Millionen Euro Jahresumsatz profitieren von reduzierten Dokumentationspflichten, insbesondere bei generativen KI-Modellen unterhalb bestimmter Rechenleistungsschwellen.

Cyber Resilience Act: Fristen rücken näher

Der Cyber Resilience Act (CRA) ist zwar bereits seit Dezember 2024 in Kraft, doch die ersten großen Meldefristen stehen jetzt bevor. Ab dem 11. September 2026 müssen Hersteller digitaler Produkte aktiv ausgenutzte Sicherheitslücken oder schwerwiegende Vorfälle melden. Ab 2027 wird „Security-by-Design" zur Pflicht: Cybersicherheit muss vom ersten Entwicklungsschritt an mitgedacht werden.

Das ist keine reine IT-Aufgabe mehr. Geschäftsführer haften persönlich bei Verstößen. Zur Unterstützung hat die EU das SECURE-Programm mit 16,5 Millionen Euro aufgelegt – hilfreich, denn die Förderung auf Landesebene liegt teils bei nur rund 1,28 Millionen Euro jährlich. Experten raten: Mindeststandards reichen nicht mehr, der Fokus muss auf dem gesamten Produktlebenszyklus liegen.

Mit den steigenden Anforderungen durch den Cyber Resilience Act rücken auch neue Bedrohungsszenarien für mittelständische Unternehmen in den Fokus. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig die aktuellen gesetzlichen Anforderungen ohne hohes Budget erfüllen. Gratis Cyber-Security-Ratgeber herunterladen

Verpackungen und Verbraucherrechte: Zwei Stichtage im Herbst

Die Dokumentationspflichten greifen zunehmend auf Umwelt- und Verbraucherthemen über. Die EU-Verpackungsverordnung (PPWR) setzt bereits im August 2026 einen ersten Termin: Unternehmen müssen die Konformität ihrer Verpackungsmaterialien nachweisen können. Technologiedienstleister wie NTT DATA Business Solutions erweitern deshalb ihre Softwareplattformen, um die Anforderungen direkt mit SAP-Stücklisten und Materialstämmen zu verknüpfen. Bis 2029 plant die EU zudem ein Pfandsystem für Einweg-Getränkeverpackungen in allen Mitgliedstaaten.

Parallel dazu tritt am 27. September 2026 die Verbraucherrichtlinie „Empowering Consumers for the Green Transition" (EmpCo) in Kraft – ohne Übergangsfrist. In Deutschland wurde sie bereits im Februar 2026 durch die dritte Novelle des Gesetzes gegen den unlauteren Wettbewerb (UWG) umgesetzt. Gewerbliche Verkäufer müssen vor Vertragsabschluss mit standardisierten EU-Labeln über gesetzliche Gewährleistungsrechte und kommerzielle Garantien informieren. Der Handelsverband HDE drängt Unternehmen, ihre Verpackungen bis Juni 2026 anzupassen, um Abmahnungen zu vermeiden.

Innovation trotz Regulierung: Weltneuheit erhält CE-Zertifikat

Dass der Zertifizierungsprozess trotz steigender Hürden funktioniert, zeigt ein aktuelles Beispiel: Am 27. Mai erhielt der Gesundheitskonzern Abbott die CE-Kennzeichnung für die weltweit erste duale Glukose- und Keton-Sensortechnologie. Das Libre Duo-System ermöglicht eine kontinuierliche Überwachung und soll noch 2026 in ausgewählten EU-Ländern eingeführt werden. Zwei Versionen sind zertifiziert: eine für Erwachsene ab 18 Jahren mit 15 Tagen Tragedauer, eine weitere für Kindern ab zwei Jahren mit zehn Tagen Tragedauer.

Dokumentation wird zum strategischen Asset

Die gleichzeitige Verschärfung von KI-Gesetz, Cyber Resilience Act und Verpackungsverordnung verändert die Rolle der technischen Dokumentation grundlegend. Sie ist nicht länger eine lästige Pflicht am Ende der Produktentwicklung, sondern wird zum zentralen Bestandteil des gesamten Prozesses. Die neuen Vorgaben zu „Security-by-Design" und „Sustainability-by-Design" erzwingen, dass die Compliance-Dokumentation bereits am Reißbrett beginnt.

Die Herausforderung für Logistik- und Compliance-Verantwortliche: Mehrere Schlüsselrichtlinien wie die EmpCo-Richtlinie kommen ohne Übergangsfristen. Wer seine Lieferketten und Bestände nicht rechtzeitig anpasst, riskiert den Marktzugang. Digitale Werkzeuge zur Verfolgung von Materialzusammensetzungen und Software-Schwachstellen werden zur Grundvoraussetzung.

Ausblick: Die nächsten 24 Monate werden entscheidend

Nach den ersten Meldepflichten des Cyber Resilience Act im Herbst 2026 und der vollständigen Anwendung der Maschinenverordnung im Januar 2027 rückt ein weiterer Termin in den Fokus: Eigenständige KI-Systeme müssen bis zum 2. Dezember 2027 den neuen KI-Regulierungsrahmen erfüllen.

Die EU treibt ihren digitalen Binnenmarkt mit standardisierten Labeln und digitalen Produktpässen voran – das wird langfristig einige Informationspflichten vereinfachen. Doch die unmittelbare Priorität für Hersteller ist klar: Die internen Dokumentationssysteme müssen mit der rasanten Rechtsentwicklung Schritt halten. Sonst drohen Haftungsrisiken und der Verlust des Marktzugangs.

de | wirtschaft | 69426885 |