Cyber Resilience Act: 24-Stunden-Meldepflicht ab September 2026
24.06.2026 - 00:54:12 | boerse-global.de
Am 23. Juni 2026 veröffentlichte die EU-Kommission einen detaillierten FAQ-Leitfaden zum Digitalen Produktpass (DPP) – einem Werkzeug, das künftig jedes Produkt mit einer durchgängigen digitalen Identität versieht. Für Hersteller bedeutet das: Eine Welle neuer Fristen rollt heran.
Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der Risikobewertung und Dokumentation. Dieser kostenlose Download verschafft Ihnen den Überblick, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Neue Haftungsregeln fĂĽr Software und Updates
Die überarbeitete EU-Produkthaftungsrichtlinie tritt am 9. Dezember 2026 in Kraft. Neu ist: Auch Software-Updates und die nachträgliche Kontrolle von Geräten fallen unter die Produkthaftung. Ein Produkt gilt als fehlerhaft, wenn es Cybersicherheitsanforderungen nicht erfüllt. Betroffen sind vor allem Internet-of-Things-Geräte (IoT) – vom smarten Türschloss bis zur vernetzten Waschmaschine.
In Deutschland liegt bereits ein Gesetzesentwurf vor, der diese Update-Pflichten unterstreicht. Die Bundesregierung stellt sich damit auf die strengeren EU-Vorgaben ein. Dass der Handlungsbedarf real ist, zeigen aktuelle Gerichtsfälle: Eine Bezirkskommission ordnete kürzlich die Rückerstattung von umgerechnet rund 195.600 Euro für einen Elektroauto-Besitzer an – Grund waren wiederholte Ausfälle der Fahrerassistenzsysteme.
Digitaler Produktpass: Was Hersteller wissen mĂĽssen
Der Digitale Produktpass arbeitet nach einem Hybridmodell: Ein zentrales EU-Register speichert Identifikatoren und Verweise, die eigentlichen Daten bleiben dezentral. Die Kommission stellt klar: Maschinenlesbare Informationen sind Pflicht. Importwaren benötigen den Pass bereits bei der Zollabfertigung. Auch außereuropäische Online-Marktplätze müssen für ihre EU-Kunden sichtbare DPP-Links anzeigen.
Verbraucher erhalten ein direktes Klagerecht, wenn der Produktpass fehlt oder fehlerhaft ist. Die ersten Compliance-Fristen für das Pass-System beginnen 2027. Parallel dazu läuft die Verordnung über Verpackungen und Verpackungsabfälle (PPWR) an – ihre allgemeine Anwendbarkeit startet am 12. August 2026.
Cyber Resilience Act: Erste Meldefrist im September
Für Hersteller vernetzter Produkte wird es ernst: Am 11. September 2026 tritt Artikel 14 des Cyber Resilience Act (CRA) in Kraft. Unternehmen müssen dann aktiv ausgenutzte Sicherheitslücken oder schwerwiegende Vorfälle innerhalb von 24 Stunden melden. Eine detaillierte Meldung folgt nach 72 Stunden, der Abschlussbericht ist binnen 14 Tagen fällig.
Die vollständigen CRA-Anforderungen – inklusive einer Software-Stückliste (SBOM) und kontinuierlichem Schwachstellen-Monitoring – gelten ab dem 11. Dezember 2027. Die Strafen sind empfindlich: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen. Und die Regeln gelten rückwirkend – auch für bereits ausgelieferte Produkte.
KI-Gesetz: Fristen verschoben – aber nicht alle
Der Zeitplan für das EU-KI-Gesetz wurde kürzlich angepasst. Am 16. Juni 2026 stimmte das Europäische Parlament für eine Verschiebung mehrerer Hochrisiko-Pflichten. Für eigenständige Hochrisiko-KI-Systeme gilt nun der 2. Dezember 2027 als Stichtag. KI in regulierten Produkten wie Medizingeräten oder Maschinen hat bis zum 2. August 2028 Zeit.
Unverändert bleibt dagegen der 2. August 2026 für Transparenzpflichten nach Artikel 50: Chatbots, Deepfakes und KI-generierte Inhalte müssen dann klar gekennzeichnet werden. Ein Verbot von nicht-einvernehmlichen KI-generierten intimen Bildern und Missbrauchsdarstellungen tritt am 2. Dezember 2026 in Kraft.
Die EU-KI-Verordnung stellt neue Regeln auf, die viele Verantwortliche in der Praxis noch nicht kennen. Dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Kostenlosen Umsetzungsleitfaden zum EU AI Act anfordern
Reparaturrecht: Neue Pflichten fĂĽr Hersteller
Die EU-Richtlinie zum Recht auf Reparatur muss bis zum 31. Juli 2026 in nationales Recht umgesetzt werden. Hersteller von Smartphones, Waschmaschinen und ähnlichen Produkten sind dann verpflichtet, Reparaturen auch nach Ablauf der Garantie anzubieten. Wird ein Gerät während der Garantiezeit repariert, verlängert sich die Garantie um ein Jahr.
Milliardenmarkt Cybersicherheit
Die Regulierungswelle treibt die Investitionen in Sicherheitstechnologien massiv an. Auf der Konferenz INTERSCT26 am 24. Juni 2026 an der Technischen Universität Eindhoven diskutierten Experten genau diese Entwicklung. Laut aktuellen Berichten der EU-Cybersicherheitsagentur ENISA nennen 70 Prozent der Organisationen den CRA, NIS2 und DORA als Haupttreiber ihrer Sicherheitsausgaben.
Während Branchen wie Luftfahrt und Finanzmärkte bereits hohe Reifegrade erreicht haben, bleiben Gesundheitswesen und öffentliche Verwaltung Risikozonen. Der Markt für Industrie- und IoT-Sicherheit wächst rasant. Allein für Großbritannien prognostizieren Analysten ein jährliches Wachstum von 4,35 Prozent – bis 2034 könnte der Markt umgerechnet rund 47 Milliarden Euro erreichen. Auch Übernahmen prägen die Landschaft: Accenture plant den milliardenschweren Kauf mehrerer Industrie-Cybersicherheitsfirmen, der Abschluss wird für Spätsommer 2026 erwartet.
