Während der Cloud and AI Development Act die Schlagzeilen machte, tickt eine zweite europäische Uhr — und die ist bereits scharf gestellt. Ab dem 11. September 2026 gelten die Meldepflichten aus Artikel 14 des Cyber Resilience Act (CRA). Anders als CADA, das noch ein Vorschlag ist, ist der CRA bereits geltendes Recht. Diese Frist ist verbindlich.
Was die Meldepflicht beinhaltet
Sobald eine Organisation Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall erlangt, gilt eine gestaffelte Frist: eine Frühwarnung binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden und ein Abschlussbericht binnen 14 Tagen, nachdem eine Korrekturmaßnahme verfügbar ist. Die Meldungen laufen über die Single Reporting Platform, die von der EU-Agentur für Cybersicherheit (ENISA) betrieben wird.
Zusammen mit NIS2: ein 24-Stunden-Mandat
Der CRA steht nicht für sich allein. Für wesentliche und wichtige Einrichtungen — Gesundheit, Energie, öffentliche Verwaltung, kritische Infrastruktur — gilt unter NIS2 bereits eine Frühwarnpflicht binnen 24 Stunden. Zusammen bilden sie, was in der Praxis ein 24-Stunden-Cyber-Mandat genannt wird: regulierte Organisationen müssen sehr kurzfristig wissen, was sie betreiben, welche Komponenten ausnutzbar sind, und dies melden.
Man kann nur melden, was man sehen kann
Der Kern der Herausforderung ist Sichtbarkeit. Die meisten Organisationen kennen ihre Softwareliste, aber nicht die Abhängigkeiten, die tief in dieser Software vergraben liegen — die verwundbare Bibliothek innerhalb einer Anwendung, der Log4Shell-Typ, den Standardinventarisierungen übersehen. Ohne eine aktuelle Software Bill of Materials (SBOM) und Transparenz darüber, welche Schwachstellen tatsächlich ausgenutzt werden, ist eine Meldung binnen 24 Stunden eher eine Hoffnung als ein Prozess.
„Souveränität geht nicht nur darum, wo die Daten liegen, sondern auch darum, ob man seine Lieferkette belegen kann — nachweisbar und rechtzeitig.“
Der souveräne Blickwinkel
Für Sovereign AI-Grid fügt sich dies nahtlos in das größere Bild: europäische, unabhängige und nachweisbar beherrschbare Infrastruktur. Wo CADA die Compute-Seite der Souveränität mit einem Maßstab versieht, gibt der CRA der Cyber-Seite eine harte, geprüfte Frist. Für regulierte Sektoren ist das kein „Nice to have", sondern die Eintrittsschwelle — und die Arbeit beginnt jetzt, nicht im September.
Der CRA ist in der Verordnung (EU) 2024/2847 festgelegt; die Meldepflichten gelten für Produkte mit digitalen Elementen, die auf dem europäischen Markt bereitgestellt werden. Der vollständige Text und die Erläuterungen finden sich auf Shaping Europe's digital future.
Compliance-by-Design für regulierte Sektoren
Sehen Sie, wie Sovereign AI-Grid dem Gesundheitswesen und anderen kritischen Sektoren hilft, Souveränität und Nachweisbarkeit zu verbinden.
Lösungen für das Gesundheitswesen →