Cyberresilienz-Verordnung: 24h, ENISA SRP, Sept. 2026

Die Cyberresilienz-Verordnung (Cyber Resilience Act, Verordnung (EU) 2024/2847) macht die Meldung von Schwachstellen und Sicherheitsvorfällen zur verbindlichen, fristgebundenen Pflicht für Hersteller. Ab dem 11. September 2026 verpflichtet Artikel 14 des CRA Sie dazu, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle binnen 24 Stunden zu melden, gefolgt von einer 72-Stunden-Meldung, einem 14-Tage-Abschlussbericht für Schwachstellen (ab Verfügbarkeit einer Korrektur- oder Risikominderungsmaßnahme) sowie einem Abschlussbericht innerhalb eines Monats für schwerwiegende Vorfälle. Der Meldekanal ist die ENISA Single Reporting Platform (SRP), die voraussichtlich bis zum 11. September 2026 betriebsbereit sein wird und Ihre Einreichung gleichzeitig an den zuständigen Koordinator-CSIRT und an ENISA weiterleitet. Versäumen Sie die Frist, gelten die Bußgeldregelungen nach Artikel 64 der Cyberresilienz-Verordnung: bis zu 15.000.000 EUR oder 2,5 % des weltweiten Jahresumsatzes (Art. 64).

Was ist die ENISA SRP nach der Cyberresilienz-Verordnung?

Der CRA brauchte einen einheitlichen Kanal, weil Artikel 14 Absatz 1 von Herstellern verlangt, "gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA" zu melden. Ohne die SRP hätte das in der Praxis bedeutet, denselben Bericht bei mehreren nationalen CSIRTs einzureichen. Artikel 16 löst diese Spannung: ENISA richtet die Plattform ein und betreibt sie; "der laufende Betrieb dieser einheitlichen Meldeplattform wird von der ENISA verwaltet und aufrechterhalten" (Art. 16 Absatz 1).

Die Architektur ist klar. Sie melden einmal über die SRP, unter Verwendung des elektronischen Endpunkts Ihres Koordinator-CSIRT. Sowohl der CSIRT als auch ENISA erhalten die Meldung gleichzeitig. Nach Artikel 16 ist der Koordinator-CSIRT dann dafür zuständig, die Meldung an die CSIRTs der übrigen Mitgliedstaaten weiterzuleiten, in denen Ihr Produkt auf dem Markt bereitgestellt wird. Die Weiterleitung liegt in der Verantwortung des CSIRT, nicht in Ihrer.

Es ist vorgesehen, dass die Plattform bis zum 11. September 2026 betriebsbereit ist (gemäß ENISA-SRP-FAQ). Vor diesem Datum ist eine Testphase geplant; konkrete Testdaten wurden noch nicht veröffentlicht. ENISA hat die Umsetzung im Rahmen von ENISA/2025/OP/0001 (4-Jahres-Vertrag) ausgeschrieben, die Ausschreibung schloss im März 2025. Der Anbieter wurde nicht öffentlich bekannt gegeben. Eine Registrierungs-URL wurde nicht veröffentlicht. Verfolgen Sie die Entwicklung auf der ENISA-SRP-Seite.

Was löst eine CRA-Meldepflicht aus?

Die Cyberresilienz-Verordnung definiert zwei Kategorien, die eine Meldepflicht auslösen:

1. Aktiv ausgenutzte Schwachstellen

Eine Schwachstelle in Ihrem Produkt, die:

• Ihnen bekannt ist (intern entdeckt oder extern gemeldet)
• Von einem böswilligen Akteur ausgenutzt wurde
• Nutzer Ihres Produkts betrifft oder betreffen könnte

2. Schwerwiegende Vorfälle

Sicherheitsvorfälle, die:

• Die Sicherheit Ihres Produkts beeinträchtigen
• Ihre Entwicklungsumgebung auf eine Weise kompromittieren, die die Produktsicherheit betrifft
• Erhebliche Dienstunterbrechungen für Nutzer verursachen
• Zu einer weitreichenden Kompromittierung führen

Beide Kategorien lösen dieselbe Frühwarnpflicht aus, haben aber unterschiedliche Zeitfenster für den Abschlussbericht.

Was bedeutet "aktiv ausgenutzt" im Sinne des CRA?

Der CRA definiert eine aktiv ausgenutzte Schwachstelle als eine, bei der "ein böswilliger Akteur einen Fehler ausnutzt".

Dies ist nicht dasselbe wie:

• Eine öffentlich bekannt gegebene Schwachstelle
• Ein veröffentlichter Proof-of-Concept
• Ein Forscher, der Ausnutzbarkeit demonstriert

Es bedeutet tatsächliche böswillige Nutzung.

Meldepflichtige vs. nicht meldepflichtige Szenarien

Der Standard der "begründeten Annahme"

Sie benötigen keinen forensischen Beweis der Ausnutzung. Der Standard ist eine begründete Annahme auf Grundlage verfügbarer Beweise:

• Ungewöhnliche Zugriffsmuster, die mit bekannten Exploit-Techniken übereinstimmen
• Kundenmeldungen über Kompromittierung
• Threat Intelligence, die darauf hinweist, dass Ihr Produkt Ziel ist
• Erkennung von Exploit-Code, der für Ihr Produkt entwickelt wurde

Bei Unsicherheit: Melden Sie lieber zu früh. Eine verfrühte Frühwarnung, die sich als unbegründet erweist, ist weit besser als eine verpasste Frist bei tatsächlicher Ausnutzung.

Meldefristen

Sowohl Schwachstellen als auch Vorfälle folgen einem gestuften Meldemodell:

Zeitrahmen für aktiv ausgenutzte Schwachstellen

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → PATCH VERFÜGBAR → 14 TAGE
    |            |              |               |              |
    |            |              |               |              \-- Abschlussbericht
    |            |              |               \-- Uhr startet neu
    |            |              \-- Detaillierte Meldung
    |            \-- Frühwarnung
    \-- Uhr startet

Zeitrahmen für schwerwiegende Vorfälle

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → 1 MONAT
    |            |              |           |
    |            |              |           \-- Abschlussbericht
    |            |              \-- Vorfallsmeldung
    |            \-- Frühwarnung
    \-- Uhr startet

Bei schwerwiegenden Vorfällen läuft die Monatsfrist ab der 72-Stunden-Vorfallsmeldung, nicht ab der Entdeckung (Art. 14 Absatz 4 Buchstabe c).

Was jeder Bericht enthält

Frühwarnung (24 Stunden)

Mindestinformationen zur Benachrichtigung der Behörden:

• Ihre Identität (Hersteller)
• Identifikation des betroffenen Produkts oder der betroffenen Produkte
• Kurze Beschreibung der Schwachstelle oder des Vorfalls
• Erste Schweregradbewertung
• Ob Ausnutzung bestätigt oder vermutet wird
• Angabe des potenziellen Ausmaßes

Dies ist keine vollständige Analyse. Es ist eine Warnung, dass etwas Ernstes passiert.

Detaillierte Meldung (72 Stunden)

Bei 72 Stunden gelten zwei separate Pflichten. Die 72-Stunden-Schwachstellenmeldung (Art. 14 Absatz 2 Buchstabe b) betrifft aktiv ausgenutzte Schwachstellen; die 72-Stunden-Vorfallsmeldung (Art. 14 Absatz 4 Buchstabe b) betrifft schwerwiegende Vorfälle. Nach der ersten Erwähnung deckt "detaillierte Meldung" beide ab. Erweiterte Informationen zur Bewertung:

• Technische Details der Schwachstelle
• Betroffene Versionen und Konfigurationen
• Ausnutzungsmethode (falls bekannt)
• Aktueller Mitigationsstatus
• Geschätzter Zeitrahmen für die Behebung
• Bekannte betroffene Nutzer und Umfang
• Koordination mit anderen Parteien (andere Anbieter, CSIRTs)

Abschlussbericht (14 Tage für Schwachstellen / ein Monat für Vorfälle)

Für aktiv ausgenutzte Schwachstellen beginnt die 14-Tage-Frist "spätestens 14 Tage nach Verfügbarkeit einer Korrektur- oder Risikominderungsmaßnahme" (Art. 14 Absatz 2 Buchstabe c), nicht ab der Entdeckung oder der 72-Stunden-Meldung. Vollständige Analyse nach der Behebung:

• Ursachenanalyse
• Vollständige technische Beschreibung
• Durchgeführte Behebungsmaßnahmen
• Gelernte Lektionen
• Umgesetzte Präventionsmaßnahmen
• Auswirkungsbewertung (bestätigte betroffene Nutzer, Datengefährdung usw.)

Rechtliche Grundlage: Artikel 14, 16 und 64

Artikel 14: Die Meldepflicht

Artikel 14 begründet die Meldepflicht und den Zeitrahmen für alle Hersteller von Produkten mit digitalen Elementen. Er lautet auszugsweise: "Der Hersteller meldet jede aktiv ausgenutzte Schwachstelle in dem Produkt mit digitalen Elementen, von der er Kenntnis erlangt hat, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA." (Art. 14 Absatz 1).

Artikel 14 Absatz 7 regelt die Weiterleitung. Sie melden über den elektronischen Endpunkt des CSIRT des Mitgliedstaats, in dem Ihre Organisation ihren Hauptsitz hat. Hauptsitz bedeutet: dort, wo Entscheidungen über die Cybersicherheit des Produkts überwiegend getroffen werden. Für Hersteller außerhalb der EU gilt die Kaskade: Mitgliedstaat des Bevollmächtigten, dann des Einführers, dann des Händlers, dann das Land mit der größten Nutzerkonzentration.

Artikel 16: Das Plattformmandat

Artikel 16 Absatz 1 verpflichtet ENISA, die SRP einzurichten und den laufenden Betrieb zu verwalten. Mitgliedstaaten können außerdem nationale Endpunkte einrichten, die mit der SRP verbunden sind (Art. 16 Absatz 1). Nach Artikel 16 Absatz 2 dürfen CSIRTs die Weiterleitung von Meldungen an andere Mitgliedstaaten in besonders außergewöhnlichen Umständen verzögern, um laufende Sicherheitsoperationen zu schützen; dieses Recht liegt beim CSIRT, nicht beim Hersteller. Artikel 16 Absatz 5 verpflichtet ENISA und das CSIRTs-Netzwerk, die technischen Spezifikationen der SRP gemeinsam zu entwickeln. Artikel 16 Absatz 6 behandelt das Zusammenspiel mit der koordinierten Schwachstellenoffenlegung: Bei einer Schwachstelle, die gerade koordiniert offengelegt wird, kann die Weiterleitung mit Zustimmung des Herstellers verzögert werden.

Wo melden Sie eine Schwachstelle nach Artikel 14?

ENISA Single Reporting Platform (SRP)

Die SRP ist aktuell (April 2026) nicht in Betrieb. Es ist vorgesehen, dass die Plattform bis zum 11. September 2026 betriebsbereit ist (gemäß ENISA-FAQ). Eine Testphase ist vor diesem Datum geplant; konkrete Testdaten wurden noch nicht veröffentlicht. Eine Registrierungs-URL wurde nicht veröffentlicht. Verfolgen Sie die Entwicklung auf der ENISA-SRP-Seite.

Was feststeht:

• Webbasierte Plattform für Einreichungen
• Standardisierte Meldeformulare
• Die Einreichung über die ENISA SRP gelangt gleichzeitig an den zuständigen Koordinator-CSIRT und an ENISA (Art. 14 Absatz 1)

Was Hersteller jetzt tun können:

• Berichtsvorlagen anhand der folgenden Struktur vorbereiten
• Koordinierendes CSIRT identifizieren (siehe unten)
• Interne Eskalationspfade und autorisierte Melder festlegen

Nationale CSIRTs

Nach Artikel 14 Absatz 7 der Verordnung (EU) 2024/2847 melden Sie einmal über die SRP beim CSIRT des Mitgliedstaats, in dem Ihre Organisation ihren Hauptsitz hat. Hauptsitz bedeutet: dort, wo Entscheidungen über die Cybersicherheit des Produkts überwiegend getroffen werden.

Sind Sie außerhalb der EU ansässig, ist das zuständige CSIRT das Ihres EU-Bevollmächtigten. Haben Sie keinen Bevollmächtigten, gilt die Kaskade: Einführer, dann Händler, dann das Land mit der größten Nutzerkonzentration.

Sie müssen nicht jeden CSIRT in jedem Land benachrichtigen, in dem Ihr Produkt verkauft wird. Nach Artikel 16 leitet ENISA die Meldung an die CSIRTs der Marktländer weiter, nachdem Sie eingereicht haben. Dieser Schritt liegt nicht in Ihrer Verantwortung.

Für Produkte in mehreren Mitgliedstaaten

Eine einzige Einreichung bei der SRP deckt Ihre Meldepflicht ab. Sie können Nachfragen von mehreren nationalen Behörden erhalten, aber es gibt nur einen Einreichungsweg.

Vorbereitung auf die Meldepflicht nach Artikel 14

Warten Sie nicht bis September 2026. Bauen Sie Ihre Prozesse jetzt auf.

1. Schwachstellen-Eingangskanäle

Richten Sie klare Wege für Schwachstellenmeldungen ein:

security.txt-Datei:

# https://ihrprodukt.com/.well-known/security.txt
Contact: mailto:security@ihrefirma.de
Contact: https://ihrefirma.de/security/melden
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihrefirma.de/.well-known/security.txt
Policy: https://ihrefirma.de/security/richtlinie

Webformular für strukturierte Meldungen

Dedizierte E-Mail mit 24/7-Überwachung (oder mit klarem SLA)

2. Interner Triage-Prozess

Legen Sie fest, wie Meldungen bewertet werden:

SCHWACHSTELLEN-EINGANGS-TRIAGE

1. Erster Eingang (< 4 Stunden)
   - Eingangsbestätigung
   - Zuweisung an Sicherheitsteam-Mitglied
   - Erste Gültigkeitsprüfung

2. Technische Triage (< 24 Stunden)
   - Bestätigung, dass Schwachstelle existiert
   - Ermittlung betroffener Versionen
   - Bewertung der Ausnutzbarkeit
   - Prüfung auf Hinweise aktiver Ausnutzung

3. Schweregradbewertung (< 24 Stunden)
   - CVSS-Scoring (oder Äquivalent)
   - Geschäftsauswirkungsbewertung
   - Ausnutzungswahrscheinlichkeit

4. Meldeentscheidung (sofort bei bestätigter Ausnutzung)
   - Erfordert dies eine ENISA-Meldung?
   - Wenn ja, 24-Stunden-Uhr starten

3. Eskalationspfade

Legen Sie fest, wer externe Meldungen auslösen kann:

Kernprinzip: Die Person, die potenzielle Ausnutzung entdeckt, muss sofort eskalieren können, rund um die Uhr.

4. Außerdienstliche Abdeckung

Die 24-Stunden-Uhr pausiert nicht für Wochenenden oder Feiertage.

Optionen:

• Bereitschaftsrotation für das Sicherheitsteam
• Überwachungsdienst mit Eskalationsbefugnis
• Klare Kontaktkette außerhalb der Geschäftszeiten
• Vorab autorisierte Melder, die Frühwarnungen einreichen können

5. Berichtsvorlagen

Bereiten Sie Vorlagen vor, bevor Sie sie brauchen:

Frühwarnungs-Vorlage:

ENISA CRA FRÜHWARNUNG

Hersteller: [Firmenname]
Meldedatum: [Datum/Uhrzeit UTC]
Meldetyp: [ ] Aktiv ausgenutzte Schwachstelle [ ] Schwerwiegender Vorfall

BETROFFENE(S) PRODUKT(E):
- Produktname:
- Version(en):
- Produktkategorie:

SCHWACHSTELLEN-/VORFALLSZUSAMMENFASSUNG:
[Kurze Beschreibung - 2-3 Sätze]

AUSNUTZUNGSSTATUS:
[ ] Bestätigte Ausnutzung
[ ] Vermutete Ausnutzung
Beweise: [Kurze Beschreibung der Beweise]

ERSTE SCHWEREGRADBEWERTUNG:
[ ] Kritisch [ ] Hoch [ ] Mittel [ ] Niedrig
Grundlage: [CVSS-Score oder andere Begründung]

POTENZIELLES AUSMASS:
- Geschätzte betroffene Nutzer:
- Geografischer Umfang:
- Gefährdete Daten:

AKTUELLER STATUS:
[ ] In Untersuchung
[ ] Mitigation in Arbeit
[ ] Patch in Entwicklung

KONTAKT FÜR RÜCKFRAGEN:
Name:
E-Mail:
Telefon:

Dies ist eine Frühwarnung. Detaillierte Meldung folgt innerhalb von 72 Stunden.

6. Prozess testen

Führen Sie Planspiele vor September 2026 durch:

Szenario 1: Freitag 17 Uhr. Sicherheitsforscher meldet kritische Schwachstelle mit PoC.

• Wie schnell können Sie das Ausnutzungsrisiko bewerten?
• Wer trifft die Meldeentscheidung am Wochenende?

Szenario 2: Kunde meldet verdächtige Aktivität, die darauf hindeutet, dass Ihr Produkt Eintrittspunkt war.

• Wie sammeln Sie Beweise zur Bestätigung oder Widerlegung der Ausnutzung?
• Was ist Ihre Schwelle für "begründete Annahme"?

Szenario 3: Threat Intelligence zeigt an, dass Ihr Produkt von einer APT-Gruppe angegriffen wird.

• Haben Sie Einblick in tatsächliche Ausnutzung?
• Wie koordinieren Sie sich mit externen Threat-Intel-Anbietern?

Häufige Fallstricke bei der CRA-Meldung

Auf Gewissheit warten

Problem: Sie wollen forensischen Beweis, bevor Sie melden.

Realität: Die 24-Stunden-Uhr startet, sobald Sie eine begründete Annahme haben. Wer auf Gewissheit wartet, verpasst die Frist.

Lösung: Melden Sie früh. In der detaillierten Meldung können Sie nachträglich angeben, dass die Ausnutzung nicht bestätigt werden konnte.

CVD mit Meldung verwechseln

Problem: Forschermeldungen als ENISA-Meldungen behandeln.

Realität: Koordinierte Schwachstellenoffenlegung und ENISA-Meldung nach Artikel 14 sind separate Prozesse.

• CVD: Wie Sie Forschermeldungen handhaben und Offenlegungszeitpläne vereinbaren
• CRA-Meldung: Verpflichtende Meldung, sobald Ausnutzung vorliegt

Lösung: Bauen Sie in Ihren CVD-Prozess eine Prüfung ein: "Gibt es Hinweise auf Ausnutzung?" Wenn ja, lösen Sie die CRA-Meldung nach Artikel 14 parallel zum CVD aus.

Einzelner Fehlerpunkt

Problem: Nur eine Person kann Meldungen autorisieren, und sie ist nicht erreichbar.

Realität: Ausnutzung kann jederzeit entdeckt werden. An Wochenenden. An Feiertagen. Nachts um 3 Uhr.

Lösung: Mehrere autorisierte Melder, klare Delegation, Notfall-Kontaktkette.

Keine Beziehung zu CSIRTs

Problem: Der erste Kontakt mit Ihrem nationalen CSIRT findet während eines Vorfalls statt.

Realität: Wer vorab Kontakt aufbaut, bewältigt einen Vorfall schneller und geordneter.

Lösung: Nehmen Sie jetzt Kontakt mit Ihrem nationalen CSIRT auf. Verstehen Sie deren Prozesse. Nehmen Sie an Herstellerkontaktprogrammen teil. In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) der zuständige CSIRT-Koordinator.

Ausnahmen für Kleinstunternehmen und kleine Unternehmen

Kleinstunternehmen und kleine Unternehmen erhalten nach Artikel 64 Absatz 10 eine begrenzte Erleichterung:

Ausnahme bei der Meldefrist: Befreiung von Bußgeldern für das Versäumen der 24-Stunden-Frühwarnung nach Artikel 14(2)(a) und Artikel 14(4)(a). Die 72-Stunden-Frist für die detaillierte Meldung (Artikel 14(2)(b) und 14(4)(b)) ist nicht abgedeckt. Wer sie versäumt, riskiert Bußgelder, unabhängig von der Unternehmensgröße.

Weiterhin erforderlich:

• Meldung (nur nicht für die 24-Stunden-Frist bestraft)
• Alle anderen CRA-Pflichten
• Abschlussberichte

Definition: Gilt für Kleinstunternehmen (weniger als 10 Beschäftigte, Jahresumsatz oder Bilanzsumme bis 2 Mio. EUR) und kleine Unternehmen (weniger als 50 Beschäftigte, Jahresumsatz oder Bilanzsumme bis 10 Mio. EUR). Mittlere Unternehmen (bis 250 Beschäftigte) fallen nicht unter diese Ausnahme.

Diese Ausnahme betrifft ausschließlich das Bußgeld für die 24-Stunden-Frühwarnung. Alle Hersteller, einschließlich Kleinstunternehmen, müssen Meldefähigkeiten aufbauen.

Integration mit bestehenden Prozessen

Wenn Sie bereits Incident Response haben

Ordnen Sie die CRA-Meldung Ihrem bestehenden Prozess zu:

BESTEHENDER IR-PROZESS             CRA-INTEGRATION
---------------------------------------------
Erkennung
    |
Triage -------------------> Prüfung: Ausnutzung eines CRA-Produkts?
    |                              |
Eindämmung                          +- JA: 24h-Uhr starten
    |                              |       Frühwarnung einreichen
Untersuchung                       |
    |                              |
Behebung -----------------> 72h detaillierte Meldung
    |
Wiederherstellung
    |
Lessons Learned -----------> 14d/1 Monat Abschlussbericht

Wenn Sie NIS-2-Pflichten haben

Einige Organisationen haben sowohl NIS-2- als auch CRA-Pflichten:

• NIS 2: Vorfälle auf Organisations- oder Dienstebene
• CRA: Schwachstellen und Vorfälle auf Produktebene

Diese können sich überschneiden. Ein einzelner Vorfall kann erfordern:

• NIS-2-Meldung an die zuständige Behörde
• CRA-Meldung an ENISA / CSIRT über die SRP

Das Zusammenspiel zwischen den NIS-2- und CRA-Artikel-14-Meldeprozessen ist in der finalen Leitlinie noch nicht bestätigt. Jede Aussage, die SRP übernehme das Routing für beide Regime, sollte als unbestätigt behandelt werden, bis ENISA oder die Kommission verbindliche Leitlinien veröffentlicht (siehe "Was noch offen ist" unten).

ENISA-Meldebereitschafts-Checkliste

ENISA-MELDEBEREITSCHAFTS-CHECKLISTE

VOR SEPTEMBER 2026:

KANÄLE & KONTAKTE
[ ] security.txt veröffentlicht und aktuell
[ ] Schwachstellen-Meldeformular verfügbar
[ ] Sicherheits-E-Mail überwacht (SLA definieren: ____ Stunden)
[ ] Kontakt zum nationalen CSIRT identifiziert
[ ] ENISA SRP Registrierung (sobald verfügbar)

INTERNER PROZESS
[ ] Triage-Kriterien dokumentiert
[ ] Checkliste zur Ausnutzungsbewertung erstellt
[ ] Eskalationspfad festgelegt (Namen, Kontakte)
[ ] Autorisierte Melder identifiziert
[ ] Außerdienstliche Abdeckung gesichert

DOKUMENTATION
[ ] Frühwarnungs-Vorlage vorbereitet
[ ] Vorlage für detaillierte Meldung vorbereitet
[ ] Abschlussbericht-Vorlage vorbereitet
[ ] Interne Briefing-Materialien bereit

TESTS
[ ] Planspiel durchgeführt
[ ] Außerdienstliche Eskalation getestet
[ ] Vorlagenprüfung abgeschlossen

BEI ERKANNTER AUSNUTZUNG:

SOFORT (innerhalb von 4 Stunden)
[ ] Erste Bewertung: Ist dies aktiv ausgenutzt?
[ ] Uhrstart-Zeit dokumentiert: ____________
[ ] Eskalation an autorisierten Melder

INNERHALB VON 24 STUNDEN
[ ] Frühwarnung bei ENISA SRP eingereicht
[ ] Einreichungsbestätigung erhalten
[ ] Interne Stakeholder informiert

INNERHALB VON 72 STUNDEN
[ ] Detaillierte Meldung eingereicht
[ ] Mitigationsstatus aktualisiert
[ ] Kundenkommunikation gestartet (falls angemessen)

INNERHALB VON 14 TAGEN AB VERFÜGBARKEIT EINER KORREKTUR- ODER RISIKOMINDERUNGSMASSNAHME (Schwachstelle) / EINEM MONAT (Vorfall)
[ ] Abschlussbericht eingereicht
[ ] Lessons Learned dokumentiert
[ ] Prozessverbesserungen identifiziert

Was noch offen ist

Zum Zeitpunkt der Erstellung sind mehrere Punkte, die die praktische Umsetzung von Artikel 14 betreffen, noch ungeklärt:

Wie CRA Evidence die Meldepflicht nach Artikel 14 unterstützt

CRA Evidence ist auf den Meldezeitplan nach Artikel 14 ausgelegt. Die zentralen Daten, die Ihre SRP-Einreichungen benötigen, sind bereits im Moment der Identifikation einer Schwachstelle oder eines Vorfalls strukturiert in der Plattform vorhanden.

• Zeitstempel der Schwachstellenkenntnis nach Artikel 14: Jede Schwachstelle wird mit einem Zeitstempel der Kenntnis gegen ein Produkt erfasst. Dieser Zeitstempel ist der Auslöser der 24-Stunden-Frist nach Artikel 14. Das Feld discovered_at treibt die ENISA-Deadline-Felder an, sodass der Uhr-Start im Moment der Erfassung festgehalten wird.
• SBOM-verknüpfte Produktversionszuordnung: Eingehende CVEs und Ausnutzungsnachweise werden über die SBOM-Importpipeline mit bestimmten Produktversionen verknüpft, sodass das Feld "Betroffene Versionen" in einem Artikel-14-Bericht aus den bereits in Ihrer SBOM enthaltenen Komponenten vorausgefüllt wird.
• Vorstufung der CRA-Berichtsfelder: Die technische Dokumentation (Anhang VII), Herstellerdaten (rechtlicher Name, Adresse, Kontakt), Produktklasse (Standard / Wichtige Klasse I und II / Kritisch) und Supportzeitraum sind bereits strukturiert im System vorhanden, bereit zur Befüllung der SRP-Frühwarn- und 72-Stunden-Meldungsfelder.
• CRA-Nachweisauditpfad: Jeder Schritt von der internen Triage bis zur externen CRA-Meldung wird mit Akteur und Zeitstempel protokolliert, was Durchsetzungsprüfungen verlangen. Triage-Übergänge und ENISA-Meldungen (Frühwarnung, detaillierte Meldung, Abschlussbericht) sind vollständig abgedeckt.
• CSIRT-Routing-Eingaben im Herstellerprofil: Der CSIRT-Mitgliedstaat und die Bevollmächtigten-Details (Name, Adresse, Mitgliedstaat) sind im Herstellerprofil gespeichert, sodass die wesentlichen Eingaben für das CRA-Artikel-14-CSIRT-Routing und die Nicht-EU-Hersteller-Vertretung zum Meldezeitpunkt vorliegen.

Mehr zur Handhabung von Artikel-14-Fristen durch die Plattform: CRA Evidence ENISA Reporting.

Nächste Schritte

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.