ENISA nimmt seine ersten CNAs auf: Was das für Artikel 14 der CRA bedeutet

ENISA nimmt neue europäische CNAs unter seiner Root auf. Was das für die Meldekette nach Artikel 14 des Cyber Resilience Act und das EU-Schwachstellenmanagement bedeutet.

CRA Evidence-Team Veröffentlicht 6. Mai 2026
ENISA CVE-Root und CRA Artikel 14 Schwachstellenmeldung: Europäische Schwachstellenidentifikationskette
In diesem Artikel

Die 24-Stunden-Frist nach Artikel 14 des CRA beginnt, sobald Sie hinreichenden Grund haben, eine aktive Ausnutzung anzunehmen. Diese Frist setzt eine funktionierende Schwachstellenidentifikationskette voraus. ENISA hat diese Kette jetzt direkter gestaltet.

Am 6. Mai 2026 gab ENISA bekannt, dass vier neue Organisationen dem CVE-Programm als CVE Numbering Authorities (CNAs) unter ENISA Root beigetreten sind. Sieben bestehende europäische CNAs wechselten von MITRE Root zu ENISA Root. Für jeden Hersteller, der die Compliance nach Artikel 14 des CRA vorbereitet, bedeutet das: Das operative Rückgrat wird jetzt operativ.

Diese Ankündigung hat mehr Gewicht als es scheint. Der CRA existiert nicht im Vakuum. Er definiert rechtliche Pflichten, aber diese Pflichten hängen von einer Infrastruktur ab, die vor dem 11. September 2026 bestehen und funktionieren muss. Der Ausbau der CVE-Root durch ENISA ist Teil dieser Infrastruktur. Und ehrlich gesagt zeigt die Tatsache, dass dies jetzt geschieht, so kurz vor der CRA-Frist: Die EU baut die Maschinerie noch auf, während die Uhr bereits läuft.

Zusammenfassung

  • ENISA ist CVE-Root für europäische Organisationen. Die Root-Funktion besteht seit November 2025, die ersten CNAs wurden im Mai 2026 aufgenommen.
  • 4 neue CNAs traten dem CVE-Programm unter ENISA Root bei, direkt von ENISA geschult und aufgenommen. 7 bestehende europäische CNAs wechselten von MITRE Root.
  • Mehr als 90 europäische CNAs können freiwillig unter ENISA Root wechseln. Europa stellt bereits fast ein Fünftel der 510 CNAs aus 42 Ländern weltweit.
  • CRA Artikel 14 verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen binnen 24 Stunden über die ENISA Single Reporting Platform (SRP) zu melden, ab dem 11. September 2026.
  • CVE-IDs sind der gemeinsame Identifikator für diese Meldung. ENISA als CVE-Root bedeutet: Europa vergibt CVE-IDs jetzt direkt, ohne den Umweg über MITRE.
  • KI-Beschleunigung ist ein ausdrücklich genannter Treiber. Hans de Vries von ENISA nannte Frontier-KI-Modelle, die den Zeitraum zwischen Schwachstellenentdeckung und Ausnutzung verkürzen.
  • Cybersecurity Act 2 schlägt zusätzliche operative Ressourcen für ENISA vor, um dem wachsenden Aufkommen gerecht zu werden.
4
Neue CNAs unter ENISA Root
aufgenommen im Mai 2026
7
Von MITRE gewechselt
bestehende EU-CNAs, neue Root
90+
Berechtigte EU-CNAs
freiwilliger Wechsel möglich
Nov. 2025
ENISA wurde CVE-Root
erste CNAs aufgenommen im Mai 2026

Quelle: ENISA-Ankündigung, 6. Mai 2026.

Warum CVE-IDs für Ihre Artikel-14-Meldung entscheidend sind

Wenn Artikel 14 des CRA Sie zur Meldung einer aktiv ausgenutzten Schwachstelle verpflichtet, muss der Bericht die Schwachstelle eindeutig identifizieren. CVE-IDs sind der globale Standard für diese Identifikation. Die Europäische Schwachstellendatenbank (EUVD) von ENISA verwendet sie. Die ENISA Single Reporting Platform wird sie voraussetzen.

Um eine CVE-ID zu erhalten, brauchen Sie eine CNA. Wenn keine EU-CNA Ihre Softwarekategorie abgedeckt hat, wandten Sie sich an MITRE. MITRE hat seinen Sitz in den USA. Die Koordination funktionierte, aber sie erzeugte Latenz. Unter einer 24-Stunden-Frist ist Latenz ein Compliance-Risiko.

ENISA als CVE-Root ändert den Meldeweg. Europäische CNAs koordinieren die CVE-Vergabe jetzt direkt mit ENISA. Für die meisten Hersteller ist das im Alltag unsichtbar. Sie müssen keine CNA werden. Aber der Sicherheitsforscher, der einen Fehler in Ihrem Produkt findet, oder das CSIRT, das Ihre Offenlegung bearbeitet, arbeitet jetzt unter einer Root-Behörde, die geografisch mit der Stelle übereinstimmt, an die Sie nach Artikel 14 melden.

Das ist die Infrastruktur, auf die Ihr 24-Stunden-Fenster angewiesen ist.

Die Meldekette nach CRA Artikel 14

Artikel 14 Absatz 1 des CRA verpflichtet Hersteller, gleichzeitig beim koordinierenden CSIRT und bei ENISA zu melden, über die ENISA Single Reporting Platform. Sie reichen einmal ein. Beide erhalten die Meldung.

Die SRP benötigt jedoch eine CVE-ID, um den Bericht zu verankern. ENISAs Rolle als CVE-Root bedeutet: Der Identifikationsschritt und der Meldeschritt liegen jetzt unter derselben Behörde. Die Stelle, die eine Schwachstelle benennt, ist dieselbe Stelle, an die Sie nach dem CRA melden. Das schließt eine Koordinationslücke, die bestand, als beide Funktionen über getrennte Organisationen auf verschiedenen Kontinenten liefen.

Eine Behörde, zwei Aufgaben

ENISA vergibt CVE-IDs für europäische Organisationen und empfängt Artikel-14-Meldungen über die SRP. Die Behörde, die eine Schwachstelle benennt, ist dieselbe Behörde, an die Sie nach dem CRA melden.

Den vollständigen Melderhythmus nach 24 Stunden, 72 Stunden und 14 Tagen sowie den Inhalt der SRP-Einreichung finden Sie im Leitfaden zur Artikel-14-Meldung.

Das Problem der KI-Beschleunigung

Hans de Vries, Chief Cybersecurity and Operations Officer von ENISA, war direkt darin, warum das jetzt wichtig ist:

Zu einer Zeit, in der Frontier-KI-Modelle die Entdeckung und Ausnutzung von Schwachstellen beschleunigen, muss Europas Kapazität im Schwachstellenmanagement Schritt halten und der breiteren Cybersicherheitsgemeinschaft verlässliche operative Unterstützung bieten.

Hans de Vries, Chief Cybersecurity and Operations Officer, ENISA · 6. Mai 2026

KI-Werkzeuge verkürzen den Zeitraum zwischen dem Fund eines Fehlers und seiner Ausnutzung. Das Fenster zwischen „Ein Forscher entdeckt die Schwachstelle" und „Ihre 24-Stunden-Frist nach Artikel 14 beginnt" wird kleiner. Daraus folgen zwei Konsequenzen. Erstens muss Ihr interner Triage-Prozess einem schnelleren Bedrohungstempo standhalten. Zweitens braucht der CVE-Vergabeschritt in der Kette dieselbe Geschwindigkeit. ENISA baut diese Kapazität jetzt auf. Der Cybersecurity Act 2 schlägt zusätzliche operative Ressourcen für ENISA vor, speziell für diese Funktion. Das BSI als deutsches CSIRT und notifizierende Behörde ist in diese Infrastruktur eingebunden.

Was Sie nicht tun müssen

Sie müssen keine CNA werden. Der Status einer CVE Numbering Authority gilt für Organisationen, die Schwachstellenberichte entdecken und veröffentlichen. Die meisten Hersteller sind keine CNAs, und der CRA verlangt das auch nicht.

Was Anhang I Teil II des CRA verlangt, ist eine koordinierte Offenlegungsrichtlinie (CVD-Richtlinie). Diese Richtlinie beschreibt, wie Ihre Organisation Schwachstellen empfängt, bearbeitet und offenlegt. Im Rahmen dieser Richtlinie arbeiten Sie mit CNAs oder CSIRTs zusammen, die die CVE-Vergabe übernehmen. ENISA als CVE-Root bedeutet: Diese Partner arbeiten jetzt unter einer direkteren EU-Behördenstruktur.

Prüfen Sie Ihre CVD-Richtlinie anhand von drei Fragen vor dem 11. September 2026:

  1. Benennt sie den Meldeweg? Die Richtlinie muss die ENISA SRP als Einreichungskanal für Artikel-14-Meldungen nennen.
  2. Regelt sie den Umgang mit eingehenden Meldungen? Wenn ein Forscher Ihnen eine Schwachstelle meldet, muss die Richtlinie Ihren Reaktionszeitrahmen und den CVE-Antragsprozess beschreiben.
  3. Benennt sie Ihren Koordinator-CSIRT? Artikel 14 Absatz 7 verlangt von Herstellern, einen Koordinator-CSIRT zu bestimmen. Diese Benennung gehört in die Richtlinie.

Als strukturierten Ausgangspunkt nutzen Sie die CVD-Richtlinienvorlage.

Unsere Einschätzung

Die Linie „stärken, nicht fragmentieren" ist die richtige Position. Das Risiko jeder EU-spezifischen Infrastruktur ist Fragmentierung. Ein europäisches CVE-Silo, das von MITRE abweicht, würde allen schaden, auch europäischen Herstellern, die mit globalen Lieferketten arbeiten. Die Ankündigung ist klar: ENISA arbeitet mit CISA und MITRE im Rahmen eines gemeinsamen Engagements für das globale Programm.

Die wichtigere Botschaft für Hersteller ist eine Frage des Zeitpunkts. Die Infrastruktur wird noch aufgebaut, während Sie bereits compliant sein sollen. Die SRP ist noch nicht in Betrieb. Die CVE-Root hat 11 CNAs unter sich, bei über 90 Berechtigten. All das wird bis September 2026 bereit sein, aber Sie müssen es auch sein, und Ihren Prozess auf Infrastruktur aufzubauen, die noch entsteht, ist schwieriger als auf stabilen Boden zu bauen.

Häufig gestellte Fragen

Ändert ENISAs Rolle als CVE-Root meine Meldepflichten nach Artikel 14?

Nein. Ihre Pflichten nach Artikel 14 bleiben unverändert. Sie melden aktiv ausgenutzte Schwachstellen weiterhin binnen 24 Stunden über die ENISA SRP, ab dem 11. September 2026. Was sich ändert, ist die Infrastruktur hinter der Plattform. ENISA übernimmt die CVE-ID-Vergabe für europäische Organisationen jetzt direkt, was die Koordinationslatenz zwischen Schwachstellenidentifikation und Meldeschritt reduziert. Die vollständigen Pflichtdetails finden Sie im Leitfaden zur Artikel-14-Meldung.

Muss ich CVE Numbering Authority werden, um den CRA zu erfüllen?

Nein. Der CNA-Status gilt für Organisationen, die Schwachstellenberichte entdecken und veröffentlichen. Der CRA verlangt eine koordinierte Offenlegungsrichtlinie nach Anhang I Teil II sowie Artikel-14-Meldungen über die ENISA SRP. Das ist von der CNA-Mitgliedschaft unabhängig. Die meisten Hersteller erfüllen die Anforderungen, indem sie mit bestehenden CNAs oder CSIRTs zusammenarbeiten, statt selbst CNA-Status zu halten.

Wann wurde ENISA CVE-Root und was bedeutet das in der Praxis?

ENISA wurde im November 2025 CVE-Root für europäische Organisationen. Als Root rekrutiert, nimmt auf, schult und betreut ENISA CNAs in seinem Bereich und erleichtert die CVE-ID-Vergabe und Datensatzveröffentlichung für europäische Organisationen. Die ersten CNA-Aufnahmen unter ENISA Root wurden am 6. Mai 2026 bekannt gegeben: vier neue CNAs und sieben, die von MITRE Root wechseln. In der Praxis bedeutet das: Europäische CNAs koordinieren die CVE-Vergabe jetzt mit ENISA, statt den Weg über die US-amerikanische Organisation MITRE zu nehmen.

Was ist die Europäische Schwachstellendatenbank und wie hängt sie mit ENISA Root zusammen?

ENISA betreibt die Europäische Schwachstellendatenbank (EUVD), die Schwachstellen mit CVE-IDs als gemeinsamem Identifikator katalogisiert. Als CVE-Root kontrolliert ENISA nun die Vergabe dieser IDs für europäische Organisationen. Datenbank und Vergabebehörde liegen unter einer Stelle. Hersteller können die EUVD nutzen, um zu prüfen, ob eine Schwachstelle bereits erfasst ist, bevor sie eine Artikel-14-Meldung über die SRP einreichen.

Warum ist das Argument der KI-Beschleunigung für meine CRA-Vorbereitung relevant?

Der Chief Cybersecurity and Operations Officer von ENISA hat darauf hingewiesen, dass Frontier-KI-Modelle den Zeitraum zwischen Schwachstellenentdeckung und Ausnutzung verkürzen. Ein kürzeres Fenster zwischen Entdeckung und Ausnutzung bedeutet weniger Puffer zwischen dem Fund durch einen Forscher und dem Start Ihrer 24-Stunden-Frist nach Artikel 14. Ihr interner Triage-Prozess muss für dieses Tempo ausgelegt sein. Führen Sie vor dem 11. September 2026 eine Tabletop-Übung zur 24-Stunden-Frist durch, um zu prüfen, ob Ihr Prozess hält.

Was ist der Unterschied zwischen MITRE Root und ENISA Root für europäische CNAs?

MITRE ist die US-amerikanische Organisation, die historisch als globale CVE-Root fungierte. Europäische CNAs unter MITRE Root koordinierten die CVE-Vergabe über MITRE. Unter ENISA Root koordinieren diese CNAs direkt mit ENISA. Das CVE-ID-Format und die CVE-Programmregeln bleiben unverändert. Der Unterschied liegt in der Root-Behörde: EU-ansässig, EU-mandatiert und in die ENISA SRP sowie die EUVD integriert, über die CRA-Hersteller melden.

Was Sie vor dem 11. September 2026 tun sollten

  1. Prüfen Sie Ihre koordinierte Offenlegungsrichtlinie (CVD-Richtlinie). Stellen Sie sicher, dass sie die ENISA SRP als Artikel-14-Meldekanal benennt und einen Koordinator-CSIRT bestimmt. Nutzen Sie die CVD-Richtlinienvorlage als Referenz.
  2. Führen Sie eine Tabletop-Übung zur 24-Stunden-Frist nach Artikel 14 durch. Klären Sie, wer in Ihrer Organisation die Frist auslöst, wer die Meldung einreicht und wie die CVE-ID eingeholt wird. Den vollständigen Melderhythmus finden Sie im Leitfaden zur Artikel-14-Meldung.
  3. Ermitteln Sie die CNAs oder CSIRTs, mit denen Sie für CVE-ID-Anfragen zusammenarbeiten. Wenn diese europäisch sind, prüfen Sie, ob sie unter ENISA Root arbeiten. Das bestimmt Ihren ersten Ansprechpartner, wenn eine Schwachstelle vor der Meldung eine ID benötigt. Das BSI ist als deutsches CSIRT ein zentraler Ansprechpartner in Deutschland.
  4. Beobachten Sie die ENISA SRP hinsichtlich Testbetrieb und Go-live-Datum. Eine Registrierungs-URL wurde noch nicht veröffentlicht. Verfolgen Sie die ENISA-SRP-Seite auf Aktualisierungen vor der September-Frist.

Dieser Artikel dient ausschließlich der Information und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.

CRA ENISA Schwachstellenmanagement Sicherheit
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
Produktklassifizierung

Wie der CRA Produkte nach Risikoklassen einteilt und was jede Kategorie für die Pflichten bedeutet.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
View full CRA compliance guide