ENISA-Schwachstellenmeldung: Die 24-Stunden-Uhr startet am 11. September 2026

1. September 2026. Ab diesem Datum haben Sie 24 Stunden Zeit, aktiv ausgenutzte Schwachstellen an ENISA zu melden. Verpassen Sie die Frist und riskieren Sie Durchsetzungsmaßnahmen.

Was löst eine CRA-Meldung aus?

Der CRA definiert zwei Kategorien, die eine Meldepflicht auslösen:

1. Aktiv ausgenutzte Schwachstellen

Eine Schwachstelle in Ihrem Produkt, die:

• Ihnen bekannt ist (intern entdeckt oder extern gemeldet)
• Von einem böswilligen Akteur ausgenutzt wurde
• Nutzer Ihres Produkts betrifft oder betreffen könnte

2. Schwerwiegende Vorfälle

Sicherheitsvorfälle, die:

• Die Sicherheit Ihres Produkts beeinträchtigen
• Ihre Entwicklungsumgebung auf eine Weise kompromittieren, die die Produktsicherheit betrifft
• Erhebliche Dienstunterbrechungen für Nutzer verursachen
• Zu einer weit verbreiteten Kompromittierung führen

Beide Kategorien lösen dieselben Meldefristen aus, haben aber unterschiedliche Fenster für den Abschlussbericht.

Was bedeutet „aktiv ausgenutzt“ im Sinne des CRA?

Der CRA definiert eine aktiv ausgenutzte Schwachstelle als eine, bei der „ein böswilliger Akteur einen Fehler ausnutzt“.

Dies ist nicht dasselbe wie:

• Eine öffentlich bekannt gegebene Schwachstelle
• Ein veröffentlichter Proof-of-Concept
• Ein Forscher, der Ausnutzbarkeit demonstriert

Es bedeutet tatsächliche böswillige Nutzung.

Meldepflichtige vs. nicht meldepflichtige Szenarien

Der Standard der „begründeten Annahme“

Sie benötigen keinen forensischen Beweis der Ausnutzung. Der Standard ist eine begründete Annahme auf Grundlage verfügbarer Beweise:

• Ungewöhnliche Zugriffsmuster, die mit bekannten Exploit-Techniken übereinstimmen
• Kundenmeldungen über Kompromittierung
• Threat Intelligence, die darauf hinweist, dass Ihr Produkt Ziel ist
• Erkennung von Exploit-Code, der für Ihr Produkt entwickelt wurde

Bei Unsicherheit: Melden Sie lieber zu früh. Eine verfrühte Frühwarnung, die sich als unbegründet erweist, ist weit besser als eine verpasste Frist bei tatsächlicher Ausnutzung.

Meldefristen

Sowohl Schwachstellen als auch Vorfälle folgen einem gestuften Meldemodell:

Zeitrahmen für aktiv ausgenutzte Schwachstellen

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → PATCH VERFÜGBAR → 14 TAGE
    │            │            │              │              │
    │            │            │              │              └── Abschlussbericht
    │            │            │              └── Uhr startet neu
    │            │            └── Detaillierte Meldung
    │            └── Frühwarnung
    └── Uhr startet

Zeitrahmen für schwerwiegende Vorfälle

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → 1 MONAT
    │            │            │           │
    │            │            │           └── Abschlussbericht
    │            │            └── Detaillierte Meldung
    │            └── Frühwarnung
    └── Uhr startet

Was jeder Bericht enthält

Frühwarnung (24 Stunden)

Mindestinformationen zur Benachrichtigung der Behörden:

• Ihre Identität (Hersteller)
• Identifikation des betroffenen Produkts oder der betroffenen Produkte
• Kurze Beschreibung der Schwachstelle oder des Vorfalls
• Erste Schweregradbewertung
• Ob Ausnutzung bestätigt oder vermutet wird
• Angabe des potenziellen Ausmaßes

Dies ist keine vollständige Analyse. Es ist eine Warnung, dass etwas Ernstes passiert.

Detaillierte Meldung (72 Stunden)

Erweiterte Informationen zur Bewertung:

• Technische Details der Schwachstelle
• Betroffene Versionen und Konfigurationen
• Ausnutzungsmethode (falls bekannt)
• Aktueller Mitigationsstatus
• Geschätzter Zeitrahmen für die Behebung
• Bekannte betroffene Nutzer und Umfang
• Koordination mit anderen Parteien (andere Anbieter, CSIRTs)

Abschlussbericht (14 Tage für Schwachstellen / ein Monat für Vorfälle)

Vollständige Analyse nach der Behebung:

• Ursachenanalyse
• Vollständige technische Beschreibung
• Durchgeführte Behebungsmaßnahmen
• Gelernte Lektionen
• Umgesetzte Präventionsmaßnahmen
• Auswirkungsbewertung (bestätigte betroffene Nutzer, Datengefährdung usw.)

Wo melden Sie eine Schwachstelle an ENISA?

ENISA Single-Reporting-Plattform (SRP)

Die SRP ist aktuell (April 2026) nicht in Betrieb. ENISA hat einen Anbieter beauftragt. Die Plattform soll bis zum 11. September 2026 öffnen, wenn die Meldepflichten beginnen. Eine Testphase ist vor diesem Datum geplant. Eine Registrierungs-URL wurde noch nicht veröffentlicht. Verfolgen Sie die Entwicklung auf der ENISA-SRP-Seite: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Was feststeht:

• Webbasierte Plattform für Einreichungen
• Standardisierte Meldeformulare
• Einzelne Einreichung wird an das zuständige nationale CSIRT weitergeleitet

Was Hersteller jetzt tun können:

• Berichtsvorlagen anhand der folgenden Struktur vorbereiten
• Koordinierendes CSIRT identifizieren (siehe unten)
• Interne Eskalationspfade und autorisierte Melder festlegen

Nationale CSIRTs

Nach Artikel 14(7) der Verordnung (EU) 2024/2847 reichen Sie die Meldung einmalig über die SRP beim CSIRT des Mitgliedstaats ein, in dem Ihre Organisation ihren Hauptsitz hat. Hauptsitz bedeutet: dort, wo Entscheidungen über die Cybersicherheit des Produkts überwiegend getroffen werden.

In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) das zuständige nationale CSIRT. Nehmen Sie jetzt Kontakt mit dem BSI auf, noch vor dem ersten Vorfall.

Wenn Sie außerhalb der EU ansässig sind, ist das zuständige CSIRT das Ihres EU-Bevollmächtigten. Haben Sie keinen Bevollmächtigten, gilt die Kaskade: Importeur, dann Händler, dann das Land mit der größten Nutzerkonzentration.

Sie müssen nicht jeden CSIRT in jedem Land benachrichtigen, in dem Ihr Produkt verkauft wird. Nach Artikel 16 leitet ENISA die Meldung an die CSIRTs der betroffenen Länder weiter. Dieser Schritt liegt nicht in der Verantwortung des Herstellers.

Für Produkte in mehreren Mitgliedstaaten

Eine Einreichung bei der SRP deckt Ihre Meldepflicht ab. Sie können Nachfragen von mehreren nationalen Behörden erhalten, aber es gibt nur einen Einreichungsweg.

Interne Vorbereitungs-Checkliste

Warten Sie nicht bis September 2026. Bauen Sie Ihre Prozesse jetzt auf.

1. Schwachstellen-Eingangskanäle

Richten Sie klare Wege für Schwachstellenmeldungen ein:

security.txt-Datei:

# https://ihrprodukt.com/.well-known/security.txt
Contact: mailto:security@ihrefirma.de
Contact: https://ihrefirma.de/security/melden
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihrefirma.de/.well-known/security.txt
Policy: https://ihrefirma.de/security/richtlinie

Webformular für strukturierte Meldungen

Dedizierte E-Mail mit 24/7-Überwachung (oder mit klarem SLA)

2. Interner Triage-Prozess

Legen Sie fest, wie Meldungen bewertet werden:

SCHWACHSTELLEN-EINGANGS-TRIAGE

1. Erster Eingang (< 4 Stunden)
   - Eingangsbestätigung
   - Zuweisung an Sicherheitsteam-Mitglied
   - Erste Gültigkeitsprüfung

2. Technische Triage (< 24 Stunden)
   - Bestätigung, dass Schwachstelle existiert
   - Ermittlung betroffener Versionen
   - Bewertung der Ausnutzbarkeit
   - Prüfung auf Hinweise aktiver Ausnutzung

3. Schweregradbewertung (< 24 Stunden)
   - CVSS-Scoring (oder Äquivalent)
   - Geschäftsauswirkungsbewertung
   - Ausnutzungswahrscheinlichkeit

4. Meldeentscheidung (sofort bei bestätigter Ausnutzung)
   - Erfordert dies eine ENISA-Meldung?
   - Wenn ja, 24-Stunden-Uhr starten

3. Eskalationspfade

Legen Sie fest, wer externe Meldungen auslösen kann:

Kernprinzip: Die Person, die potenzielle Ausnutzung entdeckt, muss sofort eskalieren können, rund um die Uhr.

4. Außerdienstliche Abdeckung

Die 24-Stunden-Uhr pausiert nicht für Wochenenden oder Feiertage.

Optionen:

• Bereitschaftsrotation für das Sicherheitsteam
• Überwachungsdienst mit Eskalationsbefugnis
• Klare Kontaktkette außerhalb der Geschäftszeiten
• Vorab autorisierte Melder, die Frühwarnungen einreichen können

5. Berichtsvorlagen

Bereiten Sie Vorlagen vor, bevor Sie sie brauchen:

Frühwarnungs-Vorlage:

ENISA CRA FRÜHWARNUNG

Hersteller: [Firmenname]
Meldedatum: [Datum/Uhrzeit UTC]
Meldetyp: [ ] Aktiv ausgenutzte Schwachstelle [ ] Schwerwiegender Vorfall

BETROFFENE(S) PRODUKT(E):
- Produktname:
- Version(en):
- Produktkategorie:

SCHWACHSTELLEN-/VORFALLSZUSAMMENFASSUNG:
[Kurze Beschreibung - 2-3 Sätze]

AUSNUTZUNGSSTATUS:
[ ] Bestätigte Ausnutzung
[ ] Vermutete Ausnutzung
Beweise: [Kurze Beschreibung der Beweise]

ERSTE SCHWEREGRADBEWERTUNG:
[ ] Kritisch [ ] Hoch [ ] Mittel [ ] Niedrig
Grundlage: [CVSS-Score oder andere Begründung]

POTENZIELLES AUSMASS:
- Geschätzte betroffene Nutzer:
- Geografischer Umfang:
- Gefährdete Daten:

AKTUELLER STATUS:
[ ] In Untersuchung
[ ] Mitigation in Arbeit
[ ] Patch in Entwicklung

KONTAKT FÜR RÜCKFRAGEN:
Name:
E-Mail:
Telefon:

Dies ist eine Frühwarnung. Detaillierte Meldung folgt innerhalb von 72 Stunden.

6. Prozess testen

Führen Sie Planspiele vor September 2026 durch:

Szenario 1: Freitag 17 Uhr. Sicherheitsforscher meldet kritische Schwachstelle mit PoC.

• Wie schnell können Sie das Ausnutzungsrisiko bewerten?
• Wer trifft die Meldeentscheidung am Wochenende?

Szenario 2: Kunde meldet verdächtige Aktivität, die darauf hindeutet, dass Ihr Produkt Eintrittspunkt war.

• Wie sammeln Sie Beweise zur Bestätigung oder Widerlegung der Ausnutzung?
• Was ist Ihre Schwelle für „begründete Annahme“?

Szenario 3: Threat Intelligence zeigt an, dass Ihr Produkt von einer APT-Gruppe angegriffen wird.

• Haben Sie Einblick in tatsächliche Ausnutzung?
• Wie koordinieren Sie sich mit externen Threat-Intel-Anbietern?

Häufige Fallstricke

Auf Gewissheit warten

Problem: Sie wollen forensischen Beweis, bevor Sie melden.

Realität: Die 24-Stunden-Uhr startet, sobald Sie eine begründete Annahme haben. Wer auf Gewissheit wartet, verpasst die Frist.

Lösung: Melden Sie früh. In der detaillierten Meldung können Sie nachträglich angeben, dass die Ausnutzung nicht bestätigt werden konnte.

CVD mit Meldung verwechseln

Problem: Forschermeldungen als ENISA-Meldungen behandeln.

Realität: Coordinated Vulnerability Disclosure und ENISA-Meldung sind separate Prozesse.

• CVD: Wie Sie Forschermeldungen handhaben und Offenlegungszeitpläne vereinbaren
• ENISA: Verpflichtende Meldung bei Ausnutzung

Lösung: Bauen Sie in Ihren CVD-Prozess eine Prüfung ein: „Gibt es Hinweise auf Ausnutzung?“ Wenn ja, lösen Sie die ENISA-Meldung parallel zum CVD aus.

Einzelner Fehlerpunkt

Problem: Nur eine Person kann Meldungen autorisieren, und sie ist nicht erreichbar.

Realität: Ausnutzung kann jederzeit entdeckt werden. An Wochenenden. An Feiertagen. Nachts um 3 Uhr.

Lösung: Mehrere autorisierte Melder. Klare Delegation. Notfall-Kontaktkette.

Keine Beziehung zu CSIRTs

Problem: Der erste Kontakt mit Ihrem nationalen CSIRT findet während eines Vorfalls statt.

Realität: Wer vorab Kontakt aufbaut, bewältigt einen Vorfall schneller und geordneter.

Lösung: Nehmen Sie jetzt Kontakt mit dem BSI auf. Verstehen Sie deren Prozesse. Nehmen Sie an Herstellerkontaktprogrammen teil.

Ausnahmen für Kleinstunternehmen und kleine Unternehmen

Kleinstunternehmen und kleine Unternehmen erhalten nach Artikel 64(10)(a) eine begrenzte Erleichterung:

Ausnahme bei der Meldefrist: Befreiung von Bußgeldern für das Versäumen der 24-Stunden-Frühwarnung nach Artikel 14(2)(a) und Artikel 14(4)(a). Die 72-Stunden-Frist für die detaillierte Meldung nach Artikel 14(2)(b) und 14(4)(b) ist nicht abgedeckt. Wer sie versäumt, riskiert Bußgelder, unabhängig von der Unternehmensgröße.

Weiterhin erforderlich:

• Meldung (nur nicht für die 24-Stunden-Frist bestraft)
• Alle anderen CRA-Pflichten
• Abschlussberichte

Definition nach Artikel 64(10)(a): Kleinstunternehmen (weniger als 10 Beschäftigte, Jahresumsatz oder Bilanzsumme bis 2 Mio. EUR) und kleine Unternehmen (weniger als 50 Beschäftigte, Jahresumsatz oder Bilanzsumme bis 10 Mio. EUR). Mittlere Unternehmen (bis 250 Beschäftigte) fallen nicht unter diese Ausnahme.

Diese Ausnahme betrifft ausschließlich das Bußgeld für die 24-Stunden-Frühwarnung. Alle Hersteller, einschließlich Kleinstunternehmen, müssen Meldefähigkeiten aufbauen.

Integration mit bestehenden Prozessen

Wenn Sie bereits Incident Response haben

Ordnen Sie CRA-Meldungen Ihrem bestehenden Prozess zu:

BESTEHENDER IR-PROZESS           CRA-INTEGRATION
─────────────────────────────────────────────────
Erkennung
    │
Triage ───────────────────→  Prüfung: Ausnutzung eines CRA-Produkts?
    │                              │
Eindämmung                         ├─ JA: 24h-Uhr starten
    │                              │      Frühwarnung einreichen
Untersuchung                       │
    │                              │
Behebung ─────────────────→  72h detaillierte Meldung
    │
Wiederherstellung
    │
Lessons Learned ──────────→  14d/1 Monat Abschlussbericht

Wenn Sie NIS-2-Pflichten haben

Einige Organisationen haben sowohl NIS-2- als auch CRA-Pflichten:

• NIS 2: Vorfälle auf Organisations- oder Dienstebene
• CRA: Schwachstellen und Vorfälle auf Produktebene

Diese können sich überschneiden. Ein einzelner Vorfall kann erfordern:

• NIS-2-Meldung an die zuständige Behörde
• CRA-Meldung an ENISA oder CSIRT

ENISA hat angekündigt, dass die SRP die Weiterleitung für beide Regime übernehmen soll, wo dies zutrifft. Dies ist in der finalen Leitlinie noch nicht bestätigt.

ENISA-Meldebereitschafts-Checkliste

ENISA-MELDEBEREITSCHAFTS-CHECKLISTE

VOR SEPTEMBER 2026:

KANÄLE & KONTAKTE
[ ] security.txt veröffentlicht und aktuell
[ ] Schwachstellen-Meldeformular verfügbar
[ ] Sicherheits-E-Mail überwacht (SLA definieren: ____ Stunden)
[ ] Kontakt zum nationalen CSIRT (BSI) identifiziert
[ ] ENISA SRP Registrierung (sobald verfügbar)

INTERNER PROZESS
[ ] Triage-Kriterien dokumentiert
[ ] Checkliste zur Ausnutzungsbewertung erstellt
[ ] Eskalationspfad festgelegt (Namen, Kontakte)
[ ] Autorisierte Melder identifiziert
[ ] Außerdienstliche Abdeckung gesichert

DOKUMENTATION
[ ] Frühwarnungs-Vorlage vorbereitet
[ ] Vorlage für detaillierte Meldung vorbereitet
[ ] Abschlussbericht-Vorlage vorbereitet
[ ] Interne Briefing-Materialien bereit

TESTS
[ ] Planspiel durchgeführt
[ ] Außerdienstliche Eskalation getestet
[ ] Vorlagenprüfung abgeschlossen

BEI ERKANNTER AUSNUTZUNG:

SOFORT (innerhalb von 4 Stunden)
[ ] Erste Bewertung: Ist dies aktiv ausgenutzt?
[ ] Uhrstart-Zeit dokumentiert: ____________
[ ] Eskalation an autorisierten Melder

INNERHALB VON 24 STUNDEN
[ ] Frühwarnung bei ENISA SRP eingereicht
[ ] Einreichungsbestätigung erhalten
[ ] Interne Stakeholder informiert

INNERHALB VON 72 STUNDEN
[ ] Detaillierte Meldung eingereicht
[ ] Mitigationsstatus aktualisiert
[ ] Kundenkommunikation gestartet (falls angemessen)

INNERHALB VON 14 TAGEN (Schwachstelle) / EINEM MONAT (Vorfall)
[ ] Abschlussbericht eingereicht
[ ] Lessons Learned dokumentiert
[ ] Prozessverbesserungen identifiziert

Nächste Schritte

Sie verwalten die CRA-Konformität für mehrere Produkte? CRA Evidence verfolgt Fristen und stellt vorausgefüllte Meldevorlagen für die Schwachstellenoffenlegung jedes Produkts bereit.

Wenn Ihr Triageprozess steht, richten Sie Ihre Schwachstellenaufnahme mit unserer CVD-Richtlinienvorlage ein. Lesen Sie den Leitfaden zu Sanktionen, um zu verstehen, welche Konsequenzen bei versäumten Fristen drohen.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.