ENISA-Schwachstellenmeldung: Was die 24-Stunden-Uhr nach dem CRA startet

1. September 2026. Ab diesem Datum haben Sie 24 Stunden Zeit, aktiv ausgenutzte Schwachstellen an ENISA zu melden. Verpassen Sie die Frist und riskieren Sie Durchsetzungsmaßnahmen.

Dieser Leitfaden behandelt, was die Meldepflicht auslöst, was "aktiv ausgenutzt" tatsächlich bedeutet und wie Sie Ihren internen Prozess vor dem Stichtag vorbereiten.

Was löst eine CRA-Meldung aus?

Der CRA definiert zwei Kategorien, die eine Meldepflicht auslösen:

1. Aktiv ausgenutzte Schwachstellen

Eine Schwachstelle in Ihrem Produkt, die:

• Ihnen bekannt ist (intern entdeckt oder extern gemeldet)
• Von einem böswilligen Akteur ausgenutzt wurde
• Nutzer Ihres Produkts betrifft oder betreffen könnte

2. Schwerwiegende Vorfälle

Sicherheitsvorfälle, die:

• Die Sicherheit Ihres Produkts beeinträchtigen
• Ihre Entwicklungsumgebung auf eine Weise kompromittieren, die die Produktsicherheit betrifft
• Erhebliche Dienstunterbrechungen für Nutzer verursachen
• Zu einer weit verbreiteten Kompromittierung führen

Beide Kategorien lösen dieselben Meldefristen aus, haben aber unterschiedliche Fenster für den Abschlussbericht.

Was "aktiv ausgenutzt" bedeutet

Der CRA definiert eine aktiv ausgenutzte Schwachstelle als eine, bei der "ein böswilliger Akteur einen Fehler ausnutzt".

Dies ist nicht dasselbe wie:

• Eine öffentlich bekannt gegebene Schwachstelle
• Ein veröffentlichter Proof-of-Concept
• Ein Forscher, der Ausnutzbarkeit demonstriert

Es bedeutet tatsächliche böswillige Nutzung.

Meldepflichtige vs. nicht meldepflichtige Szenarien

Der Standard der "begründeten Annahme"

Sie benötigen keinen forensischen Beweis der Ausnutzung. Der Standard ist eine begründete Annahme auf Grundlage verfügbarer Beweise:

• Ungewöhnliche Zugriffsmuster, die mit bekannten Exploit-Techniken übereinstimmen
• Kundenmeldungen über Kompromittierung
• Threat Intelligence, die darauf hinweist, dass Ihr Produkt Ziel ist
• Erkennung von Exploit-Code, der für Ihr Produkt entwickelt wurde

Bei Unsicherheit: Lieber melden. Eine verfrühte Frühwarnung, die sich als unbegründet erweist, ist weit besser als eine verpasste Frist bei tatsächlicher Ausnutzung.

Meldefristen

Sowohl Schwachstellen als auch Vorfälle folgen einem gestuften Meldemodell:

Zeitrahmen für aktiv ausgenutzte Schwachstellen

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → PATCH VERFÜGBAR → 14 TAGE
    │            │            │              │              │
    │            │            │              │              └── Abschlussbericht
    │            │            │              └── Uhr startet neu
    │            │            └── Detaillierte Meldung
    │            └── Frühwarnung
    └── Uhr startet

Zeitrahmen für schwerwiegende Vorfälle

ENTDECKUNG → 24 STUNDEN → 72 STUNDEN → 1 MONAT
    │            │            │           │
    │            │            │           └── Abschlussbericht
    │            │            └── Detaillierte Meldung
    │            └── Frühwarnung
    └── Uhr startet

Was jeder Bericht enthält

Frühwarnung (24 Stunden)

Mindestinformationen zur Benachrichtigung der Behörden:

• Ihre Identität (Hersteller)
• Identifikation des/der betroffenen Produkt(e)
• Kurze Beschreibung der Schwachstelle/des Vorfalls
• Erste Schweregradbewertung
• Ob Ausnutzung bestätigt oder vermutet wird
• Angabe des potenziellen Ausmaßes

Dies ist keine vollständige Analyse. Es ist eine Warnung, dass etwas Ernstes passiert.

Detaillierte Meldung (72 Stunden)

Erweiterte Informationen zur Bewertung:

• Technische Details der Schwachstelle
• Betroffene Versionen und Konfigurationen
• Ausnutzungsmethode (falls bekannt)
• Aktueller Mitigationsstatus
• Geschätzter Zeitrahmen für Behebung
• Bekannte betroffene Nutzer/Umfang
• Koordination mit anderen Parteien (andere Anbieter, CSIRTs)

Abschlussbericht (14 Tage für Schwachstellen / 30 Tage für Vorfälle)

Vollständige Analyse nach der Behebung:

• Ursachenanalyse
• Vollständige technische Beschreibung
• Durchgeführte Behebungsmaßnahmen
• Gelernte Lektionen
• Implementierte Präventionsmaßnahmen
• Auswirkungsbewertung (bestätigte betroffene Nutzer, Datengefährdung, etc.)

Wohin melden

ENISA Single-Reporting-Plattform (SRP)

Ab September 2026 betreibt ENISA einen zentralen Eingangspunkt für CRA-Meldungen.

Was wir wissen:

• Webbasierte Plattform für Einreichungen
• API-Zugang für automatisierte Meldungen (erwartet)
• Gleichzeitige Weiterleitung an relevante nationale CSIRTs
• Standardisierte Meldeformulare

ÜBERPRÜFEN SIE DIE PRIMÄRQUELLE: Genaue Plattformspezifikationen und URL stehen noch zur Veröffentlichung durch ENISA aus.

Nationale CSIRTs

Meldungen gehen gleichzeitig an:

• ENISA (EU-weite Koordination)
• Nationale(s) CSIRT(s), wo das Produkt verfügbar ist

In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) das zuständige nationale CSIRT.

Die SRP sollte die Weiterleitung automatisch auf Grundlage Ihrer Marktpräsenz-Deklaration übernehmen.

Für Produkte in mehreren Mitgliedstaaten

Wenn Ihr Produkt in mehreren EU-Ländern verfügbar ist:

• Eine Einreichung bei SRP
• Plattform leitet an alle relevanten CSIRTs weiter
• Sie können Nachfragen von mehreren nationalen Behörden erhalten

Interne Vorbereitungs-Checkliste

Warten Sie nicht bis September 2026. Bauen Sie Ihre Prozesse jetzt auf.

1. Schwachstellen-Eingangskanäle

Etablieren Sie klare Wege für Schwachstellenmeldungen:

security.txt-Datei:

# https://ihrprodukt.com/.well-known/security.txt
Contact: mailto:security@ihrefirma.de
Contact: https://ihrefirma.de/security/melden
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihrefirma.de/.well-known/security.txt
Policy: https://ihrefirma.de/security/richtlinie

Webformular für strukturierte Meldungen

Dedizierte E-Mail mit 24/7-Überwachung (oder mit klarem SLA)

2. Interner Triage-Prozess

Definieren Sie, wie Meldungen bewertet werden:

SCHWACHSTELLEN-EINGANGS-TRIAGE

1. Erster Eingang (< 4 Stunden)
   - Eingangsbestätigung
   - Zuweisung an Sicherheitsteam-Mitglied
   - Erste Gültigkeitsprüfung

2. Technische Triage (< 24 Stunden)
   - Bestätigung, dass Schwachstelle existiert
   - Ermittlung betroffener Versionen
   - Bewertung der Ausnutzbarkeit
   - Prüfung auf Hinweise aktiver Ausnutzung

3. Schweregradbewertung (< 24 Stunden)
   - CVSS-Scoring (oder Äquivalent)
   - Geschäftsauswirkungsbewertung
   - Ausnutzungswahrscheinlichkeit

4. Meldeentscheidung (SOFORT bei bestätigter Ausnutzung)
   - Erfordert dies eine ENISA-Meldung?
   - Wenn ja, 24-Stunden-Uhr starten

3. Eskalationspfade

Definieren Sie, wer externe Meldungen auslösen kann:

Kernprinzip: Die Person, die potenzielle Ausnutzung entdeckt, muss in der Lage sein, sofort zu eskalieren, 24/7.

4. Außerdienstliche Abdeckung

Die 24-Stunden-Uhr pausiert nicht für Wochenenden oder Feiertage.

Optionen:

• Bereitschaftsrotation für Sicherheitsteam
• Überwachungsdienst mit Eskalationsbefugnis
• Klare Kontaktkette außerhalb der Geschäftszeiten
• Vorab autorisierte Melder, die Frühwarnungen einreichen können

5. Berichtsvorlagen

Bereiten Sie Vorlagen vor, bevor Sie sie brauchen:

Frühwarnungs-Vorlage:

ENISA CRA FRÜHWARNUNG

Hersteller: [Firmenname]
Meldedatum: [Datum/Uhrzeit UTC]
Meldetyp: [ ] Aktiv ausgenutzte Schwachstelle [ ] Schwerwiegender Vorfall

BETROFFENE(S) PRODUKT(E):
- Produktname:
- Version(en):
- Produktkategorie:

SCHWACHSTELLEN-/VORFALLSZUSAMMENFASSUNG:
[Kurze Beschreibung - 2-3 Sätze]

AUSNUTZUNGSSTATUS:
[ ] Bestätigte Ausnutzung
[ ] Vermutete Ausnutzung
Beweise: [Kurze Beschreibung der Beweise]

ERSTE SCHWEREGRADBEWERTUNG:
[ ] Kritisch [ ] Hoch [ ] Mittel [ ] Niedrig
Grundlage: [CVSS-Score oder andere Begründung]

POTENZIELLES AUSMASS:
- Geschätzte betroffene Nutzer:
- Geografischer Umfang:
- Gefährdete Daten:

AKTUELLER STATUS:
[ ] In Untersuchung
[ ] Mitigation in Arbeit
[ ] Patch in Entwicklung

KONTAKT FÜR RÜCKFRAGEN:
Name:
E-Mail:
Telefon:

Dies ist eine Frühwarnung. Detaillierte Meldung folgt innerhalb von 72 Stunden.

6. Prozess testen

Führen Sie Planspiele vor September 2026 durch:

Szenario 1: Freitag 17 Uhr - Sicherheitsforscher meldet kritische Schwachstelle mit PoC

• Wie schnell können Sie das Ausnutzungsrisiko bewerten?
• Wer trifft die Meldeentscheidung am Wochenende?

Szenario 2: Kunde meldet verdächtige Aktivität, die darauf hindeutet, dass Ihr Produkt Eintrittspunkt war

• Wie sammeln Sie Beweise zur Bestätigung/Widerlegung der Ausnutzung?
• Was ist Ihre Schwelle für "begründete Annahme"?

Szenario 3: Threat Intelligence zeigt an, dass Ihr Produkt von APT-Gruppe angegriffen wird

• Haben Sie Einblick in tatsächliche Ausnutzung?
• Wie koordinieren Sie sich mit externen Threat-Intel-Anbietern?

Häufige Fallstricke

Auf Gewissheit warten

Problem: Forensischen Beweis wollen, bevor man meldet.

Realität: Die 24-Stunden-Uhr startet, wenn Sie eine begründete Annahme haben. Wenn Sie auf Gewissheit warten, verpassen Sie die Frist.

Lösung: Früh melden. Sie können in der detaillierten Meldung aktualisieren mit "nicht mehr als ausgenutzt angesehen", wenn Beweise es nicht stützen.

CVD mit Meldung verwechseln

Problem: Forschermeldungen als ENISA-Meldungen behandeln.

Realität: Coordinated Vulnerability Disclosure und ENISA-Meldung sind separate Prozesse.

• CVD: Wie Sie Forschermeldungen handhaben, Offenlegungszeitpläne vereinbaren
• ENISA: Verpflichtende Meldung bei Ausnutzung

Lösung: CVD-Prozess sollte eine Prüfung enthalten: "Gibt es Hinweise auf Ausnutzung?" Wenn ja, ENISA-Meldung parallel zu CVD auslösen.

Einzelner Fehlerpunkt

Problem: Nur eine Person kann Meldungen autorisieren, und sie ist nicht erreichbar.

Realität: Ausnutzung kann jederzeit entdeckt werden. Wochenenden. Feiertage. 3 Uhr morgens.

Lösung: Mehrere autorisierte Melder. Klare Delegation. Notfall-Kontaktkette.

Keine Beziehung zu CSIRTs

Problem: Erster Kontakt mit Ihrem nationalen CSIRT ist während eines Vorfalls.

Realität: Beziehungen im Voraus aufzubauen macht die Vorfallsreaktion reibungsloser.

Lösung: Nehmen Sie jetzt Kontakt mit dem BSI oder Ihrem nationalen CSIRT auf. Verstehen Sie deren Prozesse. Nehmen Sie an Herstellerkontaktprogrammen teil.

KMU-Ausnahmen

Kleine und mittlere Unternehmen haben gewisse Erleichterungen:

Ausnahme bei Meldefristen: KMU sind von Bußgeldern speziell bezüglich der 24-Stunden- und 72-Stunden-Meldefristen befreit.

Weiterhin erforderlich:

• Meldung (nur nicht für Fristverzögerungen bestraft)
• Alle anderen CRA-Pflichten
• Abschlussberichte

Definition: KMU gemäß EU-Empfehlung 2003/361/EG (weniger als 250 Mitarbeiter, Umsatz ≤ 50 Mio. EUR oder Bilanzsumme ≤ 43 Mio. EUR).

Diese Ausnahme gilt nur für Fristverstöße. KMU müssen trotzdem Meldefähigkeiten aufbauen.

Integration mit bestehenden Prozessen

Wenn Sie bereits Incident Response haben

Ordnen Sie CRA-Meldungen Ihrem bestehenden Prozess zu:

BESTEHENDER IR-PROZESS           CRA-INTEGRATION
─────────────────────────────────────────────────
Erkennung
    │
Triage ───────────────────→  Prüfung: Ausnutzung eines CRA-Produkts?
    │                              │
Eindämmung                         ├─ JA: 24h-Uhr starten
    │                              │      Frühwarnung einreichen
Untersuchung                       │
    │                              │
Behebung ─────────────────→  72h detaillierte Meldung
    │
Wiederherstellung
    │
Lessons Learned ──────────→  14d/30d Abschlussbericht

Wenn Sie NIS-2-Pflichten haben

Einige Organisationen haben sowohl NIS-2- als auch CRA-Pflichten:

• NIS 2: Vorfälle auf Organisations-/Dienstebene
• CRA: Schwachstellen und Vorfälle auf Produktebene

Diese können sich überschneiden. Ein einzelner Vorfall kann erfordern:

• NIS-2-Meldung an zuständige Behörde
• CRA-Meldung an ENISA/CSIRT

Die ENISA SRP ist darauf ausgelegt, die Weiterleitung für beide Regime zu handhaben, wo anwendbar.

ENISA-Meldebereitschafts-Checkliste

ENISA-MELDEBEREITSCHAFTS-CHECKLISTE

VOR SEPTEMBER 2026:

KANÄLE & KONTAKTE
[ ] security.txt veröffentlicht und aktuell
[ ] Schwachstellen-Meldeformular verfügbar
[ ] Sicherheits-E-Mail überwacht (SLA definieren: ____ Stunden)
[ ] Kontakt zum nationalen CSIRT (BSI) identifiziert
[ ] ENISA SRP Registrierung (wenn verfügbar)

INTERNER PROZESS
[ ] Triage-Kriterien dokumentiert
[ ] Checkliste zur Ausnutzungsbewertung erstellt
[ ] Eskalationspfad definiert (Namen, Kontakte)
[ ] Autorisierte Melder identifiziert
[ ] Außerdienstliche Abdeckung etabliert

DOKUMENTATION
[ ] Frühwarnungs-Vorlage vorbereitet
[ ] Vorlage für detaillierte Meldung vorbereitet
[ ] Abschlussbericht-Vorlage vorbereitet
[ ] Interne Briefing-Materialien bereit

TESTS
[ ] Planspiel durchgeführt
[ ] Außerdienstliche Eskalation getestet
[ ] Vorlagenprüfung abgeschlossen

BEI ERKANNTER AUSNUTZUNG:

SOFORT (innerhalb von 4 Stunden)
[ ] Erste Bewertung: Ist dies aktiv ausgenutzt?
[ ] Uhrstart-Zeit dokumentiert: ____________
[ ] Eskalation an autorisierten Melder

INNERHALB VON 24 STUNDEN
[ ] Frühwarnung bei ENISA SRP eingereicht
[ ] Einreichungsbestätigung erhalten
[ ] Interne Stakeholder informiert

INNERHALB VON 72 STUNDEN
[ ] Detaillierte Meldung eingereicht
[ ] Mitigationsstatus aktualisiert
[ ] Kundenkommunikation initiiert (falls angemessen)

INNERHALB VON 14 TAGEN (Schwachstelle) / 30 TAGEN (Vorfall)
[ ] Abschlussbericht eingereicht
[ ] Lessons Learned dokumentiert
[ ] Prozessverbesserungen identifiziert

Wie CRA Evidence hilft

CRA Evidence umfasst Unterstützung für den ENISA-Melde-Workflow:

• Fristenverfolgung: Automatischer Countdown ab Entdeckung
• Berichtsvorlagen: Mit Ihren Produktdetails vorausgefüllt
• Audit-Trail: Dokumentieren Sie Ihren Zeitplan und Ihre Entscheidungen
• Integration: Verbinden Sie Schwachstellen-Scanning mit dem Melde-Workflow

Seien Sie bereit für September 2026 mit app.craevidence.com.

Zeitplan: Erfahren Sie, wann die Meldepflichten beginnen, in unserem CRA-Umsetzungszeitplan.

CVD: Richten Sie Ihren Schwachstellen-Eingangsprozess mit unserer CVD-Richtlinienvorlage ein.

Strafen: Verstehen Sie die Durchsetzungsfolgen in unserem Strafen-Leitfaden.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater, die mit EU-Produktvorschriften vertraut sind.