CRA-Schwachstellenmeldung: ENISA-SRP-Onboarding (Art. 14)

Der EU Cyber Resilience Act (Verordnung (EU) 2024/2847) leitet die Meldungen jedes Herstellers nach Artikel 14 über einen einzigen Kanal: die ENISA Single Reporting Platform (SRP), die nach Artikel 16 eingerichtet wurde. Die Plattform ist noch nicht in Betrieb. ENISA entwickelt sie nach Artikel 16(5); sie geht in Betrieb, wenn Artikel 14 ab dem 11. September 2026 Anwendung findet (Artikel 71(2)). Diese Seite behandelt, was Hersteller jetzt vorbereiten sollten, den erwarteten Registrierungsablauf und wie eine interne Eskalation aufzubauen ist, die zur 24-Stunden-Frist passt. Zu den Meldefristen siehe Schwachstellenmeldung.

Zusammenfassung

  • Die SRP ist der einzige Kanal nach Artikel 14. Artikel 14(1) und 14(3) verpflichten Hersteller, ENISA und das koordinierende CSIRT "über die nach Artikel 16 eingerichtete Single Reporting Platform" zu benachrichtigen. Die E-Mail-Adresse eines nationalen CSIRT ist kein Ersatz.
  • Registrierung vor dem ersten meldepflichtigen Ereignis. Die 24h-Frist nach Artikel 14(1) wird durch das Onboarding nicht unterbrochen. Ein typisches Onboarding von etwa einer Woche setzt voraus, dass Zugangsdaten, Kontakte und Produktportfoliodaten bereits vorliegen.
  • Hersteller sind die Verpflichteten. Importeure und Händler erstatten keine Meldungen nach Artikel 14; sie informieren den Hersteller (Artikel 19(5) zweiter Unterabsatz; Artikel 20(4) zweiter Unterabsatz). Bevollmächtigte können im Namen eines nicht in der EU ansässigen Herstellers Meldungen einreichen, sofern das AR-Mandat dies abdeckt.
  • Zwei Kontakte, zwei Kanäle. Der einzige Ansprechpartner nach Artikel 13(17) ist der nutzergerichtete Kanal. Der SRP-Registrierungskontakt ist der behördengerichtete Kanal. Beide sind erforderlich und sollten nicht dieselbe Adresse sein.
  • CSIRT-Routing folgt der Hauptniederlassung. Artikel 14(7) sendet Meldungen an das CSIRT, das als Koordinator im Mitgliedstaat der Hauptniederlassung benannt ist, mit einer Ausweichkette für Hersteller ohne EU-Niederlassung.
11 Sep 2026
Meldepflicht beginnt
Artikel 71(2)
24h
SRP-Frühwarnung
Artikel 14(1)
7 Tage
Typisches Onboarding
vor jedem meldepflichtigen Ereignis registrieren
€15M / 2,5%
Höchstbußgeld
Artikel 64(2)

Das Onboarding ist eine Frist, kein Backlog-Eintrag: Die Registrierung muss dem ersten Ereignis vorausgehen, das die 24h-Uhr auslöst.

Was der CRA zur SRP sagt

Artikel 16(1) ist die konstitutive Bestimmung:

Für die Zwecke der Meldungen nach Artikel 14(1) und (3) und Artikel 15(1) und (2) und um die Meldepflichten der Hersteller zu vereinfachen, wird von ENISA eine Single Reporting Platform eingerichtet. Der laufende Betrieb dieser Single Reporting Platform wird von ENISA verwaltet und gepflegt. Die Architektur der Single Reporting Platform ermöglicht es den Mitgliedstaaten und ENISA, eigene elektronische Meldeendpunkte einzurichten.

Drei operative Tatsachen folgen daraus. Erstens betreibt ENISA die Plattform, aber die Mitgliedstaaten schließen ihre eigenen elektronischen Meldeendpunkte an. Zweitens bestimmt Artikel 14(7), dass die Meldung "über den elektronischen Meldeendpunkt des CSIRT, das als Koordinator in dem Mitgliedstaat benannt ist, in dem der Hersteller seine Hauptniederlassung in der Union hat, übermittelt wird und gleichzeitig für ENISA zugänglich ist": eine Einreichung, zwei Empfänger. Drittens überträgt Artikel 16(2) dem empfangenden CSIRT die Pflicht, die Meldung an andere CSIRTs weiterzuleiten, deren Hoheitsgebiet der Hersteller als betroffen angegeben hat. Das grenzüberschreitende Routing erfolgt innerhalb der Plattform.

Die SRP nimmt auch freiwillige Meldungen nach Artikel 15 entgegen und ist der Kanal für die 72-Stunden-Meldung und den Abschlussbericht nach Artikel 14(2) und 14(4). Beide Ströme nutzen dieselbe SRP und dieselbe Registrierung.

Wer sich registrieren muss

Artikel 14 gilt für Hersteller von Produkten mit digitalen Elementen. Die Meldepflichten nach Artikel 14(1) und 14(3) richten sich ausschließlich an den Hersteller.

Importeure und Händler haben leichtere Pflichten. Nach Artikel 19(5) zweiter Unterabsatz muss ein Importeur, der von einer Schwachstelle Kenntnis erlangt, "den Hersteller unverzüglich über diese Schwachstelle" informieren; Händler tragen die entsprechende Pflicht nach Artikel 20(4) zweiter Unterabsatz. Keiner registriert sich bei der SRP, keiner erstattet Meldungen nach Artikel 14, keiner erbt die 24h-Frist. Siehe Importeur und Händler.

Ein nicht in der EU ansässiger Hersteller kann die Meldepflichten nach Artikel 14 über einen Bevollmächtigten nach Artikel 18 abwickeln, sofern das Mandat die Meldung abdeckt. Artikel 18(2) schließt Artikel 13(1) bis (11), Artikel 13(12) erster Unterabsatz und Artikel 13(14) vom AR-Mandat aus, schließt Artikel 14 jedoch nicht aus, sodass ein schriftliches Mandat, das Artikel-14-Meldungen ausdrücklich abdeckt, durchsetzbar ist. Der Bevollmächtigte hält die SRP-Zugangsdaten und reicht Meldungen im Namen des Herstellers ein.

Voraussetzungen vor der Registrierung

Sechs Angaben, die die Organisation vor der Registrierung bereithalten muss. Fehlt eine davon zum Zeitpunkt der Registrierung, blockiert dies das Onboarding.

Anforderung Artikel-Anker Was Sie benötigen
Juristische Person im Mitgliedstaat der Hauptniederlassung Artikel 14(7) Ein eindeutiger Rechtsträgernachweis, der es der SRP ermöglicht, das koordinierende CSIRT zuzuweisen (der Staat, "in dem die Entscheidungen im Zusammenhang mit der Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden").
Einziger Ansprechpartner nach Artikel 13(17) Artikel 13(17) dritter Unterabsatz Ein nutzergerichteter Kanal, der "diese Mittel nicht auf automatisierte Tools beschränken" darf. Reine Autoresponder-Postfächer erfüllen die Anforderung nicht. Wird in den Benutzerinformationen nach Anhang II veröffentlicht.
Separater behördengerichteter Sicherheitskontakt Artikel 14 + Artikel 16(5) (erwartet) Ein zweiter Kontakt für ENISA und das koordinierende CSIRT, der vom nutzergerichteten Kanal nach Artikel 13(17) getrennt ist. Dasselbe Postfach sollte nicht beide Funktionen übernehmen.
Identitätsnachweise Artikel 16(5) (Spezifikation ausstehend) EU-Hersteller sollten eine eIDAS-anerkannte elektronische Identifizierung erwarten. Nicht-EU-Hersteller weisen ihre Identität über die AR-Kette nach. Die genauen technischen Nachweise sind Teil der Spezifikationen nach Artikel 16(5).
Produktportfolio-Inventar Artikel 14(2)(a) Eine aktuelle Liste der Produkte und der Mitgliedstaaten, in denen jedes Produkt bereitgestellt wurde. Ohne diese Angabe kann die Frühwarnung die betroffenen Gebiete nicht korrekt angeben.
Dokumentierte interne Eskalation Artikel 14(1) Ein schriftliches Verfahren, das die Organisation von der Erkennung zur SRP-Einreichung innerhalb von 24 Stunden führt, einschließlich Bereitschaft außerhalb der Geschäftszeiten. "Unverzüglich und in jedem Fall innerhalb von 24 Stunden" lässt keinen Raum für Ad-hoc-Eskalation.

Zeitplan: von heute zum ersten meldepflichtigen Ereignis

SRP-Zeitplan: ENISA-Aufbau und Herstellervorbereitung vor und nach dem Stichtag 11. September 2026 Ein Zwei-mal-Zwei-Diagramm. Die Zeilen trennen die Zuständigkeiten von ENISA und dem Hersteller. Die Spalten teilen den Zeitplan am 11. September 2026: Vorbereitung vor dem Stichtag links, Live-Betrieb nach dem Stichtag rechts. ENISA baut vor dem Stichtag die Plattform gemäß den Spezifikationen nach Artikel 16(5) und den Durchführungsrechtsakten nach Artikel 14(10); nach dem Stichtag empfängt die SRP jede Meldung nach Artikel 14. Der Hersteller bereitet vor dem Stichtag Rechtsträger, separate Kontakte nach Artikel 13(17) und SRP, Produktportfolio, 24h-Eskalations-SLA und AR-Mandat vor; nach dem Stichtag ist er registriert und führt die 24-Stunden-Frühwarnuhr nach Artikel 14(1) ab dem ersten Ereignis. SRP-Stichtag: ENISA-Aufbau und Herstellervorbereitung beiderseits des 11. Sep 2026 11 Sep 2026 VOR DEM STICHTAG (heute → 11. Sep 2026) NACH DEM STICHTAG (Artikel 14 gilt) ENISA Hersteller Aufbau der SRP Art. 16(5) Spezifikationen Art. 14(10) Durchführungsrechtsakte SRP einsatzbereit Empfängt jede Meldung nach Artikel 14 CSIRT-Routing nach Art. 14(7) + 16(2) Vorbereiten Rechtsträger, separate Kontakte, Produktportfolio, 24h-SLA, AR-Mandat Registriert, 24h-bereit Erstes Ereignis löst Art. 14(1) aus: Kenntnis → 24h-Frühwarnung
Der 11. September 2026 ist durch Artikel 71(2) festgelegt. Vor dem Stichtag ist Vorbereitung angesagt; nach dem Stichtag gilt die regulierte Meldepflicht mit 24-Stunden-Frist. Diese Seite wird aktualisiert, sobald ENISA den Live-Registrierungsablauf veröffentlicht.
Die SRP ist noch nicht in Betrieb

ENISA entwickelt die Plattform nach Artikel 16(5) in Zusammenarbeit mit dem CSIRTs-Netzwerk. Die genauen Registrierungsschritte, der Zugangsdatenmechanismus und die elektronischen Meldeendpunkte unterliegen den Spezifikationen nach Artikel 16(5) und den Durchführungsrechtsakten nach Artikel 14(10). Der nachfolgende Rahmen spiegelt den Wortlaut der Verordnung und den öffentlich bekannten Stand vom 2026-05-05 wider; überprüfen Sie die aktuellen ENISA-Hinweise, bevor Sie einen bestimmten UI-Schritt als endgültig behandeln. Das Datum des Inkrafttretens von Artikel 14 am 11. September 2026 ist durch Artikel 71(2) festgelegt.

Erwarteter Registrierungsablauf

Die genauen Registrierungsschritte hängen von den Spezifikationen nach Artikel 16(5) und den Durchführungsrechtsakten nach Artikel 14(10) ab, die beide noch finalisiert werden. Dieser Abschnitt wird aktualisiert, sobald ENISA den Live-Ablauf veröffentlicht. Auf Grundlage des Verordnungstexts ist zu erwarten, dass die Registrierung den Rechtsträger verifiziert, den behördengerichteten SRP-Kontakt erfasst (getrennt vom nutzergerichteten Kontakt nach Artikel 13(17)), das Produktportfolio mit seiner Mitgliedstaatenabdeckung aufnimmt und das koordinierende CSIRT nach Artikel 14(7) zuweist. Nach der Registrierung verarbeitet derselbe Endpunkt alle späteren Einreichungen: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Zwischenberichte auf CSIRT-Anfrage (Artikel 14(6)) und den Abschlussbericht.

Interne Eskalation: die 24h-Frist einhalten

Artikel 14(1) startet die Frist mit dem Zeitpunkt der Kenntniserlangung, nicht der Bestätigung. Die eigentliche Herausforderung besteht darin, innerhalb von 24 Stunden von "wir haben soeben erfahren" zu "wir haben soeben eingereicht" zu gelangen, einschließlich außerhalb der Geschäftszeiten.

Schritt Innerhalb von 24h? Hinweise
Erkennung Ja Interne Entwicklung, Kundenmeldungen, Monitoring, Bedrohungsdaten, CVD-Eingang. Triage-Pfade für "aktiv ausgenutzt" und "schwerwiegender Vorfall" müssen getrennt sein.
Triage Ja Signale der Schweregradbewertung (CVSS / EPSS / KEV) als Eingangsgrößen verwenden. Ausnutzungsnachweise sind der Auslöser nach Artikel 14(1); Schwere allein genügt nicht.
Rechtsprüfung Parallel Ein serielles Warten auf rechtliche Freigabe verpasst die 24h. Artikel 14(2)(a) erlaubt dem Hersteller, Sensibilität anzugeben; Artikel 16(2) erlaubt der Plattform, die Weiterleitung aus Cybersicherheitsgründen zurückzuhalten.
SRP-Frühwarnung Ja Artikel 14(2)(a) oder 14(4)(a).
72h-Meldung Nach 24h Artikel 14(2)(b) oder 14(4)(b).
Abschlussbericht 14 Tage (Schwachstelle) / 1 Monat (Vorfall) Artikel 14(2)(c) ab Verfügbarkeit einer Abhilfemaßnahme; Artikel 14(4)(c) ab der 72h-Meldung. Unterschiedliche Fristen.

Ein Triage-Prozess, der "in der Regel 48 Stunden dauert", ist strukturell nicht konform.

CSIRT-Routing

Artikel 14(7) leitet die Meldung an das CSIRT im Mitgliedstaat der Hauptniederlassung weiter ("in dem die Entscheidungen im Zusammenhang mit der Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden"). Für Hersteller ohne Hauptniederlassung in der Union gilt der dritte Unterabsatz mit einer vierstufigen Ausweichkette: Mitgliedstaat des Bevollmächtigten, dann des Importeurs, dann des Händlers, dann der Nutzerkonzentration. Nach der Einreichung übernimmt Artikel 16(2) die grenzüberschreitende Weiterleitung an CSIRTs in anderen betroffenen Mitgliedstaaten.

Häufige Fehler

  • Registrierung erst nach dem ersten meldepflichtigen Ereignis. Die 24h-Frist wird durch das Onboarding nicht unterbrochen. Registrierung deutlich vor dem 11. September 2026.
  • Eine generische security@-Adresse mit Autoresponder. Verstößt gegen Artikel 13(17) dritter Unterabsatz für den nutzergerichteten Kanal und ist für den SRP-Behördenkanal ungeeignet.
  • Kein oder veraltetes Produktportfolio in der Registrierung. Artikel 14(2)(a) verlangt, dass die Frühwarnung die betroffenen Mitgliedstaaten angibt; ohne aktuelles Inventar ist die Frühwarnung unvollständig.
  • Kein interner SLA für die 24h-Frist. Der Weg von der Erkennung zur Einreichung benötigt ein explizites Zeitbudget.
  • Meldung per nationaler CSIRT-E-Mail. Artikel 14(1) und 14(3) benennen die SRP. Eine E-Mail an ein nationales CSIRT ist kein Äquivalent.
  • Den Bevollmächtigten als Weiterleitungsadresse behandeln. Das AR-Mandat eines nicht in der EU ansässigen Herstellers nach Artikel 18(1) muss Artikel-14-Meldungen ausdrücklich abdecken, und der Bevollmächtigte muss SRP-Zugangsdaten halten.

Häufig gestellte Fragen

Ist die SRP bereits in Betrieb?

Nein. ENISA entwickelt die Plattform nach Artikel 16(5) in Zusammenarbeit mit dem CSIRTs-Netzwerk. Artikel 71(2) legt das Betriebsdatum auf den 11. September 2026 fest, wenn Artikel 14 Anwendung findet. Der genaue Registrierungsablauf, der Zugangsdatenmechanismus und die elektronischen Meldeendpunkte der Plattform unterliegen den Spezifikationen nach Artikel 16(5) und den Durchführungsrechtsakten nach Artikel 14(10). Behandeln Sie aktuelle öffentliche Hinweise als vorläufig und überprüfen Sie diese bei ENISA, bevor Sie sich auf einen bestimmten UI-Schritt verlassen.

Wann geht die SRP für Hersteller in Betrieb?

Artikel 71(2) bestimmt: "Artikel 14 gilt ab dem 11. September 2026". Ab diesem Zeitpunkt müssen Hersteller über die SRP einreichen können. Der operative Betriebsstart der Plattform wird von ENISA nach Artikel 16(5) und den Durchführungsrechtsakten nach Artikel 14(10) festgelegt; überprüfen Sie die aktuellen ENISA-Hinweise näher an diesem Datum.

Registrieren sich Importeure und Händler bei der SRP?

Nein. Ihre Pflicht besteht darin, den Hersteller über eine Schwachstelle zu informieren: nach Artikel 19(5) zweiter Unterabsatz (Importeure) und Artikel 20(4) zweiter Unterabsatz (Händler). Die Meldepflicht nach Artikel 14 über die SRP ist eine Verpflichtung des Herstellers.

Kann sich ein nicht in der EU ansässiger Hersteller direkt registrieren?

Der übliche Weg verläuft über einen Bevollmächtigten nach Artikel 18(1), mit einem schriftlichen Mandat, das Artikel-14-Meldungen abdeckt. Der Bevollmächtigte hält die SRP-Zugangsdaten und reicht im Namen des Herstellers ein. Der Bevollmächtigte kann den Hersteller nicht für Pflichten ersetzen, die durch Artikel 18(2) ausgeschlossen sind (Artikel 13(1) bis (11), Artikel 13(12) erster Unterabsatz, Artikel 13(14)).

Was tun, wenn unsere SRP-Einreichung fehlschlägt?

Die SRP ist der benannte Kanal nach Artikel 14(1) und 14(3). Ist die Plattform nicht erreichbar, wenden Sie sich über den veröffentlichten Kontakt für seinen elektronischen Meldeendpunkt an das koordinierende CSIRT und dokumentieren Sie den Ausfall. Die 24h-Frist wird durch technische Probleme nicht ausgesetzt; streben Sie eine Meldung nach bestem Bemühen innerhalb des Zeitfensters an und halten Sie vollständig fest, warum die SRP nicht erreichbar war.

Ist der einzige Ansprechpartner nach Artikel 13(17) derselbe wie der SRP-Registrierungskontakt?

Nein. Artikel 13(17) ist ein nutzergerichteter Kanal, der "diese Mittel nicht auf automatisierte Tools beschränken" darf, und wird in den Benutzerinformationen nach Anhang II veröffentlicht. Der SRP-Registrierungskontakt ist ein behördengerichteter Kanal für ENISA und das koordinierende CSIRT. Beide sind erforderlich und sollten kein gemeinsames Postfach nutzen.

Nächste Schritte zur Vorbereitung auf den 11. September 2026

  1. ENISA-Hinweise zur SRP und die Spezifikationen nach Artikel 16(5) verfolgen. ENISA-Updates und das Bulletin des koordinierenden CSIRT des Mitgliedstaats abonnieren, damit das Team informiert ist, sobald der Registrierungsablauf freigegeben wird.
  2. Einen SRP-Kontakt benennen, der vom nutzergerichteten einzigen Ansprechpartner nach Artikel 13(17) getrennt ist.
  3. Den internen Eskalationsablauf von der Erkennung zur Frühwarnung dokumentieren, mit einem expliziten SLA innerhalb von 24 Stunden und Bereitschaft außerhalb der Geschäftszeiten.
  4. Eine Tischübung durchführen, die eine aktiv ausgenutzte Schwachstelle simuliert, und verifizieren, dass eine SRP-Einreichung innerhalb des Zeitfensters nach Artikel 14(1) abgeschlossen werden kann. Die aktuell von ENISA veröffentlichte Meldeformularvorlage als Platzhalter verwenden, bis das endgültige Formular vorliegt.
  5. Wenn Sie sich auf einen Bevollmächtigten stützen, bestätigen Sie, dass das AR-Mandat nach Artikel 18(1) Artikel-14-Meldungen abdeckt und der Bevollmächtigte SRP-Zugangsdaten sowie eine aktuelle Produktportfolio-Zuordnung hält.
  6. Das CSIRT-Routing nach Artikel 14(7) mit der tatsächlichen Hauptniederlassung abgleichen.
  7. Zu Fristen und der Rechtsdefinition von "aktiv ausgenutzt" weiter zu Schwachstellenmeldung; zum Behandlungsregime siehe Schwachstellenbehandlung; zu den vollständigen Pflichten des Herstellers siehe die Rollenseite.