Der EU Cyber Resilience Act (Verordnung (EU) 2024/2847) leitet die meldepflichtigen Schwachstellen und schwerwiegenden Sicherheitsvorfälle jedes Herstellers über einen einzigen Kanal: die ENISA Single Reporting Platform (SRP). Die Plattform ist noch nicht in Betrieb; sie geht am 11. September 2026 in Betrieb, wenn die Meldepflichten anwendbar werden. ENISA kündigt an, die Zugangs- und Registrierungsanleitung sowie Schulungs- und Testmaterial im Juni 2026 bereitzustellen, sodass die Registrierungsmechanismen noch nicht veröffentlicht sind. Diese Seite behandelt, was Hersteller jetzt vorbereiten sollten, den erwarteten Registrierungsablauf und wie eine interne Eskalation aufzubauen ist, die zur 24-Stunden-Frist passt. Zu den Fristen siehe Schwachstellenmeldung.
Zusammenfassung
- Die Single Reporting Platform ist der einzige Meldekanal. Hersteller benachrichtigen ENISA und den Koordinator-CSIRT über die Plattform. Eine nationale CSIRT-E-Mail ist kein Ersatz.
- Vor dem ersten meldepflichtigen Ereignis vorbereiten. Die 24-Stunden-Frist pausiert nicht wegen Registrierungs- oder Routing-Problemen. Halten Sie Rechtsträger-, Produkt-, Kontakt- und Eskalationsdaten bereit, bevor die Plattform öffnet.
- Hersteller sind die Verpflichteten. Einführer und Händler informieren den Hersteller; sie reichen selbst keine Meldungen ein. Ein Bevollmächtigtenauftrag kann Meldungen für einen Nicht-EU-Hersteller abdecken.
- Kontaktzwecke trennen. Die zentrale Anlaufstelle für Nutzer ist der nutzergerichtete Kanal. Der Behördenkontakt für die Plattform sollte separat geführt werden, damit ENISA und der Koordinator-CSIRT das Meldeteam erreichen.
- CSIRT-Routing folgt der Hauptniederlassung. Meldungen gehen an das als Koordinator benannte CSIRT im Mitgliedstaat der Hauptniederlassung, mit einer Ausweichkette für Nicht-EU-Hersteller, die im Abschnitt CSIRT-Routing unten erläutert wird.
Onboarding ist eine Bereitschaftsaufgabe, nichts, was erst nach dem Eintritt der 24-Stunden-Frist beim ersten Ereignis beginnt.
Was der CRA zur Single Reporting Platform sagt
ENISA richtet die Single Reporting Platform (SRP) ein und betreibt sie. Mitgliedstaaten und ENISA können im Rahmen dieser Architektur eigene elektronische Meldeendpunkte einrichten. Drei operative Tatsachen folgen daraus:
- ENISA betreibt die Single Reporting Platform. Mitgliedstaaten und ENISA können weiterhin eigene elektronische Meldeendpunkte einrichten.
- Eine Einreichung erreicht beide Ebenen. Der Hersteller reicht über den Endpunkt des Koordinator-CSIRT ein, und die Meldung ist gleichzeitig für ENISA zugänglich.
- Grenzüberschreitendes Routing erfolgt innerhalb der Plattform. Das empfangende CSIRT leitet die Meldung an andere CSIRTs weiter, deren Hoheitsgebiet der Hersteller als betroffen angegeben hat.
Die Plattform nimmt auch freiwillige Meldungen entgegen und ist der Kanal für die 72-Stunden-Meldung und den Abschlussbericht. ENISA hat angekündigt, dass die Funktionalität für freiwillige Meldungen erst nach dem 11. September 2026 aktiviert wird, also im Anschluss an den Start der verpflichtenden Meldung. Beide Stränge nutzen dieselbe Plattform-Architektur, auch wenn ENISA die operativen Masken noch finalisieren muss.
Wer sich registrieren muss
Hersteller tragen die verpflichtende Meldepflicht über die Single Reporting Platform. Die Pflicht liegt bei Herstellern von Produkten mit digitalen Elementen, nicht bei der übrigen Lieferkette.
Einführer und Händler informieren den Hersteller. Sie registrieren sich nicht auf der Plattform, reichen selbst keine Meldungen ein und erben die 24-Stunden-Frist nicht. Ihre Pflicht ist es, den Hersteller unverzüglich zu informieren, sobald sie von einer Schwachstelle Kenntnis erlangen. Siehe Einführer und Händler.
Nicht-EU-Hersteller brauchen Routing-Klarheit. Ein schriftlicher Bevollmächtigtenauftrag kann die verpflichtende Meldung abdecken, weil die Ausschlüsse für Bevollmächtigte die Meldung selbst nicht erfassen. Ohne Hauptniederlassung in der Union folgt das Routing der Ausweichkette: Bevollmächtigter, Einführer, Händler, danach Nutzerkonzentration.
Voraussetzungen vor der Registrierung
Sechs Angaben sollte die Organisation vor der Registrierung bereithalten. Die genauen Plattform-Masken hängen noch von den Spezifikationen ab, aber fehlende Angaben verzögern die erste Einreichung.
| Anforderung | Was Sie benötigen |
|---|---|
| Juristische Person im Mitgliedstaat der Hauptniederlassung | Ein eindeutiger Rechtsträgernachweis, der es der Plattform ermöglicht, den Koordinator-CSIRT zuzuweisen (der Staat, "in dem die Entscheidungen im Zusammenhang mit der Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden"). |
| Zentrale Anlaufstelle für Nutzer | Ein nutzergerichteter Kanal, bei dem "diese Mittel nicht auf automatisierte Instrumente beschränkt werden dürfen". Reine Autoresponder-Postfächer erfüllen die Anforderung nicht. Wird in den Nutzerinformationen veröffentlicht, die das Produkt begleiten. |
| Behördengerichteter Sicherheitskontakt | Ein Kontakt für ENISA und den Koordinator-CSIRT, operativ getrennt vom nutzergerichteten Kanal. Die genauen Registrierungsfelder bleiben den ENISA-Spezifikationen vorbehalten. |
| Identitäts- und Vertretungsnachweis | Nachweis, dass die einreichende Person für den Hersteller handeln darf. Die genauen Zugangsdatenmechanismen bleiben den ENISA-Spezifikationen und -Hinweisen vorbehalten. |
| Produktportfolio-Inventar | Eine aktuelle Liste der Produkte und der Mitgliedstaaten, in denen jedes Produkt bereitgestellt wurde. Ohne diese Angabe kann die Frühwarnung die betroffenen Gebiete nicht korrekt angeben. |
| Dokumentierte interne Eskalation | Ein schriftliches Verfahren, das die Organisation innerhalb von 24 Stunden von der Erkennung zur Einreichung über die Plattform führt, einschließlich Bereitschaft außerhalb der Geschäftszeiten. "Unverzüglich und in jedem Fall innerhalb von 24 Stunden" lässt keinen Raum für Ad-hoc-Eskalation. |
Zeitplan: von heute zum ersten meldepflichtigen Ereignis
ENISA entwickelt die Plattform in Zusammenarbeit mit dem CSIRTs-Netzwerk. Die genauen Registrierungsmasken, der Zugangsdatenmechanismus und die elektronischen Meldeendpunkte bleiben den ENISA-Spezifikationen und den Durchführungsrechtsakten der Kommission vorbehalten. Der nachstehende Rahmen spiegelt den Wortlaut der Verordnung und den öffentlich bekannten Stand vom 10. Juni 2026 wider. ENISA kündigt an, die Zugangs- und Registrierungsanleitung im Juni 2026 bereitzustellen; sie ist noch nicht veröffentlicht. Prüfen Sie daher die offizielle ENISA-SRP-Seite, bevor Sie einen bestimmten UI-Schritt als endgültig behandeln. Der Stichtag 11. September 2026 ist im CRA-Zeitplan festgelegt.
Erwarteter Registrierungsablauf
Die genauen Masken der Single Reporting Platform hängen noch von den Spezifikationen ab. ENISA hat den Live-Ablauf noch nicht veröffentlicht. Dieser Abschnitt ist eine Vorbereitungsliste und keine endgültige UI-Anleitung.
Die Registrierung dürfte vier Punkte abdecken:
- Rechtsträger: wer der Hersteller ist und wo seine Hauptniederlassung liegt.
- Behördenkontakt: der Plattform-Kontakt für Nachrichten von ENISA und Koordinator-CSIRT, getrennt vom nutzergerichteten Kanal.
- Produktabdeckung: das Produktportfolio und die Mitgliedstaaten, in denen betroffene Produkte bereitgestellt werden.
- Koordinator-Routing: die CSIRT-Zuweisung nach den Regeln für Hauptniederlassung und Ausweichkette.
Nach der Registrierung verarbeitet derselbe Endpunkt spätere Einreichungen: die 24-Stunden-Frühwarnung, die 72-Stunden-Meldung, vom CSIRT angeforderte Zwischenberichte und den Abschlussbericht.
ENISA hat außerdem angekündigt, dass für diese Phase keine API der Plattform bereitgestellt wird. Planen Sie die erste Meldebereitschaft daher um die Einreichung über die Plattform selbst, nicht über eine API-Anbindung aus Ihren eigenen Systemen.
Rechtliche Grundlage
- Frühwarnung, 72-Stunden-Meldung, Abschlussbericht (Schwachstellen-Strang).
- Frühwarnung, 72-Stunden-Meldung, Abschlussbericht (Vorfall-Strang).
- Vom CSIRT angeforderte Zwischenberichte.
- Technische Spezifikationen der Single Reporting Platform.
- Durchführungsrechtsakte der Kommission zum Rahmen der Plattform.
Was jede Einreichung über die Single Reporting Platform enthalten muss
Artikel 14 legt drei Meldestufen pro meldepflichtigem Ereignis fest. Die Inhaltsanforderungen unterscheiden sich zwischen dem Strang der aktiv ausgenutzten Schwachstellen und dem Strang der schwerwiegenden Sicherheitsvorfälle.
Aktiv ausgenutzte Schwachstelle:
| Stufe | Frist | Mindestinhalt |
|---|---|---|
| Frühwarnung | 24 Stunden ab Kenntniserlangung | Hinweis, dass eine Schwachstelle aktiv ausgenutzt wird; Mitgliedstaaten, in denen das Produkt bereitgestellt wird, soweit bekannt |
| Schwachstellenmeldung | 72 Stunden ab Kenntniserlangung | Allgemeine Angaben zum Produkt; allgemeine Art des Exploits und der Schwachstelle; ergriffene Abhilfe- oder Minderungsmaßnahmen; Maßnahmen, die Nutzer ergreifen können; Sensibilitätshinweis |
| Abschlussbericht | 14 Tage nach Verfügbarkeit einer Abhilfe- oder Minderungsmaßnahme | Beschreibung der Schwachstelle einschließlich Schweregrad und Auswirkung; Informationen zu etwaigen böswilligen Akteuren, die sie ausnutzen, soweit verfügbar; Details zu Sicherheitsupdates oder Abhilfemaßnahmen |
Schwerwiegender Sicherheitsvorfall mit Auswirkung auf die Sicherheit des Produkts:
| Stufe | Frist | Mindestinhalt |
|---|---|---|
| Frühwarnung | 24 Stunden ab Kenntniserlangung | Angabe, ob der Verdacht besteht, dass der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist; Mitgliedstaaten, in denen das Produkt bereitgestellt wird, soweit bekannt |
| Vorfallsmeldung | 72 Stunden ab Kenntniserlangung | Art des Vorfalls; erste Einschätzung; ergriffene Abhilfe- oder Minderungsmaßnahmen; Maßnahmen, die Nutzer ergreifen können; Sensibilitätshinweis |
| Abschlussbericht | 1 Monat nach der 72-Stunden-Vorfallsmeldung | Ausführliche Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkung; Art der Bedrohung oder der wahrscheinlichen Ursache; angewandte und laufende Minderungsmaßnahmen |
Das als Koordinator benannte CSIRT kann zwischen der 72-Stunden-Meldung und dem Abschlussbericht auch einen Zwischenbericht anfordern. In keinem der beiden Stränge sind CVE-IDs oder CVSS-Scores in der Frühwarnung erforderlich. Die 24-Stunden-Pflicht ist eine Meldepflicht, keine Analysepflicht. Die vollständigen technischen Details gehören in die Meldung und den Abschlussbericht.
Interne Eskalation: die 24h-Frist einhalten
Die 24-Stunden-Frist startet mit der Kenntniserlangung, nicht mit der Bestätigung. Die eigentliche Herausforderung besteht darin, innerhalb von 24 Stunden von "wir haben soeben erfahren" zu "wir haben soeben eingereicht" zu gelangen, einschließlich außerhalb der Geschäftszeiten. Ein Triage-Prozess, der "in der Regel 48 Stunden dauert", ist strukturell nicht konform. Erkennung, Triage, parallele Rechtsprüfung und Einreichung müssen alle in denselben Kalendertag passen, einschließlich Wochenenden und außerhalb der Geschäftszeiten.
| Schritt | Innerhalb von 24h? | Hinweise |
|---|---|---|
| Erkennung | Ja | Interne Entwicklung, Kundenmeldungen, Monitoring, Bedrohungsdaten, CVD-Eingang. Triage-Pfade für "aktiv ausgenutzt" und "schwerwiegender Sicherheitsvorfall" müssen getrennt sein. |
| Triage | Ja | Signale der Schweregradbewertung (CVSS / EPSS / KEV) als Eingangsgrößen verwenden. Ausnutzungsnachweise sind der Auslöser; Schweregrad allein genügt nicht. |
| Rechtsprüfung | Parallel | Ein serielles Warten auf rechtliche Freigabe verpasst die 24 Stunden. Der Hersteller kann Sensibilität angeben, und die Plattform kann die Weiterverteilung aus Cybersicherheitsgründen zurückhalten. |
| Frühwarnung über die Single Reporting Platform | Ja | Schwachstellen-Strang oder Vorfall-Strang. |
| 72h-Meldung | Nach 24h | Innerhalb von 72 Stunden ab Kenntniserlangung. |
| Abschlussbericht | 14 Tage (Schwachstelle) / 1 Monat (Vorfall) | Schwachstellen: 14 Tage ab Verfügbarkeit einer Abhilfemaßnahme. Schwerwiegende Sicherheitsvorfälle: ein Monat ab der 72-Stunden-Meldung. |
CSIRT-Routing
Das CSIRT-Routing folgt der Hauptniederlassung des Herstellers in der Union, also dem Mitgliedstaat, in dem die Cybersicherheitsentscheidungen für das Produkt überwiegend getroffen werden. Ohne Hauptniederlassung in der Union gilt die Ausweichkette: Mitgliedstaat des Bevollmächtigten, dann des Einführers, dann des Händlers, dann der Nutzerkonzentration. Nach der Einreichung erfolgt die grenzüberschreitende Weiterleitung an CSIRTs in anderen betroffenen Mitgliedstaaten innerhalb der Single Reporting Platform. ENISA hat angekündigt, die Liste der als Koordinatoren benannten nationalen CSIRTs zu einem späteren Zeitpunkt bereitzustellen. Prüfen Sie Ihre CSIRT-Zuweisung daher gegen die ENISA-Hinweise, sobald diese Liste veröffentlicht ist.
Single Reporting Platform versus direkter CSIRT-Kontakt
Eine E-Mail direkt an ein nationales CSIRT erfüllt die CRA-Meldepflicht nicht. Das gilt auch dann, wenn der Hersteller eine bestehende Arbeitsbeziehung mit diesem CSIRT hat.
| Kanal | Verpflichtend für CRA-Meldungen? | Was er abdeckt |
|---|---|---|
| Single Reporting Platform | Ja | Meldungen aktiv ausgenutzter Schwachstellen; Meldungen schwerwiegender Sicherheitsvorfälle; freiwillige Meldungen; 72-Stunden-Meldungen und Abschlussberichte |
| Direkter Kontakt zum nationalen CSIRT | Nein | Koordination der koordinierten Schwachstellenoffenlegung; sektoraler Austausch zu Bedrohungsdaten; informelle Zusammenarbeit bei der Vorfallreaktion |
Hersteller, die eine bestehende Beziehung zu einem nationalen CSIRT haben, können diese für die CVD-Koordination und den Austausch zu Sektorinformationen weiter nutzen. Was über die Single Reporting Platform laufen muss: jede verpflichtende Meldung nach Artikel 14. Die Plattform übernimmt die grenzüberschreitende Weiterleitung an andere betroffene CSIRT-Mitgliedstaaten automatisch. Eine Einreichung erreicht alle zuständigen CSIRTs.
Häufige Fallstricke
- Erst nach dem ersten meldepflichtigen Ereignis registrieren. Die 24-Stunden-Frist stoppt nicht wegen Onboarding. Registrieren Sie sich deutlich vor dem 11. September 2026.
- Eine generische security@-Adresse mit Autoresponder. Steht im Widerspruch zur Anforderung an die zentrale Anlaufstelle für Nutzer und ist für den Behördenkanal der Single Reporting Platform ungeeignet.
- Kein oder veraltetes Produktportfolio in der Registrierung. Die Frühwarnung muss die Mitgliedstaaten angeben, in denen das Produkt bereitgestellt wurde; ohne aktuelles Inventar ist die Frühwarnung unvollständig.
- Kein interner SLA für die 24-Stunden-Frist. Der Weg von der Erkennung zur Einreichung benötigt ein explizites Zeitbudget.
- Meldung per nationaler CSIRT-E-Mail. Die Single Reporting Platform ist der benannte Kanal. Eine E-Mail an ein nationales CSIRT ist kein Ersatz.
- Den Bevollmächtigten als Weiterleitungsadresse behandeln. Das Bevollmächtigtenmandat eines Nicht-EU-Herstellers muss die Meldung ausdrücklich abdecken. Der Bevollmächtigte muss die Einreichung über die Plattform unterstützen können.
Häufig gestellte Fragen
Ist die Single Reporting Platform schon in Betrieb, und wann geht sie in Betrieb?
Noch nicht. Die Single Reporting Platform ist heute noch nicht für Herstellermeldungen in Betrieb. Sie geht am 11. September 2026 in Betrieb. ENISA entwickelt sie mit dem CSIRTs-Netzwerk. Ab diesem Datum müssen Hersteller meldepflichtige aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die Plattform einreichen können. ENISA kündigt an, die Zugangs- und Registrierungsanleitung im Juni 2026 bereitzustellen. Bis zur Veröffentlichung bleiben Registrierungsablauf, Zugangsdatenmechanismus und elektronische Meldeendpunkte den ENISA-Spezifikationen vorbehalten. Prüfen Sie die Live-Hinweise von ENISA, bevor Sie sich auf einen bestimmten UI-Schritt verlassen.
Registrieren sich Einführer und Händler auf der Single Reporting Platform?
Nein. Einführer und Händler übernehmen nicht die Meldepflicht des Herstellers über die Single Reporting Platform. Ihre CRA-Pflicht besteht darin, den Hersteller unverzüglich über eine Schwachstelle zu informieren. Die Meldung über die Plattform bleibt die Pflicht des Herstellers.
Kann sich ein Nicht-EU-Hersteller direkt registrieren?
Möglich, aber die Ausweichkette ist entscheidend. Ein schriftlicher Bevollmächtigtenauftrag kann die verpflichtende Meldung abdecken, weil die Ausschlüsse für Bevollmächtigte die Meldung selbst nicht erfassen. Für einen Hersteller ohne Hauptniederlassung in der Union folgt das Routing dann der verfügbaren Kette: Bevollmächtigter, Einführer, Händler, danach Nutzerkonzentration.
Wie erkenne ich, ob ich eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall melden muss?
Die beiden Meldestränge betreffen unterschiedliche Situationen. Eine aktiv ausgenutzte Schwachstelle ist ein Fehler in Ihrem Produkt, den ein böswilliger Akteur gegen Ihre Nutzer einsetzt. Ein schwerwiegender Sicherheitsvorfall ist weiter gefasst: jeder Vorfall, der die Fähigkeit des Produkts beeinträchtigen kann, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit wichtiger Daten oder Funktionen zu schützen, oder der dazu führen kann, dass Schadcode im Produkt oder in den Systemen eines Nutzers ausgeführt wird. Ein Eingriff in Ihre eigene Build-, Release- oder Wartungsinfrastruktur, der Nutzer gefährdet, ist ein Beispiel dafür – etwa wenn ein Angreifer Schadcode in Ihren Update-Release-Kanal einschleust.
Eine Bug-Bounty-Meldung oder ein Bericht zur koordinierten Schwachstellenoffenlegung löst keinen der beiden Stränge aus. Die Meldepflicht gilt erst, wenn eine aktiv ausgenutzte Schwachstelle oder ein meldepflichtiger schwerwiegender Sicherheitsvorfall vorliegt.
Derselbe Angriff kann beide Grenzen gleichzeitig überschreiten. Nutzt ein Angreifer eine Schwachstelle in Ihrem Produkt und gelangt dadurch in Ihre Build-Infrastruktur, reichen Sie zwei separate Meldungen ein: eine für jeden Strang, beide mit einer 24-Stunden-Frühwarnung ab demselben Zeitpunkt der Kenntniserlangung.
Ab welchem genauen Zeitpunkt läuft die 24-Stunden-Frist?
Ab dem Moment, in dem eine Person in Ihrem Sicherheitsteam belastbare Informationen hat, dass ein meldepflichtiges Ereignis eintritt. Nicht ab dem Zeitpunkt, zu dem das Management informiert wird. Nicht ab dem Zeitpunkt, zu dem die Rechtsabteilung bestätigt. Nicht ab dem Zeitpunkt, zu dem die Ursache geklärt ist.
Die 24-Stunden-Frühwarnung muss nur einen Hinweis auf aktive Ausnutzung und die Mitgliedstaaten enthalten, in denen Ihr Produkt verfügbar ist. Die vollständige technische Analyse gehört in die 72-Stunden-Meldung. Die Verordnung ist so konzipiert: Sie melden zuerst und untersuchen parallel.
Es gibt keinen Aufschub für die Erstbewertung. Die Frist läuft ab der ersten belastbaren Kenntniserlangung.
Was tun, wenn eine Einreichung über die Single Reporting Platform fehlschlägt?
Nutzen Sie zuerst den Plattform-Pfad und sichern Sie Nachweise zum Fehler. Die Single Reporting Platform ist der verpflichtende Meldekanal. Ein Ausweichverhalten sollte den Hinweisen von ENISA oder Koordinator-CSIRT folgen, sobald diese verfügbar sind. Technische Probleme heben die 24-Stunden-Pflicht nicht auf. Halten Sie Ausfall, Einreichungsversuche und jeden alternativen Kontakt mit Zeitstempel fest.
Ist die zentrale Anlaufstelle für Nutzer dieselbe wie der Registrierungskontakt auf der Plattform?
Nein. Der Nutzerkontakt und der Behördenkontakt auf der Single Reporting Platform bedienen unterschiedliche Zielgruppen. Der nutzergerichtete Kontakt unterstützt Schwachstellenmeldungen von Nutzern und darf nicht auf automatisierte Instrumente beschränkt sein. Der Plattform-Kontakt sollte Nachrichten von ENISA und Koordinator-CSIRT an das Meldeteam leiten, auch wenn ENISA die genauen Registrierungsfelder später festlegt.