ENISA-kwetsbaarheidsmelding: de 24-uursklok start op 11 september 2026

Een praktische gids voor CRA-kwetsbaarheids- en incidentrapportageverplichtingen vanaf september 2026. Behandelt triggers, tijdlijnen en interne voorbereiding.

CRA Evidence Team Gepubliceerd 11 februari 2026 Bijgewerkt 27 april 2026
ENISA-kwetsbaarheidsmelding: de 24-uursklok start op 11 september 2026
In dit artikel

11 september 2026. Vanaf deze datum heeft u 24 uur om actief misbruikte kwetsbaarheden te melden aan ENISA. Mist u de deadline, dan riskeert u handhavingsmaatregelen.

De klok start niet bij bewijs. Die start bij redelijk geloof. Als uw beveiligingsteam sterke aanwijzingen heeft van actief misbruik, is de klok al gestart. De meeste organisaties hebben dit proces nog niet ingericht.

Samenvatting

  • September 2026: Kwetsbaarheids- en incidentrapportageverplichtingen starten
  • "Actief misbruikt": een kwaadwillende actor heeft de kwetsbaarheid gebruikt om gebruikers te treffen
  • Tijdlijn: vroege waarschuwing 24u → gedetailleerde notificatie 72u → eindrapport 14d (kwetsbaarheden) / één maand (incidenten)
  • Rapporteren aan: gelijktijdig aan het coördinerende CSIRT en aan ENISA, via het centrale meldingsplatform (Art. 16); indiening via het elektronisch endpoint van het coördinerende CSIRT (Art. 14, lid 7)
  • Bereid u nu voor: intern triageproces, escalatiepaden, rapportsjablonen

ENISA-kwetsbaarheidsrapportagetijdlijn: 24 uur, 72 uur, 14 dagen

Wat triggert CRA-rapportage?

De CRA definieert twee categorieën waarvoor verplichte notificatie vereist is:

1. Actief misbruikte kwetsbaarheden

Een kwetsbaarheid in uw product die:

  • Bekend is bij u (intern ontdekt of extern gemeld)
  • Door een kwaadwillende actor is misbruikt
  • Gebruikers van uw product treft of kan treffen

2. Ernstige incidenten

Beveiligingsincidenten die:

  • De beveiliging van uw product beïnvloeden
  • Uw ontwikkelomgeving compromitteren op manieren die de productbeveiliging aantasten
  • Aanzienlijke serviceonderbreking voor gebruikers veroorzaken
  • Leiden tot wijdverspreid compromitteren

Beide categorieën triggeren dezelfde rapportagetijdlijnen maar hebben verschillende eindrapporten.

Waarschuwing: De 24-uursklok start bij BEWUSTWORDING van actief misbruik, niet bij bevestiging. Als u sterke aanwijzingen heeft van actief misbruik, loopt de klok.

Wat "actief misbruikt" betekent

De CRA definieert een actief misbruikte kwetsbaarheid als één waarbij "een kwaadwillende actor gebruik maakt van een fout."

Dit is niet hetzelfde als:

  • Een kwetsbaarheid die openbaar wordt gemaakt
  • Een proof-of-concept die wordt gepubliceerd
  • Een onderzoeker die exploiteerbaarheid aantoont

Het betekent daadwerkelijk kwaadaardig gebruik.

Rapporteerbare vs. niet-rapporteerbare scenario's

Scenario Rapporteerbaar? Waarom
Beveiligingsonderzoeker meldt kwetsbaarheid privé Nee Geen misbruik; via CVD-proces afhandelen
Proof-of-concept gepubliceerd op GitHub Nee PoC-publicatie ≠ misbruik
Klant meldt verdachte activiteit consistent met kwetsbaarheid Ja Bewijs van misbruik
Kwetsbaarheid gedetecteerd die in het wild wordt misbruikt Ja Actief kwaadaardig gebruik
Component in uw SBOM heeft bekende misbruikte kwetsbaarheid Beoordelen Alleen als misbruik uw product treft
Uw product wordt specifiek aangevallen Ja Direct misbruik
Generieke malware gebruikt kwetsbaarheidsklasse die uw product heeft Beoordelen Alleen als uw specifieke implementatie wordt getroffen

De norm van "redelijk geloof"

U heeft geen forensisch bewijs van misbruik nodig. De norm is redelijk geloof op basis van beschikbare bewijzen:

  • Ongebruikelijke toegangspatronen consistent met bekende exploittechnieken
  • Klantmeldingen van compromittering
  • Dreigingsintelligentie die aangeeft dat uw product doelwit is
  • Detectie van exploitcode ontworpen voor uw product

Bij twijfel: Neig naar rapportage. Een vroegtijdige vroege waarschuwing die onterecht blijkt te zijn, is veel beter dan een gemiste deadline voor daadwerkelijk misbruik.

Rapportagetijdlijnen

Zowel kwetsbaarheden als incidenten volgen een gefaseerd rapportagemodel:

Tijdlijn voor actief misbruikte kwetsbaarheden

ONTDEKKING → 24 UUR → 72 UUR → PATCH BESCHIKBAAR → 14 DAGEN
    │           │           │            │              │
    │           │           │            │              └── Eindrapport
    │           │           │            └── Klok herstart
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Tijdlijn voor ernstige incidenten

ONTDEKKING → 24 UUR → 72 UUR → 1 MAAND
    │           │           │         │
    │           │           │         └── Eindrapport
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Inhoud van elk rapport

Vroege waarschuwing (24 uur)

Minimuminformatie om autoriteiten te waarschuwen:

  • Uw identiteit (fabrikant)
  • Identificatie van getroffen product(en)
  • Korte beschrijving van kwetsbaarheid/incident
  • Initiële ernstbeoordeling
  • Of misbruik bevestigd of vermoed is
  • Indicatie van potentiële impactomvang

Dit is geen volledige analyse. Het is een waarschuwing dat er iets ernstigs gaande is.

Gedetailleerde notificatie (72 uur)

Uitgebreide informatie voor beoordeling:

  • Technische details van de kwetsbaarheid
  • Getroffen versies en configuraties
  • Exploitatiemethode (indien bekend)
  • Huidige mitigatiestatus
  • Schatting van hersteltijdlijn
  • Bekende getroffen gebruikers/omvang
  • Coördinatie met andere partijen (andere leveranciers, CSIRT's)

Eindrapport (14 dagen voor kwetsbaarheden / één maand voor incidenten)

Volledige analyse na herstel:

  • Hoofdoorzaakanalyse
  • Volledige technische beschrijving
  • Genomen herstelmaatregelen
  • Geleerde lessen
  • Geïmplementeerde preventiemaatregelen
  • Impactbeoordeling (bevestigde getroffen gebruikers, gegevensblootstelling, enz.)

Waar te melden

ENISA Single Reporting Platform (SRP)

Het SRP is per april 2026 nog niet operationeel. ENISA heeft een leverancier gecontracteerd en het platform staat gepland om open te gaan op 11 september 2026, wanneer de rapportageverplichtingen ingaan. Er is een testperiode gepland vóór die datum. Er is geen registratie-URL gepubliceerd. Houd de ENISA SRP-pagina in de gaten voor updates: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Wat is bevestigd:

  • Webgebaseerd platform voor indieningen
  • Gestandaardiseerde rapportageformulieren
  • Indiening via het elektronisch endpoint van het coördinerende CSIRT; melding is tegelijkertijd toegankelijk voor ENISA (Art. 14, lid 7)

Wat fabrikanten nu al kunnen doen:

  • Rapportsjablonen opstellen op basis van de onderstaande structuur
  • Uw coördinerende CSIRT identificeren (zie hieronder)
  • Interne escalatiepaden en gemachtigde melders vastleggen

Nationale CSIRT's

Op grond van Artikel 14(7) van Verordening (EU) 2024/2847 dient u één melding in via het SRP bij de CSIRT van de lidstaat waar uw organisatie haar hoofdvestiging heeft. Hoofdvestiging is de plaats waar beslissingen over productcyberveiligheid overwegend worden genomen.

Bent u buiten de EU gevestigd, dan is de relevante CSIRT die van uw EU-gemachtigde vertegenwoordiger. Heeft u geen gemachtigde vertegenwoordiger, dan verschuift de verantwoordelijkheid naar uw importeur, dan distributeur, dan het land met de grootste gebruikersconcentratie.

U bent niet verplicht elk CSIRT te notificeren in elk land waar uw product wordt verkocht. Op grond van Artikel 16, lid 2 verspreidt het coördinerende CSIRT dat de melding eerst ontving de melding via het centrale meldingsplatform naar CSIRT's van de marktlanden. Die stap is niet de verantwoordelijkheid van de fabrikant. Het NCSC-NL (Nationaal Cyber Security Centrum) is het relevante CSIRT voor fabrikanten met hun hoofdvestiging in Nederland.

Voor producten in meerdere lidstaten

Eén indiening bij het SRP dekt uw rapportageplicht. U kunt vervolgcontact ontvangen van meerdere nationale autoriteiten, maar er is één indieningspad.

Interne voorbereidingschecklist

Tip: Goedkeur notificatiesjablonen vooraf en stel 24/7 escalatiepaden in NU. U kunt geen sjablonen opstellen tijdens een deadline van 24 uur.

Wacht niet tot september 2026. Bouw uw processen nu op.

1. Kanalen voor intake van kwetsbaarheden

Stel duidelijke paden in voor kwetsbaarheidsmeldingen:

security.txt-bestand:

# https://uwproduct.com/.well-known/security.txt
Contact: mailto:security@uwbedrijf.com
Contact: https://uwbedrijf.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: nl, en
Canonical: https://uwbedrijf.com/.well-known/security.txt
Policy: https://uwbedrijf.com/security/policy

Webformulier voor gestructureerde meldingen

Toegewijd e-mailadres 24/7 bewaakt (of met duidelijke SLA)

2. Intern triageproces

Definieer hoe meldingen worden beoordeeld:

TRIAGE INTAKE KWETSBAARHEDEN

1. Initiële ontvangst (< 4 uur)
   - Ontvangst bevestigen
   - Toewijzen aan beveiligingsteamlid
   - Initiële geldigheidscontrole

2. Technische triage (< 24 uur)
   - Bevestig dat kwetsbaarheid bestaat
   - Bepaal getroffen versies
   - Beoordeel exploiteerbaarheid
   - Controleer op bewijs van actief misbruik

3. Ernstbeoordeling (< 24 uur)
   - CVSS-score (of equivalent)
   - Beoordeling bedrijfsimpact
   - Kans op misbruik

4. Rapportagebeslissing (ONMIDDELLIJK als misbruik bevestigd)
   - Vereist dit ENISA-notificatie?
   - Zo ja, start de 24-uursklok

3. Escalatiepaden

Definieer wie externe rapportage kan triggeren:

Rol Bevoegdheid
Beveiligingsteamlead Kan vroege waarschuwing initiëren
CISO / Beveiligingsdirecteur Moet gedetailleerde notificatie goedkeuren
Juridisch / Compliance Beoordeling vóór eindrapport
Executief sponsor Escalatie voor onduidelijke gevallen

Kernprincipe: De persoon die potentieel misbruik ontdekt, moet direct 24/7 kunnen escaleren.

4. Dekking buiten kantooruren

De 24-uursklok pauzeert niet voor weekenden of feestdagen.

Opties:

  • On-call rotatie voor beveiligingsteam
  • Monitoringdienst met escalatiebevoegdheid
  • Duidelijke buiten-kantooruren contactketen
  • Vooraf gemachtigde melders die vroege waarschuwingen kunnen indienen

5. Rapportsjablonen

Bereid sjablonen voor vóórdat u ze nodig heeft:

Sjabloon vroege waarschuwing:

ENISA CRA VROEGE WAARSCHUWING

Fabrikant: [Bedrijfsnaam]
Rapportdatum: [Datum/tijd UTC]
Rapporttype: [ ] Actief misbruikte kwetsbaarheid [ ] Ernstig incident

GETROFFEN PRODUCT(EN):
- Productnaam:
- Versie(s):
- Productcategorie:

SAMENVATTING KWETSBAARHEID/INCIDENT:
[Korte beschrijving — 2-3 zinnen]

EXPLOITATIESTATUS:
[ ] Bevestigd misbruik
[ ] Vermoed misbruik
Bewijs: [Korte beschrijving van bewijs]

INITIËLE ERNSTBEOORDELING:
[ ] Kritiek [ ] Hoog [ ] Gemiddeld [ ] Laag
Basis: [CVSS-score of andere onderbouwing]

POTENTIËLE IMPACTOMVANG:
- Geschatte getroffen gebruikers:
- Geografische omvang:
- Gegevens in gevaar:

HUIDIGE STATUS:
[ ] Wordt onderzocht
[ ] Mitigatie in uitvoering
[ ] Patch in ontwikkeling

CONTACTPERSOON VOOR VERVOLG:
Naam:
E-mail:
Telefoon:

Dit is een vroege waarschuwing. Gedetailleerde notificatie volgt binnen 72 uur.

6. Test uw proces

Voer tafeltoefoefeningen uit vóór september 2026:

Scenario 1: Vrijdag 17:00. Een beveiligingsonderzoeker meldt een kritieke kwetsbaarheid met PoC.

  • Hoe snel kunt u het misbruikrisico beoordelen?
  • Wie neemt de rapportagebeslissing in het weekend?

Scenario 2: Klant meldt verdachte activiteit waarbij uw product het beginpunt lijkt

  • Hoe verzamelt u bewijs om misbruik te bevestigen/ontkennen?
  • Wat is uw drempel voor "redelijk geloof"?

Scenario 3: Dreigingsintelligentie geeft aan dat uw product het doelwit is van een APT-groep

  • Heeft u zichtbaarheid op daadwerkelijk misbruik?
  • Hoe coördineert u met externe dreigingsintelligentieleveranciers?

Veelgemaakte fouten

Wachten op zekerheid

Probleem: Wachten op forensisch bewijs vóór rapportage.

Werkelijkheid: De 24-uursklok start bij redelijk geloof. Als u wacht op zekerheid, mist u de deadline.

Oplossing: Meld vroeg. U kunt bijwerken met "niet langer als misbruikt beschouwd" in de gedetailleerde notificatie als het bewijs dit niet ondersteunt.

CVD verwarren met rapportage

Probleem: Onderzoekersmeldingen behandelen als ENISA-notificaties.

Werkelijkheid: Gecoördineerde kwetsbaarheidsopenbaarmaking en ENISA-rapportage zijn afzonderlijke processen.

  • CVD: hoe u onderzoekersmeldingen afhandelt, openbaarmakingstijdlijnen afspreekt
  • ENISA: verplichte notificatie wanneer misbruik plaatsvindt

Oplossing: CVD-proces moet een controlepunt bevatten: "Is er bewijs van misbruik?" Zo ja, trigger ENISA-rapportage parallel aan CVD.

Enkelvoudig foutpunt

Probleem: Slechts één persoon kan rapporten autoriseren en die is niet bereikbaar.

Werkelijkheid: Misbruik kan op elk moment worden ontdekt. Weekenden. Feestdagen. 3 uur 's nachts.

Oplossing: Meerdere gemachtigde melders. Duidelijke delegatie. Noodcontactketen.

Geen relatie met CSIRT's

Probleem: Eerste contact met uw nationale CSIRT is tijdens een incident.

Werkelijkheid: Vooraf opgebouwde relaties maken incidentrespons soepeler.

Oplossing: Neem nu contact op met uw nationale CSIRT. Begrijp hun processen. Doe mee aan mogelijke outreachprogramma's voor fabrikanten.

Vrijstellingen voor kleine ondernemingen

Info: Micro-ondernemingen en kleine ondernemingen zijn vrijgesteld van tijdspecifieke boetes voor de 24-uursvroege-waarschuwingsdeadline, maar moeten nog steeds melden. Dit is een boetevrijstelling, geen rapportagevrijstelling.

Micro-ondernemingen en kleine ondernemingen hebben enige verlichting op grond van Artikel 64(10)(a):

Vrijstelling rapportagetijdstip: Vrijgesteld van boetes voor het missen van de 24-uurs vroege-waarschuwingsdeadlines in Artikel 14(2)(a) en Artikel 14(4)(a). De 72-uurdeadline voor gedetailleerde notificatie (Artikelen 14(2)(b) en 14(4)(b)) valt hier niet onder. Het missen van die deadline kan ongeacht bedrijfsomvang leiden tot boetes.

Nog steeds vereist:

  • Rapportage (alleen niet bestraft voor timing van de 24-uurs vroege waarschuwing)
  • Alle andere CRA-verplichtingen
  • Eindrapporten

Definitie (Artikel 64(10)(a)): Van toepassing op micro-ondernemingen (minder dan 10 werknemers, jaarlijkse omzet of balanstotaal ≤ EUR 2 miljoen) en kleine ondernemingen (minder dan 50 werknemers, jaarlijkse omzet of balanstotaal ≤ EUR 10 miljoen). Middelgrote ondernemingen (tot 250 werknemers) vallen niet onder deze vrijstelling.

Deze vrijstelling dekt alleen de boete voor de 24-uurs vroege waarschuwing. Alle fabrikanten, inclusief micro-ondernemingen, moeten rapportagecapaciteiten inrichten.

Integratie met bestaande processen

Als u al incidentrespons heeft

Koppel CRA-rapportage aan uw bestaand proces:

BESTAAND IR-PROCES          CRA-INTEGRATIE
─────────────────────────────────────────────
Detectie
    │
Triage ──────────────────→  Controle: misbruik van CRA-product?
    │                             │
Inperking                         ├─ JA: Start 24-uursklok
    │                             │       Vroege waarschuwing indienen
Onderzoek                         │
    │                             │
Herstel ──────────────────→  Gedetailleerde notificatie 72u
    │
Herstel operaties
    │
Geleerde lessen ──────────→  Eindrapport 14d/1 maand

Als u NIS2-verplichtingen heeft

Sommige organisaties hebben zowel NIS2- als CRA-verplichtingen:

  • NIS2: Incidenten op organisatie-/dienstniveau
  • CRA: Kwetsbaarheden en incidenten op productniveau

Deze kunnen overlappen. Eén incident kan vereisen:

  • NIS2-notificatie aan bevoegde autoriteit
  • CRA-notificatie aan ENISA/CSIRT

ENISA heeft aangegeven dat het SRP routering voor beide regimes zal afhandelen waar van toepassing. Dit is nog niet bevestigd in definitieve leidraad.

Gereedheidscheck ENISA-rapportage 

GEREEDHEIDSCHECK ENISA-RAPPORTAGE

VÓÓR SEPTEMBER 2026:

KANALEN & CONTACTEN
[ ] security.txt gepubliceerd en actueel
[ ] Kwetsbaarheidsrapportageformulier beschikbaar
[ ] Beveiligings-e-mail bewaakt (SLA definiëren: ____ uur)
[ ] Nationaal CSIRT-contact geïdentificeerd
[ ] ENISA SRP-registratie (wanneer beschikbaar)

INTERN PROCES
[ ] Triagecriteria gedocumenteerd
[ ] Checklist exploitatiebeoordeling opgesteld
[ ] Escalatiepad gedefinieerd (namen, contacten)
[ ] Gemachtigde melders geïdentificeerd
[ ] Dekking buiten kantooruren ingesteld

DOCUMENTATIE
[ ] Sjabloon vroege waarschuwing voorbereid
[ ] Sjabloon gedetailleerde notificatie voorbereid
[ ] Eindrapportsjabloon voorbereid
[ ] Interne briefingmaterialen gereed

TESTEN
[ ] Tafeltoefening voltooid
[ ] Escalatie buiten kantooruren getest
[ ] Sjabloonreview voltooid

BIJ ONTDEKKING VAN MISBRUIK:

ONMIDDELLIJK (binnen 4 uur)
[ ] Initiële beoordeling: wordt dit actief misbruikt?
[ ] Starttijd klok gedocumenteerd: ____________
[ ] Escalatie naar gemachtigde melder

BINNEN 24 UUR
[ ] Vroege waarschuwing ingediend bij ENISA SRP
[ ] Bevestiging ontvangst ontvangen
[ ] Interne belanghebbenden geïnformeerd

BINNEN 72 UUR
[ ] Gedetailleerde notificatie ingediend
[ ] Mitigatiestatus bijgewerkt
[ ] Klantcommunicatie gestart (indien van toepassing)

BINNEN 14 DAGEN (kwetsbaarheid) / ÉÉN MAAND (incident)
[ ] Eindrapport ingediend
[ ] Geleerde lessen gedocumenteerd
[ ] Procesverbeteringen geïdentificeerd

Hoe CRA Evidence helpt

CRA Evidence bevat ENISA-rapportageworkflowondersteuning:

  • Deadlineregistratie: Automatisch aftellen vanaf ontdekking
  • Rapportsjablonen: Vooraf ingevuld met uw productgegevens
  • Audittrail: Documenteer uw tijdlijn en beslissingen
  • Integratie: Verbind kwetsbaarheidsscanning met rapportageworkflow

Wees gereed voor september 2026 met craevidence.com.

Tijdlijn: Bekijk wanneer rapportageverplichtingen beginnen in onze CRA-implementatietijdlijn.

CVD: Stel uw kwetsbaarheidsintakeproces in met ons CVD-beleidssjabloon.

Sancties: Begrijp de handhavingsgevolgen in onze sanctiegids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Kwetsbaarheidsbeheer Tijdlijn
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide