ENISA-kwetsbaarheidsrapportage: wat start de 24-uurs klok onder de CRA

11 september 2026. Vanaf deze datum heeft u 24 uur om actief misbruikte kwetsbaarheden te melden aan ENISA. Mist u de deadline, dan riskeert u handhavingsmaatregelen.

Deze gids behandelt wat rapportage triggert, wat "actief misbruikt" daadwerkelijk betekent en hoe u uw interne proces voorbereidt vóór de deadline aanbreekt.

Samenvatting

• September 2026: Kwetsbaarheids- en incidentrapportageverplichtingen starten
• "Actief misbruikt": een kwaadwillende actor heeft de kwetsbaarheid gebruikt om gebruikers te treffen
• Tijdlijn: vroege waarschuwing 24u → gedetailleerde notificatie 72u → eindrapport 14d (kwetsbaarheden) / 30d (incidenten)
• Rapporteren aan: ENISA Single Reporting Platform + relevant nationaal CSIRT
• Bereid u nu voor: intern triageproces, escalatiepaden, rapportsjablonen

Wat triggert CRA-rapportage?

De CRA definieert twee categorieën waarvoor verplichte notificatie vereist is:

1. Actief misbruikte kwetsbaarheden

Een kwetsbaarheid in uw product die:

• Bekend is bij u (intern ontdekt of extern gemeld)
• Door een kwaadwillende actor is misbruikt
• Gebruikers van uw product treft of kan treffen

2. Ernstige incidenten

Beveiligingsincidenten die:

• De beveiliging van uw product beïnvloeden
• Uw ontwikkelomgeving compromitteren op manieren die de productbeveiliging aantasten
• Aanzienlijke serviceonderbreking voor gebruikers veroorzaken
• Leiden tot wijdverspreid compromitteren

Beide categorieën triggeren dezelfde rapportagetijdlijnen maar hebben verschillende eindrapporten.

Waarschuwing: De 24-uurs klok start bij BEWUSTWORDING van actief misbruik, niet bij bevestiging. Als u betrouwbaar bewijs heeft, loopt de klok.

Wat "actief misbruikt" betekent

De CRA definieert een actief misbruikte kwetsbaarheid als één waarbij "een kwaadwillende actor gebruik maakt van een fout."

Dit is niet hetzelfde als:

• Een kwetsbaarheid die openbaar wordt gemaakt
• Een proof-of-concept die wordt gepubliceerd
• Een onderzoeker die exploiteerbaarheid aantoont

Het betekent daadwerkelijk kwaadaardig gebruik.

Rapporteerbare vs. niet-rapporteerbare scenario's

De norm van "redelijk geloof"

U heeft geen forensisch bewijs van misbruik nodig. De norm is redelijk geloof op basis van beschikbare bewijzen:

• Ongebruikelijke toegangspatronen consistent met bekende exploittechnieken
• Klantmeldingen van compromittering
• Dreigingsintelligentie die aangeeft dat uw product doelwit is
• Detectie van exploitcode ontworpen voor uw product

Bij twijfel: Neig naar rapportage. Een vroegtijdige vroege waarschuwing die onterecht blijkt te zijn, is veel beter dan een gemiste deadline voor daadwerkelijk misbruik.

Rapportagetijdlijnen

Zowel kwetsbaarheden als incidenten volgen een gefaseerd rapportagemodel:

Tijdlijn voor actief misbruikte kwetsbaarheden

ONTDEKKING → 24 UUR → 72 UUR → PATCH BESCHIKBAAR → 14 DAGEN
    │           │           │            │              │
    │           │           │            │              └── Eindrapport
    │           │           │            └── Klok herstart
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Tijdlijn voor ernstige incidenten

ONTDEKKING → 24 UUR → 72 UUR → 1 MAAND
    │           │           │         │
    │           │           │         └── Eindrapport
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Inhoud van elk rapport

Vroege waarschuwing (24 uur)

Minimuminformatie om autoriteiten te waarschuwen:

• Uw identiteit (fabrikant)
• Identificatie van getroffen product(en)
• Korte beschrijving van kwetsbaarheid/incident
• Initiële ernstbeoordeling
• Of misbruik bevestigd of vermoed is
• Indicatie van potentiële impactomvang

Dit is geen volledige analyse. Het is een waarschuwing dat er iets ernstigs gaande is.

Gedetailleerde notificatie (72 uur)

Uitgebreide informatie voor beoordeling:

• Technische details van de kwetsbaarheid
• Getroffen versies en configuraties
• Exploitatiemethode (indien bekend)
• Huidige mitigatiestatus
• Schatting van hersteltijdlijn
• Bekende getroffen gebruikers/omvang
• Coördinatie met andere partijen (andere leveranciers, CSIRT's)

Eindrapport (14 dagen voor kwetsbaarheden / 30 dagen voor incidenten)

Volledige analyse na herstel:

• Hoofdoorzaakanalyse
• Volledige technische beschrijving
• Genomen herstelmaatregelen
• Geleerde lessen
• Geïmplementeerde preventiemaatregelen
• Impactbeoordeling (bevestigde getroffen gebruikers, gegevensblootstelling, enz.)

Waar te melden

ENISA Single Reporting Platform (SRP)

Vanaf september 2026 zal ENISA een enkel toegangspunt voor CRA-notificaties exploiteren.

Wat we weten:

• Webgebaseerd platform voor indieningen
• API-toegang voor geautomatiseerde rapportage (verwacht)
• Gelijktijdige routering naar relevante nationale CSIRT's
• Gestandaardiseerde rapportageformulieren

LET OP: Exacte platformspecificaties en URL in afwachting van ENISA-publicatie.

Nationale CSIRT's

Meldingen gaan gelijktijdig naar:

• ENISA (EU-niveau coördinatie)
• Nationaal CSIRT (of meerdere) waar het product beschikbaar is

Het SRP zou routering automatisch moeten afhandelen op basis van uw aangifte van marktaanwezigheid.

Voor producten in meerdere lidstaten

Als uw product beschikbaar is in meerdere EU-landen:

• Eén indiening bij SRP
• Platform routeert naar alle relevante CSIRT's
• U kunt vervolgcontact ontvangen van meerdere nationale autoriteiten

Interne voorbereidingschecklist

Wacht niet tot september 2026. Bouw uw processen nu op.

1. Kanalen voor intake van kwetsbaarheden

Stel duidelijke paden in voor kwetsbaarheidsmeldingen:

security.txt-bestand:

# https://uwproduct.com/.well-known/security.txt
Contact: mailto:security@uwbedrijf.com
Contact: https://uwbedrijf.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: nl, en
Canonical: https://uwbedrijf.com/.well-known/security.txt
Policy: https://uwbedrijf.com/security/policy

Webformulier voor gestructureerde meldingen

Toegewijd e-mailadres 24/7 bewaakt (of met duidelijke SLA)

2. Intern triageproces

Definieer hoe meldingen worden beoordeeld:

TRIAGE INTAKE KWETSBAARHEDEN

1. Initiële ontvangst (< 4 uur)
   - Ontvangst bevestigen
   - Toewijzen aan beveiligingsteamlid
   - Initiële geldigheidscontrole

2. Technische triage (< 24 uur)
   - Bevestig dat kwetsbaarheid bestaat
   - Bepaal getroffen versies
   - Beoordeel exploiteerbaarheid
   - Controleer op bewijs van actief misbruik

3. Ernstbeoordeling (< 24 uur)
   - CVSS-score (of equivalent)
   - Beoordeling bedrijfsimpact
   - Kans op misbruik

4. Rapportagebeslissing (ONMIDDELLIJK als misbruik bevestigd)
   - Vereist dit ENISA-notificatie?
   - Zo ja, start de 24-uurs klok

3. Escalatiepaden

Definieer wie externe rapportage kan triggeren:

Kernprincipe: De persoon die potentieel misbruik ontdekt, moet direct 24/7 kunnen escaleren.

4. Dekking buiten kantooruren

De 24-uurs klok pauzeert niet voor weekenden of feestdagen.

Opties:

• On-call rotatie voor beveiligingsteam
• Monitoringdienst met escalatiebevoegdheid
• Duidelijke buiten-kantooruren contactketen
• Vooraf gemachtigde melders die vroege waarschuwingen kunnen indienen

5. Rapportsjablonen

Bereid sjablonen voor vóórdat u ze nodig heeft:

Sjabloon vroege waarschuwing:

ENISA CRA VROEGE WAARSCHUWING

Fabrikant: [Bedrijfsnaam]
Rapportdatum: [Datum/tijd UTC]
Rapporttype: [ ] Actief misbruikte kwetsbaarheid [ ] Ernstig incident

GETROFFEN PRODUCT(EN):
- Productnaam:
- Versie(s):
- Productcategorie:

SAMENVATTING KWETSBAARHEID/INCIDENT:
[Korte beschrijving — 2-3 zinnen]

EXPLOITATIESTATUS:
[ ] Bevestigd misbruik
[ ] Vermoed misbruik
Bewijs: [Korte beschrijving van bewijs]

INITIËLE ERNSTBEOORDELING:
[ ] Kritiek [ ] Hoog [ ] Gemiddeld [ ] Laag
Basis: [CVSS-score of andere onderbouwing]

POTENTIËLE IMPACTOMVANG:
- Geschatte getroffen gebruikers:
- Geografische omvang:
- Gegevens in gevaar:

HUIDIGE STATUS:
[ ] Wordt onderzocht
[ ] Mitigatie in uitvoering
[ ] Patch in ontwikkeling

CONTACTPERSOON VOOR VERVOLG:
Naam:
E-mail:
Telefoon:

Dit is een vroege waarschuwing. Gedetailleerde notificatie volgt binnen 72 uur.

6. Test uw proces

Voer tafeltoefoefeningen uit vóór september 2026:

Scenario 1: Vrijdag 17:00 — beveiligingsonderzoeker meldt kritieke kwetsbaarheid met PoC

• Hoe snel kunt u het misbruikrisico beoordelen?
• Wie neemt de rapportagebeslissing in het weekend?

Scenario 2: Klant meldt verdachte activiteit waarbij uw product het beginpunt lijkt

• Hoe verzamelt u bewijs om misbruik te bevestigen/ontkennen?
• Wat is uw drempel voor "redelijk geloof"?

Scenario 3: Dreigingsintelligentie geeft aan dat uw product het doelwit is van een APT-groep

• Heeft u zichtbaarheid op daadwerkelijk misbruik?
• Hoe coördineert u met externe dreigingsintelligentieleveranciers?

Veelgemaakte fouten

Wachten op zekerheid

Probleem: Wachten op forensisch bewijs vóór rapportage.

Werkelijkheid: De 24-uurs klok start bij redelijk geloof. Als u wacht op zekerheid, mist u de deadline.

Oplossing: Meld vroeg. U kunt bijwerken met "niet langer als misbruikt beschouwd" in de gedetailleerde notificatie als het bewijs dit niet ondersteunt.

CVD verwarren met rapportage

Probleem: Onderzoekersmeldingen behandelen als ENISA-notificaties.

Werkelijkheid: Gecoördineerde kwetsbaarheidsopenbaarmaking en ENISA-rapportage zijn afzonderlijke processen.

• CVD: hoe u onderzoekersmeldingen afhandelt, openbaarmakingstijdlijnen afspreekt
• ENISA: verplichte notificatie wanneer misbruik plaatsvindt

Oplossing: CVD-proces moet een controlepunt bevatten: "Is er bewijs van misbruik?" Zo ja, trigger ENISA-rapportage parallel aan CVD.

Enkelvoudig foutpunt

Probleem: Slechts één persoon kan rapporten autoriseren en die is niet bereikbaar.

Werkelijkheid: Misbruik kan op elk moment worden ontdekt. Weekenden. Feestdagen. 3 uur 's nachts.

Oplossing: Meerdere gemachtigde melders. Duidelijke delegatie. Noodcontactketen.

Geen relatie met CSIRT's

Probleem: Eerste contact met uw nationale CSIRT is tijdens een incident.

Werkelijkheid: Vooraf opgebouwde relaties maken incidentrespons soepeler.

Oplossing: Neem nu contact op met uw nationale CSIRT. Begrijp hun processen. Deelnemen aan eventuele outreachprogramma's voor fabrikanten.

MKB-vrijstellingen

Kleine en middelgrote ondernemingen hebben enige verlichting:

Vrijstelling rapportagetijdstip: MKB-bedrijven zijn vrijgesteld van boetes die specifiek betrekking hebben op de deadlines van 24 uur en 72 uur.

Nog steeds vereist:

• Rapportage (alleen niet bestraft voor timing vertragingen)
• Alle andere CRA-verplichtingen
• Eindrapporten

Definitie: MKB zoals gedefinieerd in EU-aanbeveling 2003/361/EG (minder dan 250 werknemers, omzet ≤ EUR 50 miljoen of balanstotaal ≤ EUR 43 miljoen).

Deze vrijstelling geldt alleen voor timing-boetes. MKB-bedrijven moeten toch rapportagecapaciteiten instellen.

Integratie met bestaande processen

Als u al incidentrespons heeft

Koppel CRA-rapportage aan uw bestaand proces:

BESTAAND IR-PROCES          CRA-INTEGRATIE
─────────────────────────────────────────────
Detectie
    │
Triage ──────────────────→  Controle: misbruik van CRA-product?
    │                             │
Inperking                         ├─ JA: Start 24u-klok
    │                             │       Vroege waarschuwing indienen
Onderzoek                         │
    │                             │
Herstel ──────────────────→  Gedetailleerde notificatie 72u
    │
Herstel operaties
    │
Geleerde lessen ──────────→  Eindrapport 14d/30d

Als u NIS2-verplichtingen heeft

Sommige organisaties hebben zowel NIS2- als CRA-verplichtingen:

• NIS2: Incidenten op organisatie-/dienstniveau
• CRA: Kwetsbaarheden en incidenten op productniveau

Deze kunnen overlappen. Eén incident kan vereisen:

• NIS2-notificatie aan bevoegde autoriteit
• CRA-notificatie aan ENISA/CSIRT

Het ENISA SRP is ontworpen om routering voor beide regimes te verwerken waar van toepassing.

Gereedheidscheck ENISA-rapportage

GEREEDHEIDSCHECK ENISA-RAPPORTAGE

VÓÓR SEPTEMBER 2026:

KANALEN & CONTACTEN
[ ] security.txt gepubliceerd en actueel
[ ] Kwetsbaarheidsrapportageformulier beschikbaar
[ ] Beveiligings-e-mail bewaakt (SLA definiëren: ____ uur)
[ ] Nationaal CSIRT-contact geïdentificeerd
[ ] ENISA SRP-registratie (wanneer beschikbaar)

INTERN PROCES
[ ] Triagecriteria gedocumenteerd
[ ] Checklist exploitatiebeoordeling opgesteld
[ ] Escalatiepad gedefinieerd (namen, contacten)
[ ] Gemachtigde melders geïdentificeerd
[ ] Dekking buiten kantooruren ingesteld

DOCUMENTATIE
[ ] Sjabloon vroege waarschuwing voorbereid
[ ] Sjabloon gedetailleerde notificatie voorbereid
[ ] Eindrapportsjabloon voorbereid
[ ] Interne briefingmaterialen gereed

TESTEN
[ ] Tafeltoefening voltooid
[ ] Escalatie buiten kantooruren getest
[ ] Sjabloonreview voltooid

BIJ ONTDEKKING VAN MISBRUIK:

ONMIDDELLIJK (binnen 4 uur)
[ ] Initiële beoordeling: wordt dit actief misbruikt?
[ ] Starttijd klok gedocumenteerd: ____________
[ ] Escalatie naar gemachtigde melder

BINNEN 24 UUR
[ ] Vroege waarschuwing ingediend bij ENISA SRP
[ ] Bevestiging ontvangst ontvangen
[ ] Interne belanghebbenden geïnformeerd

BINNEN 72 UUR
[ ] Gedetailleerde notificatie ingediend
[ ] Mitigatiestatus bijgewerkt
[ ] Klantcommunicatie gestart (indien van toepassing)

BINNEN 14 DAGEN (kwetsbaarheid) / 30 DAGEN (incident)
[ ] Eindrapport ingediend
[ ] Geleerde lessen gedocumenteerd
[ ] Procesverbeteringen geïdentificeerd

Hoe CRA Evidence helpt

CRA Evidence bevat ENISA-rapportageworkflowondersteuning:

• Deadlineregistratie: Automatisch aftellen vanaf ontdekking
• Rapportsjablonen: Vooraf ingevuld met uw productgegevens
• Audittrail: Documenteer uw tijdlijn en beslissingen
• Integratie: Verbind kwetsbaarheidsscanning met rapportageworkflow

Wees gereed voor september 2026 met app.craevidence.com.

Tijdlijn: Bekijk wanneer rapportageverplichtingen beginnen in onze CRA-implementatietijdlijn.

CVD: Stel uw kwetsbaarheidsintakeproces in met ons CVD-beleidssjabloon.

Sancties: Begrijp de handhavingsgevolgen in onze sanctiegids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.