ENISA-kwetsbaarheidsmelding: de 24-uursklok start op 11 september 2026

11 september 2026. Vanaf die datum heeft u 24 uur om actief misbruikte kwetsbaarheden te melden aan ENISA. Mist u de deadline, dan riskeert u handhavingsmaatregelen.

De klok start niet bij bewijs. Die start bij redelijk geloof. Als uw beveiligingsteam sterke aanwijzingen heeft van actief misbruik, loopt de klok al. De meeste organisaties hebben dit proces nog niet ingericht.

Samenvatting

• September 2026: Kwetsbaarheids- en incidentrapportageverplichtingen starten
• "Actief misbruikt": een kwaadwillende actor heeft de kwetsbaarheid gebruikt om gebruikers te treffen
• Tijdlijn: vroege waarschuwing 24u → gedetailleerde notificatie 72u → eindrapport 14d (kwetsbaarheden) / één maand (incidenten)
• Rapporteren aan: ENISA Single Reporting Platform en het relevante nationale CSIRT
• Bereid u nu voor: intern triageproces, escalatiepaden, rapportsjablonen

Wat triggert CRA-rapportage?

De CRA definieert twee categorieën waarvoor verplichte notificatie vereist is:

1. Actief misbruikte kwetsbaarheden

Een kwetsbaarheid in uw product die:

• Bekend is bij u (intern ontdekt of extern gemeld)
• Door een kwaadwillende actor is misbruikt
• Gebruikers van uw product treft of kan treffen

2. Ernstige incidenten

Beveiligingsincidenten die:

• De beveiliging van uw product beïnvloeden
• Uw ontwikkelomgeving compromitteren op manieren die de productbeveiliging aantasten
• Wijdverspreide serviceonderbreking voor gebruikers veroorzaken
• Leiden tot wijdverspreide compromittering

Beide categorieën triggeren dezelfde rapportagetijdlijnen, maar hebben verschillende eindrapporten.

Waarschuwing: De 24-uursklok start bij bewustwording van actief misbruik. Forensische bevestiging is niet vereist.

Wat betekent "actief misbruikt" onder de CRA?

De CRA definieert een actief misbruikte kwetsbaarheid als één waarbij "een kwaadwillende actor gebruik maakt van een fout."

Dit is niet hetzelfde als:

• Een kwetsbaarheid die openbaar wordt gemaakt
• Een proof-of-concept die wordt gepubliceerd
• Een onderzoeker die exploiteerbaarheid aantoont

Het betekent daadwerkelijk kwaadaardig gebruik.

Rapporteerbare vs. niet-rapporteerbare scenario's

De norm van "redelijk geloof"

U heeft geen forensisch bewijs van misbruik nodig. De norm is redelijk geloof op basis van beschikbare bewijzen:

• Ongebruikelijke toegangspatronen consistent met bekende exploittechnieken
• Klantmeldingen van compromittering
• Dreigingsintelligentie die aangeeft dat uw product doelwit is
• Detectie van exploitcode ontworpen voor uw product

Bij twijfel: Neig naar rapportage. Een vroegtijdige vroege waarschuwing die onterecht blijkt te zijn, is veel beter dan een gemiste deadline voor daadwerkelijk misbruik.

Rapportagetijdlijnen

Zowel kwetsbaarheden als incidenten volgen een gefaseerd rapportagemodel:

Tijdlijn voor actief misbruikte kwetsbaarheden

ONTDEKKING → 24 UUR → 72 UUR → PATCH BESCHIKBAAR → 14 DAGEN
    │           │           │            │              │
    │           │           │            │              └── Eindrapport
    │           │           │            └── Klok herstart
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Tijdlijn voor ernstige incidenten

ONTDEKKING → 24 UUR → 72 UUR → 1 MAAND
    │           │           │         │
    │           │           │         └── Eindrapport
    │           │           └── Gedetailleerde notificatie
    │           └── Vroege waarschuwing
    └── Klok start

Inhoud van elk rapport

Vroege waarschuwing (24 uur)

Minimuminformatie om autoriteiten te waarschuwen:

• Uw identiteit (fabrikant)
• Identificatie van getroffen product(en)
• Korte beschrijving van kwetsbaarheid of incident
• Initiële ernstbeoordeling
• Of misbruik bevestigd of vermoed is
• Indicatie van potentiële impactomvang

Dit is geen volledige analyse. Het is een waarschuwing dat er iets ernstigs gaande is.

Gedetailleerde notificatie (72 uur)

Uitgebreide informatie voor beoordeling:

• Technische details van de kwetsbaarheid
• Getroffen versies en configuraties
• Exploitatiemethode (indien bekend)
• Huidige mitigatiestatus
• Schatting van hersteltijdlijn
• Bekende getroffen gebruikers en omvang
• Coördinatie met andere partijen (andere leveranciers, CSIRT's)

Eindrapport (14 dagen voor kwetsbaarheden / één maand voor incidenten)

Volledige analyse na herstel:

• Hoofdoorzaakanalyse
• Volledige technische beschrijving
• Genomen herstelmaatregelen
• Geleerde lessen
• Geïmplementeerde preventiemaatregelen
• Impactbeoordeling (bevestigde getroffen gebruikers, gegevensblootstelling, enzovoort)

Waar dient u de ENISA-kwetsbaarheidsmelding in?

ENISA Single Reporting Platform (SRP)

Het SRP is per april 2026 nog niet operationeel. ENISA heeft een leverancier gecontracteerd en het platform staat gepland om open te gaan op 11 september 2026, wanneer de rapportageverplichtingen ingaan. Een testperiode is gepland vóór die datum. Er is geen registratie-URL gepubliceerd. Houd de ENISA SRP-pagina in de gaten voor updates: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Wat is bevestigd:

• Webgebaseerd platform voor indieningen
• Gestandaardiseerde rapportageformulieren
• Eén indiening, gerouteerd naar het relevante nationale CSIRT

Wat fabrikanten nu al kunnen doen:

• Rapportsjablonen opstellen op basis van de onderstaande structuur
• Uw coördinerende CSIRT identificeren (zie hieronder)
• Interne escalatiepaden en gemachtigde melders vastleggen

Nationale CSIRT's

Op grond van Artikel 14(7) van Verordening (EU) 2024/2847 dient u één melding in via het SRP bij de CSIRT van de lidstaat waar uw organisatie haar hoofdvestiging heeft. Hoofdvestiging is de plaats waar beslissingen over productcyberveiligheid overwegend worden genomen.

Voor fabrikanten met een hoofdvestiging in Nederland is NCSC-NL (Nationaal Cyber Security Centrum) het relevante CSIRT. Bent u buiten de EU gevestigd, dan is de relevante CSIRT die van uw EU-gemachtigde vertegenwoordiger. Heeft u geen gemachtigde vertegenwoordiger, dan verschuift de verantwoordelijkheid naar uw importeur, dan distributeur, dan het land met de grootste gebruikersconcentratie.

U bent niet verplicht elk CSIRT te notificeren in elk land waar uw product wordt verkocht. Op grond van Artikel 16 stuurt ENISA de melding na uw indiening door naar de CSIRT's van de marktlanden. Die stap is niet de verantwoordelijkheid van de fabrikant.

Voor producten in meerdere lidstaten

Eén indiening bij het SRP dekt uw rapportageplicht. U kunt vervolgcontact ontvangen van meerdere nationale autoriteiten, maar er is één indieningspad.

Interne voorbereidingschecklist

Wacht niet tot september 2026. Bouw uw processen nu op.

1. Kanalen voor intake van kwetsbaarheden

Stel duidelijke paden in voor kwetsbaarheidsmeldingen:

security.txt-bestand:

# https://uwproduct.com/.well-known/security.txt
Contact: mailto:security@uwbedrijf.com
Contact: https://uwbedrijf.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: nl, en
Canonical: https://uwbedrijf.com/.well-known/security.txt
Policy: https://uwbedrijf.com/security/policy

Webformulier voor gestructureerde meldingen

Toegewijd e-mailadres 24/7 bewaakt (of met duidelijke SLA)

2. Intern triageproces

Definieer hoe meldingen worden beoordeeld:

TRIAGE INTAKE KWETSBAARHEDEN

1. Initiële ontvangst (< 4 uur)
   - Ontvangst bevestigen
   - Toewijzen aan beveiligingsteamlid
   - Initiële geldigheidscontrole

2. Technische triage (< 24 uur)
   - Bevestig dat kwetsbaarheid bestaat
   - Bepaal getroffen versies
   - Beoordeel exploiteerbaarheid
   - Controleer op bewijs van actief misbruik

3. Ernstbeoordeling (< 24 uur)
   - CVSS-score (of equivalent)
   - Beoordeling bedrijfsimpact
   - Kans op misbruik

4. Rapportagebeslissing (ONMIDDELLIJK als misbruik bevestigd)
   - Vereist dit ENISA-notificatie?
   - Zo ja, start de 24-uursklok

3. Escalatiepaden

Definieer wie externe rapportage kan triggeren:

Kernprincipe: De persoon die potentieel misbruik ontdekt, moet direct 24/7 kunnen escaleren.

4. Dekking buiten kantooruren

De 24-uursklok pauzeert niet voor weekenden of feestdagen.

Opties:

• On-call rotatie voor het beveiligingsteam
• Monitoringdienst met escalatiebevoegdheid
• Duidelijke buiten-kantooruren contactketen
• Vooraf gemachtigde melders die vroege waarschuwingen kunnen indienen

5. Rapportsjablonen

Bereid sjablonen voor vóórdat u ze nodig heeft:

Sjabloon vroege waarschuwing:

ENISA CRA VROEGE WAARSCHUWING

Fabrikant: [Bedrijfsnaam]
Rapportdatum: [Datum/tijd UTC]
Rapporttype: [ ] Actief misbruikte kwetsbaarheid [ ] Ernstig incident

GETROFFEN PRODUCT(EN):
- Productnaam:
- Versie(s):
- Productcategorie:

SAMENVATTING KWETSBAARHEID/INCIDENT:
[Korte beschrijving - 2-3 zinnen]

EXPLOITATIESTATUS:
[ ] Bevestigd misbruik
[ ] Vermoed misbruik
Bewijs: [Korte beschrijving van bewijs]

INITIËLE ERNSTBEOORDELING:
[ ] Kritiek [ ] Hoog [ ] Gemiddeld [ ] Laag
Basis: [CVSS-score of andere onderbouwing]

POTENTIËLE IMPACTOMVANG:
- Geschatte getroffen gebruikers:
- Geografische omvang:
- Gegevens in gevaar:

HUIDIGE STATUS:
[ ] Wordt onderzocht
[ ] Mitigatie in uitvoering
[ ] Patch in ontwikkeling

CONTACTPERSOON VOOR VERVOLG:
Naam:
E-mail:
Telefoon:

Dit is een vroege waarschuwing. Gedetailleerde notificatie volgt binnen 72 uur.

6. Test uw proces

Voer tafeltoefoefeningen uit vóór september 2026:

Scenario 1: Vrijdag 17:00. Een beveiligingsonderzoeker meldt een kritieke kwetsbaarheid met PoC.

• Hoe snel kunt u het misbruikrisico beoordelen?
• Wie neemt de rapportagebeslissing in het weekend?

Scenario 2: Een klant meldt verdachte activiteit waarbij uw product het beginpunt lijkt.

• Hoe verzamelt u bewijs om misbruik te bevestigen of te ontkennen?
• Wat is uw drempel voor "redelijk geloof"?

Scenario 3: Dreigingsintelligentie geeft aan dat uw product het doelwit is van een APT-groep.

• Heeft u zichtbaarheid op daadwerkelijk misbruik?
• Hoe coördineert u met externe dreigingsintelligentieleveranciers?

Veelgemaakte fouten

Wachten op zekerheid

Probleem: Wachten op forensisch bewijs vóór rapportage.

Werkelijkheid: De 24-uursklok start bij redelijk geloof. Wie wacht op zekerheid, mist de deadline.

Oplossing: Meld vroeg. U kunt in de gedetailleerde notificatie bijwerken dat het misbruik niet langer bevestigd is, als het bewijs dit niet ondersteunt.

CVD verwarren met ENISA-rapportage

Probleem: Onderzoekersmeldingen behandelen als ENISA-notificaties.

Werkelijkheid: Gecoördineerde kwetsbaarheidsopenbaarmaking en ENISA-rapportage zijn twee afzonderlijke processen.

• CVD: hoe u onderzoekersmeldingen afhandelt en openbaarmakingstijdlijnen afspreekt
• ENISA-rapportage: verplichte notificatie wanneer daadwerkelijk misbruik plaatsvindt

Oplossing: Bouw in uw CVD-proces een controlepunt in: "Is er bewijs van misbruik?" Als het antwoord ja is, start u ENISA-rapportage parallel aan CVD.

Enkelvoudig foutpunt

Probleem: Slechts één persoon kan rapporten autoriseren en die is niet bereikbaar.

Werkelijkheid: Misbruik wordt ontdekt op elk moment. Weekenden. Feestdagen. 3 uur 's nachts.

Oplossing: Meerdere gemachtigde melders. Duidelijke delegatie. Noodcontactketen.

Geen relatie met CSIRT's

Probleem: Het eerste contact met uw nationale CSIRT is tijdens een incident.

Werkelijkheid: Vooraf opgebouwde relaties maken incidentrespons soepeler.

Oplossing: Neem nu contact op met NCSC-NL of het relevante nationale CSIRT. Begrijp hun processen. Sluit u aan bij eventuele outreachprogramma's voor fabrikanten.

Vrijstellingen voor kleine ondernemingen

Micro-ondernemingen en kleine ondernemingen hebben enige verlichting op grond van Artikel 64(10)(a):

Vrijstelling rapportagetijdstip: Vrijgesteld van boetes voor het missen van de 24-uurs vroege-waarschuwingsdeadlines in Artikel 14(2)(a) en Artikel 14(4)(a). De 72-uursdeadline voor gedetailleerde notificatie (Artikel 14(2)(b) en Artikel 14(4)(b)) valt hier niet onder. Het missen van die deadline kan ongeacht bedrijfsomvang leiden tot boetes.

Nog steeds vereist:

• Rapportage (alleen niet bestraft voor timing van de 24-uurs vroege waarschuwing)
• Alle andere CRA-verplichtingen
• Eindrapporten

Definitie (Artikel 64(10)(a)): Van toepassing op micro-ondernemingen (minder dan 10 werknemers, jaarlijkse omzet of balanstotaal van maximaal EUR 2 miljoen) en kleine ondernemingen (minder dan 50 werknemers, jaarlijkse omzet of balanstotaal van maximaal EUR 10 miljoen). Middelgrote ondernemingen (tot 250 werknemers) vallen niet onder deze vrijstelling.

Deze vrijstelling dekt alleen de boete voor de 24-uurs vroege waarschuwing. Alle fabrikanten, inclusief micro-ondernemingen, moeten rapportagecapaciteiten inrichten.

Integratie met bestaande processen

Als u al incidentrespons heeft

Koppel CRA-rapportage aan uw bestaand proces:

BESTAAND IR-PROCES          CRA-INTEGRATIE
─────────────────────────────────────────────
Detectie
    │
Triage ──────────────────→  Controle: misbruik van CRA-product?
    │                             │
Inperking                         ├─ JA: Start 24-uursklok
    │                             │       Vroege waarschuwing indienen
Onderzoek                         │
    │                             │
Herstel ──────────────────→  Gedetailleerde notificatie 72u
    │
Herstel operaties
    │
Geleerde lessen ──────────→  Eindrapport 14d/1 maand

Als u NIS2-verplichtingen heeft

Sommige organisaties hebben zowel NIS2- als CRA-verplichtingen:

• NIS2: Incidenten op organisatie- of dienstniveau
• CRA: Kwetsbaarheden en incidenten op productniveau

Deze kunnen overlappen. Eén incident kan vereisen:

• NIS2-notificatie aan de bevoegde autoriteit
• CRA-notificatie aan ENISA en CSIRT

ENISA heeft aangegeven dat het SRP routering voor beide regimes zal afhandelen waar van toepassing. Dit is nog niet bevestigd in definitieve leidraad.

Gereedheidscheck ENISA-rapportage

GEREEDHEIDSCHECK ENISA-RAPPORTAGE

VÓÓR SEPTEMBER 2026:

KANALEN & CONTACTEN
[ ] security.txt gepubliceerd en actueel
[ ] Kwetsbaarheidsrapportageformulier beschikbaar
[ ] Beveiligings-e-mail bewaakt (SLA definiëren: ____ uur)
[ ] Nationaal CSIRT-contact geïdentificeerd (NCSC-NL voor NL-gevestigde fabrikanten)
[ ] ENISA SRP-registratie (wanneer beschikbaar)

INTERN PROCES
[ ] Triagecriteria gedocumenteerd
[ ] Checklist exploitatiebeoordeling opgesteld
[ ] Escalatiepad gedefinieerd (namen, contacten)
[ ] Gemachtigde melders geïdentificeerd
[ ] Dekking buiten kantooruren ingesteld

DOCUMENTATIE
[ ] Sjabloon vroege waarschuwing voorbereid
[ ] Sjabloon gedetailleerde notificatie voorbereid
[ ] Eindrapportsjabloon voorbereid
[ ] Interne briefingmaterialen gereed

TESTEN
[ ] Tafeltoefening voltooid
[ ] Escalatie buiten kantooruren getest
[ ] Sjabloonreview voltooid

BIJ ONTDEKKING VAN MISBRUIK:

ONMIDDELLIJK (binnen 4 uur)
[ ] Initiële beoordeling: wordt dit actief misbruikt?
[ ] Starttijd klok gedocumenteerd: ____________
[ ] Escalatie naar gemachtigde melder

BINNEN 24 UUR
[ ] Vroege waarschuwing ingediend bij ENISA SRP
[ ] Bevestiging ontvangst ontvangen
[ ] Interne belanghebbenden geïnformeerd

BINNEN 72 UUR
[ ] Gedetailleerde notificatie ingediend
[ ] Mitigatiestatus bijgewerkt
[ ] Klantcommunicatie gestart (indien van toepassing)

BINNEN 14 DAGEN (kwetsbaarheid) / ÉÉN MAAND (incident)
[ ] Eindrapport ingediend
[ ] Geleerde lessen gedocumenteerd
[ ] Procesverbeteringen geïdentificeerd

Volgende stappen

Beheert u CRA-compliance voor meerdere producten? CRA Evidence houdt deadlines bij en biedt vooraf ingevulde rapportagesjablonen voor de kwetsbaarheidsopenbaarmaking van elk product.

Zodra uw triageproces op orde is, stelt u de kwetsbaarheidsintake in met onze CVD-beleidssjabloon. Raadpleeg de sanctiegids om te begrijpen wat handhaving betekent als termijnen worden gemist.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur die vertrouwd is met EU-productregelgeving.