ENISA neemt haar eerste CNA's op: wat het betekent voor CRA Artikel 14

ENISA neemt nieuwe Europese CNA's op als CVE Root. Lees hoe dit de CRA Artikel 14-kwetsbaarheidsmelding versterkt en het EU-kwetsbaarhedenbeheer verbetert.

CRA Evidence Team Gepubliceerd 6 mei 2026
ENISA CVE Root en CRA Artikel 14-kwetsbaarheidsmelding: Europese kwetsbaarheidsidentificatieketen
In dit artikel

De 24-uursklok onder CRA Artikel 14 begint te lopen zodra u redelijke gronden heeft om actief misbruik te vermoeden. Die klok veronderstelt een werkende kwetsbaarheidsidentificatieketen. ENISA heeft die keten nu directer gemaakt.

Op 6 mei 2026 maakte ENISA bekend dat vier nieuwe organisaties tot het CVE-programma toetreden als CVE Numbering Authorities (CNA's) onder ENISA Root. Zeven bestaande Europese CNA's stapten over van MITRE Root naar ENISA Root. Voor elke fabrikant die zich voorbereidt op naleving van CRA Artikel 14 geldt: de operationele ruggengraat wordt nu operationeel.

Deze aankondiging heeft meer gewicht dan ze lijkt te hebben. De CRA bestaat niet in een vacuüm. Ze legt wettelijke verplichtingen op, maar die verplichtingen zijn afhankelijk van infrastructuur die vóór 11 september 2026 moet bestaan en functioneren. Dat ENISA zijn CVE Root uitbouwt, is onderdeel van die infrastructuur. En eerlijk gezegd: het feit dat dit nu gebeurt, zo kort voor de CRA-deadline, is tegelijk geruststellend en een herinnering dat de EU de machinerie nog in elkaar zet terwijl de klok loopt.

Samenvatting

  • ENISA is een CVE Root voor Europese entiteiten. Het werd Root in november 2025 en nam zijn eerste CNA's op in mei 2026.
  • 4 nieuwe CNA's traden toe tot het CVE-programma onder ENISA Root, opgeleid en begeleid door ENISA zelf. 7 bestaande Europese CNA's kwamen over van MITRE Root.
  • 90+ Europese CNA's komen in aanmerking voor vrijwillige overdracht naar ENISA Root. Europa vertegenwoordigt al bijna een vijfde van de 510 CNA's in 42 landen wereldwijd.
  • CRA Artikel 14 verplicht fabrikanten om actief misbruikte kwetsbaarheden binnen 24 uur te melden via het ENISA Single Reporting Platform (SRP), dat op 11 september 2026 in werking treedt.
  • CVE-ID's zijn de gemeenschappelijke identificator voor die melding. ENISA als CVE Root betekent dat Europa CVE-ID's nu rechtstreeks toekent, zonder omleiding via MITRE.
  • AI-versnelling is een genoemde drijvende factor. ENISA's Hans de Vries wees op frontier AI-modellen die de tijd tussen ontdekking en misbruik van kwetsbaarheden inkorten.
  • Cyberbeveiligingswet 2 stelt aanvullende operationele middelen voor ENISA voor, passend bij het groeiende volume.
4
Nieuwe CNA's onder ENISA Root
opgenomen mei 2026
7
Overgekomen van MITRE
bestaande EU-CNA's, nieuwe Root
90+
Aanmerking komende EU-CNA's
vrijwillige overdracht open
nov 2025
ENISA werd CVE Root
eerste CNA's opgenomen mei 2026

Bron: ENISA-aankondiging, 6 mei 2026.

Waarom CVE-ID's van belang zijn voor uw Artikel 14-melding

Wanneer CRA Artikel 14 u verplicht een actief misbruikte kwetsbaarheid te melden, moet het rapport de kwetsbaarheid precies identificeren. CVE-ID's zijn de wereldwijde standaard voor die identificatie. Ze worden gebruikt in de European Vulnerability Database (EUVD) van ENISA. Het ENISA Single Reporting Platform verwacht ze ook.

Een CVE-ID laten toekennen vereist een CNA. Als er geen EU-CNA uw softwarecategorie dekte, ging u naar MITRE. MITRE is in de VS gevestigd. De coördinatie werkte, maar bracht vertraging met zich mee. Onder een 24-uursklok is vertraging een nalevingsrisico.

ENISA als CVE Root verandert de routing. Europese CNA's coördineren de CVE-toewijzing nu rechtstreeks met ENISA. Voor de meeste fabrikanten is dit dagelijks onzichtbaar. U hoeft geen CNA te zijn. Maar de beveiligingsonderzoeker die een bug in uw product vindt, of het CSIRT dat uw openbaarmaking afhandelt, opereert nu onder een Root-autoriteit die geografisch is afgestemd op het agentschap waaraan u onder Artikel 14 rapporteert.

Dat is de infrastructuur waarvan uw 24-uursvenster afhankelijk is.

De meldingsketen onder CRA Artikel 14

CRA Artikel 14, lid 1 verplicht fabrikanten om tegelijkertijd te melden aan de coördinator-CSIRT en aan ENISA, via het ENISA Single Reporting Platform. U dient één keer in. Beide ontvangen het.

Maar het SRP heeft een CVE-ID nodig om het rapport te verankeren. De rol van ENISA als CVE Root betekent dat de identificatiestap en de meldingsstap nu bij hetzelfde agentschap liggen. Het orgaan dat de kwetsbaarheid een naam geeft, is hetzelfde orgaan waaraan u rapporteert. Dat sluit een coördinatiekloof die bestond toen de twee functies via afzonderlijke organisaties op verschillende continenten liepen.

Één agentschap, twee rollen

ENISA kent nu CVE-ID's toe voor Europese entiteiten en ontvangt Artikel 14-meldingen via het SRP. Het agentschap dat de kwetsbaarheid benoemt, is hetzelfde agentschap waaraan u rapporteert onder de CRA.

Zie de Artikel 14-meldingsgids voor de volledige 24-uurs-, 72-uurs- en 14-daagse cyclus en wat de SRP-indiening omvat.

Het AI-versnellingsprobleem

Hans de Vries, hoofd Cybersecurity en Operaties bij ENISA, sprak zich direct uit over waarom dit nu van belang is:

Op een moment waarop frontier AI-modellen de ontdekking en het misbruik van kwetsbaarheden versnellen, moet de capaciteit voor kwetsbaarhedenbeheer in Europa gelijke tred houden en betrouwbare operationele ondersteuning bieden aan de bredere cyberbeveiligingsgemeenschap.

Hans de Vries, Chief Cybersecurity and Operations Officer, ENISA · 6 mei 2026

AI-tools verkorten de tijd tussen het vinden van een bug en het misbruiken ervan. Het venster tussen "een onderzoeker ontdekt het" en "uw 24-uursklok onder Artikel 14 begint" wordt korter. Twee dingen volgen hieruit. Ten eerste moet uw interne triageproces aansluiten op een sneller dreigingstijdlijn. Ten tweede heeft de CVE-toewijzingsstap in de keten dezelfde snelheid nodig. ENISA bouwt die capaciteit nu op. Cyberbeveiligingswet 2 stelt aanvullende operationele middelen voor ENISA specifiek voor deze taak voor.

Wat u niet hoeft te doen

U hoeft geen CNA te worden. CNA-status is bedoeld voor organisaties die kwetsbaarheidsrecords ontdekken en publiceren. De meeste fabrikanten zijn geen CNA en de CRA vereist dat ook niet.

Wat CRA Bijlage I, Deel II wel vereist, is een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD). Dat beleid beschrijft hoe uw organisatie kwetsbaarheden ontvangt, afhandelt en openbaar maakt. Binnen dat beleid werkt u samen met CNA's of CSIRT's die de CVE-toewijzing regelen. ENISA als CVE Root betekent dat die partners nu opereren onder een meer directe EU-gezagsstructuur.

Toets uw CVD-beleid aan drie vragen vóór 11 september 2026:

  1. Noemt het de meldingsroute? Het beleid moet het ENISA SRP vermelden als indieningskanaal voor Artikel 14-meldingen.
  2. Beschrijft het hoe u inkomende meldingen afhandelt? Wanneer een onderzoeker een kwetsbaarheid bij u meldt, moet het beleid uw responstermijn en het CVE-aanvraagproces beschrijven.
  3. Identificeert het uw coördinator-CSIRT? Artikel 14, lid 7 verplicht fabrikanten een coördinator-CSIRT aan te wijzen. Die aanwijzing hoort in het beleid thuis.

Zie het CVD-beleidssjabloon als gestructureerd startpunt.

Onze kijk

De lijn "versterken, niet fragmenteren" is het juiste standpunt. Het risico van elke EU-specifieke infrastructuur is fragmentatie. Een Europese CVE-silo die afwijkt van MITRE zou iedereen schaden, ook Europese fabrikanten die met mondiale toeleveringsketens werken. De aankondiging is expliciet: ENISA werkt samen met CISA en MITRE als onderdeel van een gedeelde toewijding aan het mondiale programma.

De grotere boodschap voor fabrikanten is een kwestie van timing. De infrastructuur wordt samengesteld op hetzelfde moment dat u wordt geacht eraan te voldoen. Het SRP is nog niet live. De CVE Root heeft 11 CNA's onder zich van de 90+ die in aanmerking komen. Deze zaken zijn klaar in september 2026, maar u moet ook klaar zijn, en uw proces bouwen op infrastructuur die nog wordt opgeleverd is moeilijker dan bouwen op stabiele basis. Het NCSC-NL houdt de ontwikkelingen rond kwetsbaarhedenbeheer en de SRP-implementatie bij; houd die publicaties in de gaten naast de aankondigingen van ENISA zelf.

Veelgestelde vragen

Verandert het feit dat ENISA CVE Root wordt mijn meldingsverplichtingen onder Artikel 14?

Nee. Uw verplichtingen onder Artikel 14 zijn ongewijzigd. U meldt actief misbruikte kwetsbaarheden nog steeds binnen 24 uur via het ENISA SRP vanaf 11 september 2026. Wat verandert is de infrastructuur achter het platform. ENISA kent nu rechtstreeks CVE-ID's toe voor Europese entiteiten, waardoor de coördinatievertraging tussen kwetsbaarheidsidentificatie en de meldingsstap afneemt. Zie de Artikel 14-meldingsgids voor de volledige verplichting.

Moet ik een CVE Numbering Authority worden om aan de CRA te voldoen?

Nee. CNA-status is bedoeld voor organisaties die kwetsbaarheidsrecords ontdekken en publiceren. De CRA vereist een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking onder Bijlage I, Deel II, en Artikel 14-rapportage via het ENISA SRP. Die verplichtingen staan los van CNA-lidmaatschap. De meeste fabrikanten voldoen door samen te werken met bestaande CNA's of CSIRT's in plaats van zelf CNA-status te houden.

Wanneer werd ENISA CVE Root en wat betekent dat in de praktijk?

ENISA werd CVE Root voor Europese entiteiten in november 2025. Als Root werft, begeleidt, traint en beheert het CNA's binnen zijn bereik, en vergemakkelijkt het de toewijzing van CVE-ID's en de publicatie van records voor Europese entiteiten. De eerste CNA-opnames onder ENISA Root werden op 6 mei 2026 bekendgemaakt: vier nieuwe CNA's en zeven die overkwamen van MITRE Root. In de praktijk betekent dit dat Europese CNA's de CVE-toewijzing nu coördineren met ENISA in plaats van via de in de VS gevestigde MITRE-organisatie.

Wat is de European Vulnerability Database en hoe hangt die samen met ENISA Root?

ENISA beheert de European Vulnerability Database (EUVD), die kwetsbaarheden catalogiseert met CVE-ID's als gemeenschappelijke identificator. Als CVE Root controleert ENISA nu de toewijzing van die ID's voor Europese entiteiten. De database en de toewijzingsautoriteit zijn bij één agentschap ondergebracht. Fabrikanten kunnen de EUVD gebruiken om te controleren of een kwetsbaarheid al is geregistreerd voordat ze een Artikel 14-melding via het SRP indienen.

Waarom is het AI-versnellingsargument van belang voor mijn CRA-voorbereiding?

De Chief Cybersecurity and Operations Officer van ENISA wees op frontier AI-modellen die de tijd tussen ontdekking en misbruik van kwetsbaarheden inkorten. Een korter venster van ontdekking tot misbruik betekent minder buffer tussen het moment dat een onderzoeker een bug vindt en het moment dat uw 24-uursklok onder Artikel 14 begint. Uw interne triageproces moet op dat tempo zijn afgestemd. Voer een tabletop-oefening uit tegen de 24-uursgrens vóór 11 september 2026 om te controleren of uw proces standhouden.

Wat is het verschil tussen MITRE Root en ENISA Root voor Europese CNA's?

MITRE is de in de VS gevestigde organisatie die historisch als mondiale CVE-Root fungeerde. Europese CNA's onder MITRE Root coördineerden de CVE-toewijzing via MITRE. Onder ENISA Root coördineren die CNA's rechtstreeks met ENISA. Het CVE-ID-formaat en de CVE-programmaregels zijn ongewijzigd. Het verschil zit in de Root-autoriteit: EU-gevestigd, EU-gemandateerd, en geïntegreerd met het ENISA SRP en de EUVD waarlangs CRA-fabrikanten rapporteren.

Wat u doet vóór 11 september 2026

  1. Toets uw beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking. Controleer of het het ENISA SRP noemt als Artikel 14-meldingskanaal en een coördinator-CSIRT aanwijst. Gebruik het CVD-beleidssjabloon als referentie.
  2. Voer een tabletop-oefening uit tegen de 24-uursgrens van Artikel 14. Stel vast wie in uw organisatie de klok start, wie de melding indient en hoe de CVE-ID wordt verkregen. Zie de Artikel 14-meldingsgids voor de volledige cyclus.
  3. Identificeer de CNA's of CSIRT's waarmee u samenwerkt voor CVE-ID-aanvragen. Als ze Europees zijn, controleer dan of ze onder ENISA Root opereren. Dat bepaalt uw eerste aanspreekpunt wanneer een kwetsbaarheid een ID nodig heeft vóór de melding.
  4. Houd het ENISA SRP in de gaten voor de testperiode en de livegang. Er is nog geen registratie-URL gepubliceerd. Volg de ENISA SRP-pagina voor updates vóór de deadline van september.

Dit artikel is uitsluitend bedoeld voor informatiedoeleinden en vormt geen juridisch advies. Voor specifieke nalevingsbegeleiding raadpleegt u een gekwalificeerde juridisch adviseur.

CRA ENISA Kwetsbaarheidsbeheer Beveiliging
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide