ENISA over frontier AI: 5 gevolgen voor CRA-fabrikanten

ENISA's paper (juli 2026) citeert NCSC-NL: uitbuiting op machinesnelheid. 5 gevolgen van de Cyberweerbaarheidsverordening, van meldingsvloed tot patch-diffing.

CRA Evidence Team Gepubliceerd 8 juli 2026
ENISA's visie op cybersecurity in het frontier AI-tijdperk en wat dit verandert voor CRA-fabrikanten
In dit artikel

In januari 2026 sloot curl zijn programma voor gecoördineerde kwetsbaarheidsopenbaarmaking. Door AI gegenereerde meldingen hadden de maintainers overspoeld, en het project besliste dat de intake meer kostte dan ze opleverde. ENISA citeert die sluiting nu in een officiële publicatie. Dit is het deel dat voor u van belang is: een CRA-fabrikant kan niet dezelfde keuze maken. De Cyberweerbaarheidsverordening maakt een kwetsbaarheidsmeldingsintake vanaf 11 december 2027 een wettelijke verplichting. curl koos voor een uitgang. Die heeft u niet.

Dat is een van vijf botsingen tussen ENISA's nieuwe positiepaper en uw CRA-verplichtingen. ENISA publiceerde in juli 2026 zijn visie op cybersecurity in het frontier AI-tijdperk. De 16 pagina's richten zich op nationale autoriteiten, EU-beleidsmakers, verdedigers en dienstverleners. Geen enkele sectie is geschreven voor productfabrikanten. De gevolgen belanden toch op uw bureau.

Samenvatting

  • ENISA's paper van juli 2026 stelt dat frontier AI de kloof tussen kwetsbaarheidsopenbaarmaking en uitbuiting heeft teruggebracht van jaren naar minuten, en in sommige gevallen tot onder nul.
  • Aanvallers bewapenen openbaarmakingen binnen 15 minuten, en de mediane tijd van eerste toegang tot data-exfiltratie is teruggevallen naar 72 minuten, volgens sectoronderzoek dat ENISA aanhaalt.
  • Door AI gegenereerde kwetsbaarheidsmeldingen dwongen curl in januari 2026 zijn CVD-programma te sluiten. De CRA maakt uw CVD-intake verplicht, dus heeft u triageregels nodig in plaats van een uitgang.
  • Eén organisatie ging van ongeveer 80 CVE's per kwartaal naar ruwweg 500 per dag na de invoering van frontier AI-tools. Uitleveren "zonder bekende uitbuitbare kwetsbaarheden" hangt nu af van gedocumenteerde uitbuitbaarheid, niet van CVE-aantallen.
  • Patch-diffing op machinesnelheid maakt van elke fix die u uitbrengt een kaart van hetzelfde gat in uw versies waarvan de ondersteuning is beëindigd.
  • Door AI geschreven patches vallen nog steeds onder uw CE-markering. Uw testbewijs moet meeschalen met uw patchsnelheid.
  • Uw kwetsbaarheidsmeldingen voeden de EUVD. ENISA stelt dat gecorreleerde meldingsdata de hardeningsclaims van leveranciers kan toetsen aan uitbuitbaarheid in de praktijk.
15 min
Openbaarmaking tot bewapening
sectoronderzoek aangehaald door ENISA
72 min
Toegang tot exfiltratie
mediaan, aangehaald door ENISA
~500/dag
CVE's bij één organisatie
met frontier AI-tools
24u
CRA-vroegtijdige waarschuwing
vanaf bewustwording, ongewijzigd

Bronnen: ENISA's visie op cybersecurity in het frontier AI-tijdperk, juli 2026. Verordening (EU) 2024/2847.

Wat ENISA daadwerkelijk publiceerde

Het document is een positienota van 16 pagina's, ontwikkeld samen met het EU CSIRTs Network en EU-CyCLONe tussen mei en juni 2026. De juridische kennisgeving stelt dat het geen enkele regelgevende verplichting schept. Behandel het als een signaal van de richting die ENISA's operationele begeleiding opgaat, en lees het naast de CRA-verplichtingen die nu al voor u gelden.

De kernstelling is meetbaar. Het venster tussen kwetsbaarheidsontdekking en uitbuiting is gegaan van jaren naar maanden naar minuten. Data die ENISA aanhaalt, plaatst bewapening op 15 minuten na openbaarmaking en mediane exfiltratie op 72 minuten na eerste toegang. NCSC-NL voegt toe dat autonome agenten het voordeel van de verdediger, de private ontdekking, wegnemen: zodra een AI-agent een kwetsbaarheid vindt, is het bouwen van het exploit een berekening, geen technisch project. Sommige exploits bestaan nu al vóór de fix er is, wat het document negatieve tijd-tot-exploit noemt.

ENISA is eerlijk over de andere kant van de vergelijking. Het document stelt dat de eigen capaciteit van ENISA, samen met die van fabrikanten en nationale CSIRT's, versterking of herziening nodig heeft om de komende golf van ontdekte kwetsbaarheden aan te kunnen. Het agentschap dat verantwoordelijk is voor het Single Reporting Platform zegt u, zwart op wit, dat de volumes iedereen onder druk zullen zetten.

De vijf secties hieronder nemen elk één bevinding uit het document en volgen die door naar een CRA-verplichting.

1. curl sloot zijn kwetsbaarheidsintake. U kunt dat niet

Begin 2026 waren door AI gegenereerde kwetsbaarheidsmeldingen delen van de open source-openbaarmakingspijplijn beginnen te overspoelen. Het document benoemt de schade: een wereldwijd bug bounty-platform pauzeerde nieuwe inzendingen voor de Internet Bug Bounty na een golf van AI-ondersteunde meldingen van wisselende kwaliteit, en curl beëindigde zijn CVD-programma in januari 2026 omdat de maintainers het volume en de ruis niet meer konden verwerken. Het probleem is signaalverdunning. Menselijke beoordelaars besteden hun tijd aan het scheiden van echte bevindingen van repetitieve, oppervlakkige of ongevalideerde inzendingen.

Een open source-project kan de deur sluiten. Onder de CRA kunt u dat niet. De verordening verplicht u een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking te voeren en te handhaven, en een contactadres te publiceren voor het melden van kwetsbaarheden in uw product. Beide verplichtingen gelden vanaf 11 december 2027. Dit is de ongemakkelijke waarheid: de CRA is geschreven vanuit de aanname dat meldingen schaars en waardevol zijn. Het document documenteert een wereld waarin ze bij honderden binnenkomen, machinaal geschreven en ongeverifieerd. De verplichting blijft. De aanname erachter is verdwenen.

Uw CVD-beleid heeft dus een clausule voor het AI-tijdperk nodig. Drie zaken horen daarin thuis:

  • Validatievereisten: bepaal wat een melding moet bevatten om tot triage te worden toegelaten. Het getroffen product en de versie, reproductiestappen of een proof of concept, en de waargenomen impact. Een melding zonder die elementen krijgt een verzoek om aanvulling, geen triageplek.
  • Deduplicatie vóór triage: AI-tooling dient dezelfde zwakte in vele bewoordingen opnieuw in. Cluster inkomende meldingen eerst tegen uw bekende bevindingen, en tel clusters, geen e-mails.
  • Triagetoezeggingen per ernstniveau: publiceer responstijden die u ook bij tien keer het huidige volume kunt aanhouden. Een bevestigings-SLA die u elke week breekt, is slechter bewijs dan een bescheiden SLA die u wel haalt.

Nog een nuance uit het document: ENISA merkt op dat de kwaliteit van AI-meldingen de afgelopen maanden echt is gestegen, dus een algemene "geen AI-meldingen"-regel gooit signaal weg. Filter op volledigheid en reproduceerbaarheid, niet op auteurschap. Het publiceren van de intakemechaniek via security.txt houdt de contactpuntverplichting toetsbaar.

2. AI verruimt wat 'bekend' en 'uitbuitbaar' betekenen

Het document bevat een getal dat release-engineering verandert. Een organisatie uit de sector vertelde ENISA dat ze ging van ongeveer 80 CVE's in Q1 2025 naar bijna 500 in Q1 2026, en vervolgens naar ruwweg 500 per dag zodra ze tools met frontier AI ging gebruiken. ENISA noemt dit de economische devaluatie van ontdekking: het vinden van fouten wordt geïndustrialiseerd, waardoor het meldingsvolume sneller stijgt dan wie dan ook kan verhelpen.

De CRA verbiedt het op de markt brengen van een product met bekende uitbuitbare kwetsbaarheden. Twee woorden dragen die regel. AI verruimt bekend mechanisch: elke scanrun tegen uw SBOM legt elk kwartaal meer bevindingen bloot. Wat AI niet verandert, is uitbuitbaar, en daar zit nu uw nalevingsbewijs. Het werk van severity scoring, het scheiden van inherente ernst van exploitatiewaarschijnlijkheid, houdt op een optimalisatie te zijn en wordt de release-poort zelf.

Wat de nieuwste generatie modellen bijzonder gevaarlijk maakt, is niet alleen het volume aan kwetsbaarheden dat ze vinden. Het is hun vermogen om bevindingen over meerdere stappen aan elkaar te koppelen, te redeneren over applicatielogica, en exploitatiepaden te produceren die voorheen diepgaande specialistische kennis vereisten. Dit is wat een lijst met individuele fouten omzet in een werkende aanval.

CERT-EU, geciteerd in ENISA's visie op cybersecurity in het frontier AI-tijdperk · juli 2026

Het koppelingspunt werkt in twee richtingen. ENISA waarschuwt dat kwetsbaarheden met een laag risico niet langer als onschadelijk kunnen worden afgedaan, omdat modellen ze aan elkaar koppelen tot werkende exploits. "Lage CVSS, negeren" is dus dood als triageregel. Maar een ruwe CVE-telpoort in CI gaat ook ten onder: bij 500 bevindingen per dag blokkeert die voorgoed elke release. Wat overeind blijft, is gedocumenteerde uitbuitbaarheid per bevinding. Het document noemt de twee instrumenten: EPSS van FIRST voor exploitatiewaarschijnlijkheid, en VEX om vast te leggen of uw product überhaupt is getroffen.

De lijn die verschuift

CRA-naleving verschuift van het tellen van kwetsbaarheden naar het documenteren van uitbuitbaarheid. Een bevinding zonder VEX-status is onafgeronde triage, en bij volumes uit het AI-tijdperk is onafgeronde triage de auditbevinding.

3. Elke patch die u uitbrengt, brengt het gat in uw oudere versies in kaart

De sectie van het document over N-day-bewapening stelt dat patchdiffs en binaire wijzigingen historisch gezien reverse engineering en exploitontwikkeling hebben gevoed, en dat het uitbuitingsvenster opengaat vóór de patch wordt uitgerold. Frontier AI comprimeert die reverse engineering van dagen specialistenwerk tot een berekening. Het document merkt ook op dat AI-ondersteunde analyse het codebegrip van legacysystemen versnelt.

Plaats nu uw eigen productlijn in dat beeld. U brengt een beveiligingsfix uit voor versie N. De diff beschrijft de kwetsbaarheid precies. Als versie N-1 dezelfde getroffen code bevat en voorbij het einde van de ondersteuning zit, is uw eigen patch de beste beschikbare exploitatiegids tegen uw eigen geïnstalleerde basis. Op menselijke snelheid was dit een bekend maar langzaam risico. Op machinesnelheid is het dezelfde dag.

Dat verandert wat twee CRA-beslissingen betekenen:

  • De ondersteuningsperiode, in de meeste gevallen minimaal vijf jaar, bepaalt welke versies nog fixes ontvangen. Versies daarbuiten verdwijnen niet uit het veld. Ze blijven bereikbaar, en elke fix die u publiceert voor ondersteunde versies leert aanvallers iets over die versies. Versiewildgroei is nu aanvalsoppervlak, dus minder, langer ondersteunde versies verslaan veel kortlevende versies. Zie ondersteuningsperiode voor hoe de duur wordt vastgesteld.
  • De einde-ondersteuningsverklaring die u kopers vóór aankoop verschuldigd bent, wordt operationele informatie, geen papierwerk op de plank. Een koper die voorbij de door u bekendgemaakte datum draait, draait een product dat uw eigen patchstroom aan aanvallers beschrijft. Zeg dat in de verklaring. De pagina einde-ondersteuningsverklaring behandelt waar de datum moet verschijnen.

Het advies van NCSC Ireland in het document is bot: doorloop asset-inventarissen, geef prioriteit aan patchdiscipline en beoordeel blootstelling aan niet-ondersteunde componenten. Voor een fabrikant is de spiegelbeeldverplichting om te voorkomen dat de kloof tussen "gepatchte branch" en "verlaten branch" stilletjes groter wordt.

4. Door AI geschreven patches vallen nog steeds onder uw CE-markering

ENISA verwacht dat remediëring dezelfde tooling gaat gebruiken als ontdekking. Het verificatieknelpunt uit het document is het gevolg: technische teams staan voor een schaaluitdaging bij het auditen en valideren van door AI gegenereerde patches, zodat die geen nieuwe kwetsbaarheden in de codebase introduceren. Het beschrijft ook de druk aan de andere kant, een Authority Gap waarbij menselijke change boards interventies niet kunnen goedkeuren binnen de minuten die beschikbaar zijn om autonome exploits tegen te gaan.

De CRA heeft geen mening over wie of wat uw code schrijft. Ze heeft een stevige mening over wie ervoor verantwoordelijk is. De verordening vereist doeltreffend en regelmatig beveiligingstesten van uw product, en de conformiteitsverklaring die u ondertekent onder conformiteitsbeoordeling dekt elke patch die u tijdens de ondersteuningsperiode distribueert. Een door AI gegenereerde fix die een nieuw gat opent, is uw non-conformiteit, op machinesnelheid.

Het praktische gevolg: uw patchpijplijn heeft testbewijs nodig dat meeschaalt met het patchvolume. Menselijke review van elke door AI geschreven regel schaalt niet naar 500 bevindingen per dag. Gedocumenteerd, geautomatiseerd beveiligingstesten op het patchpad wel, en dat levert de artefacten op die uw technisch dossier nodig heeft. Als u AI-ondersteunde remediëring invoert, leg dan vast welke patches machinaal zijn gegenereerd en welke validatie elke patch heeft doorstaan. Als een toezichthouder vraagt hoe u uw testverplichting eerlijk hield op die snelheid, is het antwoord een log, geen beleidsverklaring.

5. Uw kwetsbaarheidsmeldingen worden een openbare staat van dienst

Het laatste gevolg is het stilste in het document. ENISA schrijft dat gecorreleerde EUVD-data hotspots in de toeleveringsketen, systemische zwaktes en door AI-ondersteunde ontdekking versnelde kwetsbaarheidstrends kan identificeren. Eén zin verder staat: CRA-gerelateerde meldingen kunnen helpen hardeningsclaims van leveranciers te toetsen aan uitbuitbaarheid en incidentpatronen in de praktijk.

Lees dat als fabrikant. Vanaf 11 september 2026 dient u actief uitgebuite kwetsbaarheden en ernstige incidenten binnen 24 uur in via het Single Reporting Platform, gevolgd door een opvolging binnen 72 uur, en vervolgens een eindrapport binnen 14 dagen na de fix. Elke indiening belandt in een infrastructuur die ENISA van plan is te correleren. Na verloop van tijd is die correlatie een beveiligingsgeschiedenis per leverancier: hoe vaak u werd uitgebuit, hoe snel u fixte, en hoe uw staat van dienst zich verhoudt tot uw claims.

Twee gedragingen volgen daaruit:

  • Schrijf productbeveiligingsclaims die u kunt verdedigen met uw eigen meldingsgeschiedenis. "Hardened" en "secure by design" op een datasheet komen uiteindelijk naast uw EUVD-rij te staan. Marketing die voorloopt op de data wordt een gesprek met de markttoezichtautoriteit.
  • Behandel meldingskwaliteit als reputatie, niet als papierwerk. Een precieze melding binnen 72 uur met echte corrigerende maatregelen leest anders dan een minimale, en ENISA's gestelde doel is om met deze data de kloof tussen openbaarmaking en gecoördineerde respons te dichten. De meldingsketen zelf ging dit jaar in fasen live, met ENISA dat in mei 2026 zijn eerste CVE Numbering Authorities opnam.

De samenvatting van het document stelt dat het SRP, zodra functioneel, moet worden gebruikt om de uitdagingen van nieuwe ontwikkelingen aan te pakken. ENISA heeft zich daar schriftelijk aan verbonden. Uw meldingen zijn de input.

Veelgestelde vragen

Creëert ENISA's frontier AI-paper nieuwe CRA-verplichtingen?

Nee. Het is een positienota, en de juridische kennisgeving stelt dat die geen regelgevende verplichting schept. Uw bindende verplichtingen staan in Verordening (EU) 2024/2847: melding vanaf 11 september 2026 en de volledige vereisten, inclusief kwetsbaarhedenbeheer, vanaf 11 december 2027. Het document is van belang omdat het laat zien hoe ENISA het dreigingslandschap leest dat het gaat toezichthouden, en ENISA stelt dat de aanbevelingen zullen aansluiten bij een aankomend actieplan van de Europese Commissie. Zie het overzicht kwetsbaarhedenbeheer voor de bindende basis.

Kan mijn CVD-beleid door AI gegenereerde kwetsbaarheidsmeldingen weigeren?

U kunt validatievereisten stellen, en dat moet u ook doen: de getroffen versie, reproductiestappen of een proof of concept, de waargenomen impact. U kunt agressief dedupliceren. Wat u niet kunt doen, is de intake sluiten of negeren, omdat de CRA een gehandhaafd CVD-beleid en een bereikbaar contactpunt verplicht. ENISA merkt ook op dat de kwaliteit van AI-meldingen de afgelopen maanden is gestegen, dus filter op volledigheid, niet op de vraag of een mens het heeft geschreven.

Betekent 'geen bekende uitbuitbare kwetsbaarheden' dat mijn SBOM nul CVE's moet tonen?

Nee. De CRA verbiedt het op de markt brengen van producten met kwetsbaarheden die zowel bekend als uitbuitbaar zijn in de configuratie van uw product. Een CVE in een dependency die uw product niet activeert, is documenteerbaar als niet-getroffen in een VEX-verklaring. Bij ontdekkingsvolumes uit het AI-tijdperk is deze documentatie wat releases mogelijk houdt, omdat het ruwe aantal bekende CVE's in een typische SBOM alleen maar stijgt.

Veranderen de termijnen van 24 uur en 72 uur omdat aanvallers sneller bewegen?

De termijnen liggen vast in Artikel 14 van de CRA: vroegtijdige waarschuwing binnen 24 uur na bewustwording, kwetsbaarheidsmelding binnen 72 uur, eindrapport binnen 14 dagen na een corrigerende maatregel. Wat verandert, is de staat van de wereld op het moment dat de klok begint te lopen. Met bewapening op 15 minuten en exfiltratie op 72 minuten neemt u aan dat actieve uitbuiting al aan de gang is zodra u zich bewust wordt. Oefen de meldingsprocedure onder die aanname, niet onder de rustige aanname.

Wanneer gaat het Single Reporting Platform live?

Het SRP wordt operationeel op 11 september 2026, wanneer de meldingsverplichtingen gaan gelden. ENISA beheert het platform, en het frontier AI-paper verbindt zich ertoe het tegen dreigingen op machinesnelheid te gebruiken "zodra het functioneel is". De registratiemechaniek werd medio 2026 nog gepubliceerd, dus volg de SRP-onboardinggids voor de voorwaarden die u nu al kunt voorbereiden.

Is dit alleen relevant als mijn product AI bevat?

Nee. Het document gaat over door AI versnelde aanvallen en door AI overspoelde openbaarmakingspijplijnen, die elk product met digitale elementen raken, ook producten zonder AI aan boord. Verplichtingen voor AI-systemen zelf lopen apart, onder de AI-verordening voor general-purpose-modellen en, waar producten overlappen, via de brug die wordt beschreven in de gids over de overlap tussen CRA en AI-verordening.

Volgende stappen

Wat u dit kwartaal doet

  1. Voeg een clausule voor het AI-tijdperk toe aan uw CVD-beleid: validatievereisten voor inkomende meldingen, een deduplicatiestap vóór triage, en responstoezeggingen die u kunt aanhouden bij tien keer het huidige volume.
  2. Vervang release-poorten op basis van CVE-aantallen door poorten op basis van uitbuitbaarheid. Elke openstaande bevinding krijgt een VEX-status, en prioritering verloopt via EPSS en CISA KEV zoals beschreven in de gids voor severity scoring.
  3. Toets uw versie- en branchstrategie vanuit het perspectief van patch-diffing: minder ondersteunde branches, een schriftelijk backportbeleid, en einde-ondersteuningsverklaringen die aangeven wat het stopzetten van updates betekent.
  4. Voer de meldingsoefening van 24 uur uit met actieve uitbuiting vanaf minuut nul als uitgangspunt, en leg vast wie het CVE-ID verkrijgt, wie de melding indient, en hoe lang elke stap duurde.

Dit artikel is uitsluitend bedoeld voor informatiedoeleinden en vormt geen juridisch advies. Voor specifieke nalevingsbegeleiding raadpleegt u een gekwalificeerde juridisch adviseur.

CRA ENISA Kwetsbaarheidsbeheer Beveiliging
Share

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.