Vanaf 11 september 2026 moeten CRA-fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten melden via het ENISA Single Reporting Platform. Deze gids legt uit wat een melding activeert, hoe de termijnen van 24 uur, 72 uur, 14 dagen en 1 maand werken, en waar CVD, VEX en gebruikersinformatie in het proces passen.
Samenvatting
- Urgente melding begint op 11 september 2026: beide stromen gebruiken een 24u-waarschuwing en een 72u-melding; het eindrapport komt 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is voor kwetsbaarheden en binnen 1 maand na de 72u-melding voor ernstige incidenten.
- Dien een keer in via ENISA SRP: het platform stuurt de melding naar de coördinerende CSIRT en maakt die beschikbaar voor ENISA.
- Actief misbruik vereist betrouwbaar bewijs dat een kwaadwillende actor de kwetsbaarheid zonder toestemming in een systeem heeft misbruikt; openbaarmaking, een publieke PoC of een onderzoeksdemo is op zichzelf niet genoeg.
- Het CVD-beleid is verplicht: schriftelijk, gepubliceerd, toegepast en gekoppeld aan de meldpoort wanneer triage actief misbruik vindt.
- VEX ondersteunt meldbesluiten door vast te leggen of een CVE in een SBOM-component het product werkelijk raakt.
- Boetedetails horen in de handhavingsgids: te late of ontbrekende meldingen kunnen serieuze handhavingsblootstelling opleveren; zie CRA-boetes en handhaving voor niveaus en mkb-uitzonderingen.
De vier getallen die CRA-melding van kwetsbaarheden en incidenten sturen: waarschuwing, melding, eindrapport en sanctieniveau.
Wat moet worden gemeld
CRA-melding heeft twee verplichte gebeurtenisstromen en een afzonderlijke plicht om gebruikers te informeren. De plicht ligt bij de fabrikant van het product met digitale elementen op de EU-markt:
- Meld elke actief misbruikte kwetsbaarheid in het product aan de coördinerende CSIRT en ENISA volgens 24u / 72u / 14d.
- Meld elk ernstig incident dat gevolgen heeft voor de beveiliging van het product volgens 24u / 72u / 1 maand.
- Informeer getroffen gebruikers over de kwetsbaarheid of het incident en corrigerende maatregelen zonder onnodige vertraging.
Deze pagina behandelt ook twee aangrenzende controles die de meldbeslissing voeden: het verplichte CVD-beleid en toepasbaarheidsbewijs zoals VEX. Geen van deze plichten heeft een omvangsdrempel. Micro- en kleine ondernemingen krijgen alleen een smalle boetevrijstelling voor de 24h-vroege waarschuwing; zij zijn niet vrijgesteld van melden.
Het ENISA Single Reporting Platform (SRP)
SRP is het enige kanaal voor verplichte CRA-meldingen over kwetsbaarheden en incidenten. De fabrikant meldt een keer via het elektronische punt van de coördinerende CSIRT; de melding is tegelijk beschikbaar voor ENISA tenzij het uitzonderlijke mechanisme voor vertraagde verspreiding wordt toegepast. De coördinerende CSIRT verspreidt de informatie daarna naar betrokken CSIRT's in andere lidstaten.
Status in juni 2026: het SRP staat gepland om uiterlijk op 11 september 2026 operationeel te zijn, met een testperiode daarvoor. ENISA heeft aangegeven de toegangs- en registratie-instructies en trainings- en oefenmateriaal tijdens juni 2026 te zullen publiceren, zodat de registratiemechanismen op dit moment nog worden gepubliceerd. ENISA geeft ook aan dat er in deze fase geen SRP-API beschikbaar wordt gesteld; plan de meldingsgereedheid rond indiening via het platform zelf, niet via API-automatisering. Voor de registratiemechanismen, zie ENISA SRP-onboarding. Volg de Commissiepagina over CRA-melding en de ENISA SRP-pagina voordat u op een specifieke registratiestap vertrouwt.
Meldtermijnen in detail
Meldschema
| Stap | Kwetsbaarheid | Ernstig incident | Startpunt |
|---|---|---|---|
| Eerste waarschuwing | 24 uur | 24 uur | Fabrikant krijgt kennis |
| Gedetailleerde melding | 72 uur | 72 uur | Fabrikant krijgt kennis |
| Eindrapport | 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is | 1 maand na de 72u-incidentmelding | Verschillende ankers |
| Gebruikersinformatie | Zonder onnodige vertraging | Zonder onnodige vertraging | Gebruikersmelding |
Wat elke indiening bevat
De eerste waarschuwing is een waarschuwing, geen volledige analyse. De 72u-melding geeft algemene informatie over product, exploit of incident, genomen maatregelen, gebruikersacties en gevoeligheid waar relevant. Het eindrapport bevat ten minste de gegevens voor de betreffende stroom: beschrijving van de kwetsbaarheid, ernst, impact en corrigerende maatregelen, of beschrijving van het incident, waarschijnlijke oorzaak en lopende maatregelen.
- Fabrikant krijgt kennis. De 24u-klok start wanneer de fabrikant betrouwbaar bewijs van actief misbruik heeft.
- +24h. Dien de eerste waarschuwing in via ENISA SRP.
- +72h. Voeg technische details, getroffen versies, misbruikstatus en herstelstatus toe.
- Maatregel beschikbaar. Voor kwetsbaarheden begint de klok voor het eindrapport hier, niet bij ontdekking.
- +14d. Dien de eindgegevens voor de kwetsbaarheids- of incidentstroom in.
Ernstige incidenten volgen dezelfde openingsstappen van 24 uur en 72 uur; het eindrapport is uiterlijk 1 maand na de 72u-melding vereist.
Gegevensvelden in de SRP-meldingssjabloon
ENISA's SRP FAQ (V16) geeft een overzicht van de velden die bij elke meldingsfase worden verwacht. ENISA omschrijft deze als velden die verplicht zullen zijn (rechtstreeks op grond van de CRA of door logisch gevolg) of optioneel, dus behandel ze als voorlopig totdat het platform definitief is. Codes: X verplicht, O optioneel, C overgenomen van de vorige stap of bijgewerkt, A automatisch (niet zichtbaar voor de indiener), I verplicht als de informatie beschikbaar is.
| # | Veld | 24u | 72u | Eindrapport |
|---|---|---|---|---|
| Gemeenschappelijke velden | ||||
| 1 | Meldingstype (kwetsbaarheid of incident) | X | C | C |
| 2 | Meldingsniveau (24u / 72u / eindrapport) | X | X | X |
| 3 | Meldingstijdstip, 24u | A | A | A |
| 4 | Meldingstijdstip, 72u | A | A | A |
| 5 | Meldingstijdstip, eindrapport | A | A | A |
| 6 | Melder | A | A | A |
| 7 | Fabrikant | X | C | C |
| 8 | Product | X | C | C |
| 9 | Producttype (standaard / belangrijk / kritiek) | O | C | C |
| 10 | Productcategorie (bij type belangrijk of kritiek) | O | C | C |
| 11 | Lidstaten waar het product beschikbaar is | I | C | C |
| 12 | Titel | X | C | C |
| Kwetsbaarheid | ||||
| v13 | CVE-ID | O | C | C |
| v14 | EUVD-ID | O | C | C |
| v15 | Algemene informatie, in het bijzonder: | O | X | C |
| v16 | a. Algemene aard van de kwetsbaarheid | O | X | C |
| v17 | b. Algemene aard van de exploitatie | O | X | C |
| v18 | Genomen corrigerende of risicobeperkende maatregelen | O | X | C |
| v19 | Corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen | O | X | C |
| v20 | Overwogen gevoeligheid van informatie | O | I | C |
| v21 | Datum waarop een corrigerende of risicobeperkende maatregel beschikbaar is gekomen | O | O | X |
| v22 | Volledige beschrijving van de kwetsbaarheid, incl.: | O | O | X |
| v23 | a. Ernst van de kwetsbaarheid | O | O | X |
| v24 | b. Impact van de kwetsbaarheid | O | O | X |
| v25 | Kwaadwillende actor die de kwetsbaarheid heeft uitgebuit of uitbuit | O | O | I |
| v26 | Details over de beveiligingsupdate of corrigerende maatregelen | O | O | X |
| Incident | ||||
| i13 | Incident vermoedelijk veroorzaakt door onrechtmatige of kwaadwillende handelingen | X | C | C |
| i14 | Algemene informatie over de aard van het incident | O | X | C |
| i15 | Datum en tijdstip van detectie van het incident | O | X | C |
| i16 | Datum en tijdstip waarop het incident plaatsvond | O | X | C |
| i17 | Eerste beoordeling van het incident | O | X | C |
| i18 | Genomen corrigerende of risicobeperkende maatregelen | O | X | C |
| i19 | Corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen | O | X | C |
| i20 | Overwogen gevoeligheid van informatie | O | I | C |
| Gedetailleerde beschrijving van het incident, incl.: | O | O | X | |
| i21 | a. Ernst van het incident (criteria hieronder) | O | O | X |
| i23 | b. Impact van het incident | O | O | X |
| i24 | Type dreiging of vermoedelijke hoofdoorzaak | O | O | X |
| i25 | Toegepaste en lopende risicobeperkende maatregelen | O | O | X |
Ernstcriteria (i22): een ernstig incident is een incident dat (1) de mogelijkheid van het product om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen negatief beïnvloedt of kan beïnvloeden, of (2) heeft geleid of kan leiden tot het introduceren of uitvoeren van kwaadaardige code in het product of in de netwerk- en informatiesystemen van een gebruiker.
Bron: FAQ ENISA SRP, V16.
Wat een meldplicht activeert
1. Actief uitgebuite kwetsbaarheden
Een actief misbruikte kwetsbaarheid betekent dat er betrouwbaar bewijs is dat een kwaadwillende actor de kwetsbaarheid zonder toestemming in een systeem heeft misbruikt en dat de fabrikant daarvan kennis heeft gekregen. Een publieke PoC of onderzoeksdemo is op zichzelf niet genoeg.
2. Ernstige incidenten
Een ernstig incident moet worden gemeld wanneer het gevolgen heeft, of kan hebben, voor de bescherming door het product van beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies, of wanneer het leidt of kan leiden tot kwaadaardige code in het product of het systeem van de gebruiker.
Meldplichtige en niet-meldplichtige scenario's
| Scenario | Meldplicht? | Waarom |
|---|---|---|
| Privé-rapport van onderzoeker | Nee | Geen bewijs van misbruik; behandel via CVD |
| Publieke PoC | Nee | Publicatie is geen misbruik |
| Klant meldt activiteit die op misbruik lijkt | Beoordelen | Meld als het bewijs betrouwbaar is |
| Misbruik in het wild waargenomen | Ja | Betrouwbaar bewijs van kwaadwillend gebruik |
| SBOM-component met bekende misbruikte CVE | Beoordelen | Alleen als uw product werkelijk geraakt wordt |
Kennis en bewijs
De CRA-definitie gebruikt betrouwbaar bewijs, geen forensische zekerheid. Als bewijs nog niet betrouwbaar is, blijft de gebeurtenis in CVD- of incidenttriage; zodra het betrouwbaar wordt, start de 24-uursklok wanneer de fabrikant kennis krijgt.
CVD-intake en meldpoort
Het CVD-beleid is de intake die externe rapporten omzet in gestructureerde triage. Wanneer triage betrouwbaar bewijs van actief misbruik oplevert, loopt urgente melding parallel aan herstel en gecoördineerde openbaarmaking. Een publieke CVD-pagina en security.txt onder /.well-known/security.txt zijn de praktische manier om het contact vindbaar te maken.
VEX en kwetsbaarheidstoepasbaarheid
VEX is niet bij naam verplicht, maar een toepasbaarheidsregister is zeer nuttig. Het documenteert of een CVE in een SBOM-component not_affected, affected, fixed of under_investigation is voor een specifieke productversie. Zie de VEX-gids.
Verlichting voor kleine fabrikanten
Micro- en kleine ondernemingen (minder dan 50 werknemers en een jaaromzet of balanstotaal tot EUR 10 miljoen; micro: minder dan 10 werknemers, EUR 2 miljoen) zijn alleen vrijgesteld van boetes voor het missen van de eerste 24h-vroege waarschuwing. De verlichting geldt alleen voor die eerste stap.
Blijft verplicht, zonder mkb-verlichting:
- De gedetailleerde 72h-melding.
- Het 14-dagen-eindrapport voor kwetsbaarheden en het 1-maands-eindrapport voor ernstige incidenten.
- Het CVD-beleid.
- Alle overige CRA-productbeveiligingsplichten, inclusief de baseline zonder bekende uitbuitbare kwetsbaarheden.
Middelgrote ondernemingen vallen hier niet onder. Het is een smalle boetevrijstelling, geen lichter meldregime. De volledige structuur staat in CRA-boetes en handhaving.
Veelgemaakte fouten
- Wachten op forensische zekerheid. Betrouwbaar bewijs is genoeg; een afgerond forensisch onderzoek is niet nodig voor de eerste waarschuwing.
- CVD en urgente melding verwarren. Het rapport van de onderzoeker is CVD-intake; CRA-melding begint met betrouwbaar bewijs van actief misbruik.
- Een enkele escalatiepersoon. De 24u-klok pauzeert niet in het weekend.
- Geen gepubliceerd CVD-beleid. Een intern document is niet genoeg.
- Geen toepasbaarheidsbesluiten. Zonder VEX of equivalent is moeilijk te verdedigen waarom een CVE het product niet raakt.
- SRP als toekomstprobleem behandelen. Templates, piket en CSIRT-relaties zijn nodig voor september 2026.
Veelgestelde vragen
Wanneer beginnen de CRA-meldplichten?
Verplichte CRA-melding van kwetsbaarheden en incidenten begint op 11 september 2026. Vanaf die datum moeten fabrikanten ENISA SRP gebruiken voor 24u-waarschuwingen, 72u-meldingen en eindrapporten. De bredere productbeveiligingseisen gelden vanaf 11 december 2027.
Wat is ENISA SRP?
SRP is het gezamenlijke kanaal voor verplichte CRA-meldingen en vrijwillige meldingen. ENISA geeft aan dat de functionaliteit voor vrijwillige meldingen na 11 september 2026 wordt ingeschakeld. Volg de Commissiepagina en de ENISA SRP-pagina voor registratiedetails.
Is een CVD-beleid verplicht?
Ja. Elke fabrikant heeft een CVD-beleid en een praktisch intakekanaal nodig. security.txt wordt niet in de CRA genoemd, maar is een praktische manier om het contactadres te publiceren.
Is VEX nodig?
VEX is niet bij naam verplicht, maar een toepasbaarheidsregister is zeer nuttig om te onderbouwen waarom een bekende CVE het product niet raakt.
Welke boetes gelden?
Te late of ontbrekende meldingen kunnen serieuze handhavingsblootstelling opleveren; alleen micro- en kleine ondernemingen hebben een smalle verlichting voor de eerste 24h-vroege waarschuwing. Zie CRA-boetes en handhaving voor de volledige structuur.
Waar dienen we in als het product in meerdere lidstaten wordt verkocht?
Dien een keer in via het SRP-punt van uw coördinerende CSIRT. Zonder hoofdvestiging in de Unie geldt de keten gemachtigde vertegenwoordiger, importeur, distributeur, grootste gebruikersconcentratie.
Pauzeert de 24u-klok in het weekend?
Nee. De klokken lopen in kalendertijd, dus weekend- en feestdagpiket is operationeel nodig.
Hoe werkt CRA samen met NIS 2?
Beide kunnen op dezelfde gebeurtenis van toepassing zijn, maar CRA is productniveau via SRP en NIS 2 is entiteits- of dienstniveau via een nationaal kanaal. Behandel claims dat een enkele indiening voor beide volstaat als onbevestigd totdat autoriteiten definitieve richtsnoeren publiceren.