CRA-kwetsbaarheidsmelding: ENISA SRP, 24u/72u/14d-klok

De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) maakt kwetsbaarheidsmelding een harde, tijdgebonden wettelijke plicht voor elke fabrikant van een product met digitale elementen. Vanaf 11 september 2026 verplicht artikel 14 fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten te melden via het ENISA Single Reporting Platform (SRP) op een 24-uurs / 72-uurs / 14-daags ritme, ondersteund door een verplicht beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) op grond van Bijlage I Deel II. Deze pagina is de canonieke referentie: wat de wet vereist, wanneer elke klok start, wat een conform CVD-beleid moet bevatten, hoe VEX de verplichting "geen bekende uitbuitbare kwetsbaarheden" ondersteunt en welke boetes op grond van artikel 64 van toepassing zijn wanneer melding uitblijft.

Samenvatting

  • Artikel 14-melding start op 11 september 2026: vroege waarschuwing binnen 24u, notificatie binnen 72u, eindrapport binnen 14d (kwetsbaarheden) of 1 maand (ernstige incidenten).
  • Eenmalig indienen via het ENISA SRP: het platform stuurt de melding gelijktijdig naar uw coördinerende CSIRT en naar ENISA (art. 14(1), art. 16(1)).
  • "Actief misbruikt" betekent dat een kwaadwillende actor de fout heeft gebruikt, niet openbaarmaking, niet een publieke PoC, niet een demonstratie door een onderzoeker.
  • Een CVD-beleid is verplicht op grond van Bijlage I Deel II: schriftelijk, gepubliceerd, gehandhaafd. Geen enkele omvangsdrempel stelt u vrij.
  • VEX beantwoordt de vraag "heeft dit CVE daadwerkelijk invloed op mijn product?" en is het operationele mechanisme achter de CRA-vereiste "geen bekende uitbuitbare kwetsbaarheden".
  • Maximale boetes: EUR 15M of 2,5% van de wereldwijde omzet op grond van artikel 64 (bovenste categorie, van toepassing op schendingen van artikel 14).
24u
Vroege waarschuwing
actief misbruikte kwetsbaarheden, art. 14(2)(a)
72u
Notificatie
technisch detail, art. 14(2)(b)
14d
Eindrapport
na corrigerende maatregel, art. 14(2)(c)
EUR 15M / 2,5%
Boete bovenste categorie
Artikel 64, het hoogste bedrag geldt

De vier getallen die CRA-kwetsbaarheidsmelding bepalen: waarschuwing, notificatie, eindrapport en het boeteplafond.

De 24-uursklok start bij bewustwording, niet bij bevestiging

Artikel 14 hanteert een norm van "redelijk geloof". De klok start op het moment dat bewijs actief misbruik tot een geloofwaardige conclusie maakt (klantmeldingen, dreigingsintelligentie, verdachte toegangspatronen). Forensische zekerheid is niet vereist en afwachten tot die er is, leidt tot overschrijding van de deadline.

Wat vereist de CRA voor kwetsbaarheidsmelding?

Artikel 14 van de Verordening cyberweerbaarheid vormt de operationele kern van het incidentbeheerregime van de verordening. Het legt drie verplichtingen op aan elke fabrikant van een product met digitale elementen dat op de EU-markt wordt gebracht:

  1. Elke actief misbruikte kwetsbaarheid melden in het product gelijktijdig aan het coördinerende CSIRT en aan ENISA, op het 24u/72u/14d-ritme (art. 14(1), 14(2)).
  2. Elk ernstig incident melden dat de beveiliging van het product aantast op een 24u/72u/1-maands-ritme (art. 14(3), 14(4)).
  3. Gebruikers informeren over het getroffen product over de kwetsbaarheid of het incident en eventuele corrigerende maatregelen, zonder onnodige vertraging (art. 14(8)).

Artikel 14 staat naast twee andere verplichtingen die op deze pagina ook worden behandeld: het verplichte CVD-beleid op grond van Bijlage I Deel II en de vereiste "geen bekende uitbuitbare kwetsbaarheden" op grond van Bijlage I Deel I, wat de reden is waarom VEX relevant is voor een CRA-conform product. Geen van deze verplichtingen heeft een omvangsdrempel. MKB-bedrijven profiteren van een smalle boetevrijstelling voor de 24-uursklok (zie hieronder), maar zijn niet vrijgesteld van meldingsplicht.

Het ENISA Single Reporting Platform (SRP)

Het SRP is het enige kanaal waarlangs elke artikel 14-notificatie verloopt. Het bestaat omdat artikel 14(1) de fabrikant verplicht het coördinerende CSIRT en ENISA gelijktijdig te notificeren, en 27 afzonderlijke indieningen onwerkbaar zouden zijn. Artikel 16(1) plaatst het platform onder de operationele verantwoordelijkheid van ENISA: "het dagelijks beheer en onderhoud van dat centrale meldingsplatform berust bij ENISA."

Hoe het in de praktijk werkt:

  • U dient eenmalig in via het elektronisch eindpunt van de CSIRT die als uw coördinator is aangewezen op grond van artikel 14(7).
  • De indiening komt gelijktijdig aan bij het coördinerende CSIRT en bij ENISA.
  • Het coördinerende CSIRT verspreidt de notificatie vervolgens naar CSIRT's in andere lidstaten waar uw product op de markt is gebracht (art. 16). Die secundaire verspreiding is de verantwoordelijkheid van de CSIRT, niet van de fabrikant.
  • Artikel 16(2) staat een CSIRT toe de verdere verspreiding te vertragen in bijzonder uitzonderlijke omstandigheden. Artikel 16(6) staat vertraging toe tijdens gecoördineerde openbaarmaking met toestemming van de fabrikant.

Stand van zaken per mei 2026: het SRP staat gepland operationeel te zijn op 11 september 2026, conform de ENISA SRP-pagina. De implementatie werd aanbesteed onder ENISA/2025/OP/0001 (4-jarig contract) met sluiting van de aanbesteding in maart 2025. De opdrachtnemer is niet openbaar gemaakt. Er is geen registratie-URL gepubliceerd. Een periode van vooraf testen wordt verwacht; specifieke data zijn niet aangekondigd. Uitvoeringshandelingen op grond van artikel 14 met betrekking tot de formaten en structuur van notificaties waren ten tijde van het schrijven nog in behandeling.

Wat fabrikanten nu moeten doen: uw coördinerende CSIRT identificeren op grond van artikel 14(7), rapportagesjablonen voor de 24u-, 72u- en 14d-indieningen opstellen en vooraf laten goedkeuren, en een buiten-kantooruren-escalatieroster definiëren. Sjablonen en processen kunnen niet worden opgesteld terwijl de 24-uursklok loopt.

Rapportagetijdlijnen in detail

Zowel kwetsbaarheden als ernstige incidenten volgen een gefaseerd rapportagemodel. De klokken verschillen op het traject van het eindrapport.

Rapportagetijdtabel artikel 14

Fase Kwetsbaarheid (art. 14(2)) Ernstig incident (art. 14(4)) Klokankerpunt
Vroege waarschuwing 24 uur 24 uur Fabrikant raakt op de hoogte
Gedetailleerde notificatie 72 uur 72 uur Fabrikant raakt op de hoogte
Eindrapport 14 dagen na beschikbaarheid van een corrigerende of mitigerende maatregel 1 maand na de 72-uurs incidentnotificatie Verschillend ankerpunt per traject
Informatie aan gebruikers Zonder onnodige vertraging Zonder onnodige vertraging Per art. 14(8)

Inhoud van elke indiening

Vroege waarschuwing (24 uur). Minimuminformatie om autoriteiten te waarschuwen: identiteit van de fabrikant, getroffen product en versie, korte beschrijving, initiële ernst, of misbruik bevestigd of vermoed is, en een indicatie van de impactomvang. De vroege waarschuwing is een signaal, geen analyse.

Gedetailleerde notificatie (72 uur). Op dit punt leven twee afzonderlijke verplichtingen. De 72-uurs kwetsbaarheidsnotificatie op grond van artikel 14(2)(b) geldt voor actief misbruikte kwetsbaarheden. De 72-uurs incidentnotificatie op grond van artikel 14(4)(b) geldt voor ernstige incidenten. In beide gevallen breidt de indiening de vroege waarschuwing uit met technische details, getroffen versies en configuraties, exploitatiemethode (indien bekend), huidige mitigatiestatus, hersteltijdlijn, bekende omvang van getroffen gebruikers en eventuele lopende coördinatie met andere partijen.

Eindrapport. Voor kwetsbaarheden start de 14-daagse klok "uiterlijk 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is" (art. 14(2)(c)), niet vanaf de ontdekking en niet vanaf de 72-uurs notificatie. Voor ernstige incidenten ankert de 1-maandse klok aan de 72-uurs incidentnotificatie op grond van artikel 14(4)(c). Het eindrapport omvat de hoofdoorzaak, een volledige technische beschrijving, genomen herstelmaatregelen, geïmplementeerde preventiemaatregelen en een bevestigde impactbeoordeling.

  1. Fabrikant raakt op de hoogte. De 24-uursklok start op het moment dat redelijk geloof over actief misbruik ontstaat.
  2. + 24 uur. Vroege waarschuwing ingediend via het ENISA SRP (art. 14(2)(a)).
  3. + 72 uur. Gedetailleerde notificatie ingediend met technische details, getroffen versies en mitigatiestatus (art. 14(2)(b)).
  4. Corrigerende of mitigerende maatregel beschikbaar. De 14-daagse klok voor het eindrapport start hier, niet bij ontdekking.
  5. + 14 dagen. Eindrapport ingediend: hoofdoorzaak, volledige technische beschrijving, herstel, bevestigde impact (art. 14(2)(c)).

Wat triggert een meldingsplicht?

Artikel 14 kent twee triggercategorieën.

1. Actief misbruikte kwetsbaarheden

Een kwetsbaarheid in uw product die:

  • bij u bekend is (intern ontdekt of extern gemeld),
  • door een kwaadwillende actor is gebruikt, en
  • gebruikers van het product treft of kan treffen.

De CRA definieert een actief misbruikte kwetsbaarheid als een kwetsbaarheid waarbij "een kwaadwillende actor gebruik maakt van een fout." Dit is niet hetzelfde als publieke openbaarmaking, een gepubliceerd proof-of-concept of een onderzoeker die exploiteerbaarheid aantoont. De trigger is daadwerkelijk kwaadaardig gebruik.

2. Ernstige incidenten

Beveiligingsincidenten die de beveiliging van het product aantasten, de ontwikkelomgeving compromitteren op een manier die de productbeveiliging treft, een wijdverspreide serviceonderbreking voor gebruikers veroorzaken of leiden tot wijdverspreide compromittering.

Meldingsplichtige versus niet-meldingsplichtige scenario's

Scenario Meldingsplichtig? Waarom
Onderzoeker meldt kwetsbaarheid privé Nee Geen bewijs van misbruik; afhandelen via CVD
PoC gepubliceerd op GitHub Nee Publicatie is geen misbruik
Klant meldt activiteit die consistent is met de kwetsbaarheid Ja Drempel van redelijk geloof bereikt
Kwetsbaarheid gedetecteerd die in het wild wordt misbruikt Ja Actief kwaadaardig gebruik
Component in uw SBOM heeft een bekende misbruikte CVE Beoordelen Alleen meldingsplichtig als misbruik uw product treft (VEX is hier relevant)
Uw product wordt aangevallen door bekende dreigingsactoren Ja Direct bewijs van misbruik
Generieke malware maakt gebruik van een kwetsbaarheidsklasse die uw product heeft Beoordelen Alleen als uw specifieke implementatie wordt getroffen

De norm van "redelijk geloof"

Forensisch bewijs van misbruik is niet vereist. De norm van artikel 14 is redelijk geloof op basis van beschikbaar bewijs: ongebruikelijke toegangspatronen die consistent zijn met bekende exploittechnieken, klantmeldingen van compromittering, dreigingsintelligentie die aangeeft dat uw product het doelwit is, of detectie van exploitcode die voor uw product is ontwikkeld. Meld bij twijfel. Een vroegtijdige waarschuwing die achteraf ongegrond blijkt, is aanzienlijk beter dan een gemiste deadline bij daadwerkelijk misbruik, en de 72-uurs notificatie kan de beoordeling bijstellen.

Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD): de koppeling met artikel 14

Bijlage I, deel II, punt 5 van de CRA verplicht fabrikanten "een beleid op het gebied van gecoördineerde openbaarmaking van kwetsbaarheden in te stellen en te handhaven." Het CVD-beleid is het operationele mechanisme dat externe onderzoekersmeldingen omzet in een gestructureerde triageflow en, zodra triage actief misbruik bevestigt, de meldingsklok van artikel 14 parallel laat starten. Het beleid is verplicht voor elk product met digitale elementen; er is geen mkb-drempel of omvangscarve-out. De minimale levering is een openbare URL plus een security.txt-bestand onder /.well-known/security.txt (RFC 9116) zodat meldingen vindbaar zijn voor de onderzoekers die de verordening beoogt te kanaliseren.

Voor het CVD-beleid zelf, inclusief vereiste inhoud, conventies voor het openbaarmakingsvenster, juridische veiligehavenbepaling en communicatiesjablonen voor onderzoekers, zie de CRA-gids gecoördineerde kwetsbaarheidsopenbaarmaking. Voor de positie van CVD binnen de overige plichten van Bijlage I Deel II (SBOM, herstel, beveiligde updates, kosteloze levering) zie CRA-kwetsbaarheidsafhandeling. Deze pagina richt zich op de meldingscadans van artikel 14 die wordt geactiveerd wanneer triage actieve uitbuiting bevestigt.

VEX: toepasbaarheid van kwetsbaarheden communiceren

Bijlage I Deel I vereist dat CRA-producten worden geleverd zonder bekende uitbuitbare kwetsbaarheden en met een veilige standaardconfiguratie. SBOM-scans produceren lange lijsten CVE's op componenten, waarvan de meeste niet daadwerkelijk uitbuitbaar zijn in uw specifieke product. VEX (Vulnerability Exploitability eXchange) is het mechanisme dat ruwe scanresultaten omzet in een verdedigbare positie van "niet getroffen / getroffen / opgelost / onder onderzoek" per CVE, wat de verordening, de geharmoniseerde normen in ontwikkeling en de Duitse inkoop onder BSI TR-03183 Deel 3 allemaal vereisen.

Wat VEX is

VEX is een gestructureerde, machineleesbare verklaring over de vraag of een kwetsbaarheid in een component daadwerkelijk een specifiek product treft. Het beantwoordt: "CVE-XXXX bestaat in onze SBOM. Heeft het invloed op ons product, waarom wel of niet, en wat moet de gebruiker doen?" De vier kernstatussen zijn:

Status Betekenis
not_affected Kwetsbaarheid bestaat in het component maar treft dit product niet (kwetsbaar codepad niet bereikbaar, functie niet aangeroepen, configuratie mitigeert, enz.). Een onderbouwing wordt verwacht.
affected Kwetsbaarheid treft dit product. Actie en aanbeveling worden verwacht.
fixed Kwetsbaarheid was aanwezig en is verholpen in deze versie.
under_investigation Status nog niet vastgesteld; beoordeling loopt.

Koppeling met de CRA

VEX wordt niet bij naam genoemd in de CRA-tekst, maar het is het operationele hulpmiddel achter drie clausules van de verordening:

  • Bijlage I Deel I, geen bekende uitbuitbare kwetsbaarheden. Een not_affected VEX-verklaring met een gedocumenteerde onderbouwing is het bewijs dat u een CVE heeft beoordeeld en geconcludeerd heeft dat deze niet van toepassing is. Zonder VEX is elke CVE in uw SBOM een veronderstelde aansprakelijkheid.
  • Bijlage I Deel II, kwetsbaarheidsafhandeling. VEX is het auditspoor van hoe elke CVE in de loop van de tijd bewoog van under_investigation naar not_affected, affected of fixed.
  • Artikel 14, meldingstriggers. Een kwetsbaarheid gemarkeerd als affected en waarvan bekend is dat deze actief wordt misbruikt, is precies de trigger die de 24-uursklok start. Een kwetsbaarheid gemarkeerd als not_affected met degelijke onderbouwing niet.

VEX-formaten

Twee formaten zijn in de praktijk relevant. CycloneDX VEX is rechtstreeks ingebed in een CycloneDX SBOM onder vulnerabilities[].analysis. CSAF VEX is een afzonderlijk document in CSAF 2.0 (het formaat dat BSI TR-03183 Deel 3 vereist voor beveiligingsadviezen en het formaat dat Duitse CERT's standaard publiceren en verwerken). Beide zijn machineleesbaar en vervullen beide dezelfde operationele rol.

Een minimale CycloneDX VEX-verklaring:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "vulnerabilities": [
    {
      "id": "CVE-2027-XXXXX",
      "source": { "name": "NVD" },
      "analysis": {
        "state": "not_affected",
        "justification": "code_not_reachable",
        "detail": "The vulnerable function is not called in our implementation."
      },
      "affects": [{ "ref": "pkg:generic/openssl@3.0.12" }]
    }
  ]
}

De CycloneDX 1.5-specificatie definieert zes analysestatussen (in_triage, exploitable, not_affected, false_positive, resolved, resolved_with_pedigree), een fijnmaziger vocabulaire dan de vier statussen van OpenVEX (not_affected, affected, fixed, under_investigation) waarop het aansluit. BSI TR-03183 Deel 3 verwacht VEX-verklaringen naast SBOM's voor CRA-conforme producten. Zie de SBOM-clustergids voor het volledige beeld van SBOM en BSI TR-03183; deze pagina behandelt de meldingskant.

MKB-vrijstellingen en verminderde verplichtingen

Artikel 64(10) biedt een smalle boetevrijstelling voor de kleinste fabrikanten. Het stelt niemand vrij van meldingsplicht.

Micro-ondernemingen en kleine ondernemingen (gedefinieerd als minder dan 50 werknemers en een jaarlijkse omzet of balanstotaal van maximaal EUR 10 miljoen; micro-ondernemingen: minder dan 10 werknemers, EUR 2 miljoen) zijn vrijgesteld van boetes specifiek voor het missen van de 24-uurs vroege-waarschuwingsdeadlines op grond van artikel 14(2)(a) en artikel 14(4)(a). De vrijstelling dekt alleen timingboetes op het 24-uurs traject.

Nog steeds vereist, zonder MKB-vrijstelling:

  • De 72-uurs gedetailleerde notificatie (art. 14(2)(b) en 14(4)(b)).
  • Het 14-daagse eindrapport voor kwetsbaarheden en het 1-maandse eindrapport voor ernstige incidenten.
  • Het CVD-beleid op grond van Bijlage I Deel II.
  • Alle overige CRA-verplichtingen, inclusief de vereiste "geen bekende uitbuitbare kwetsbaarheden" op grond van Bijlage I Deel I.

Middelgrote ondernemingen (tot 250 werknemers) vallen helemaal niet onder de MKB-vrijstelling. De vrijstelling is een smalle boetecarve-out, geen verminderd meldingsregime.

Veelgemaakte fouten

  • Wachten op forensische zekerheid voordat de klok wordt gestart. Artikel 14 hanteert een norm van redelijk geloof. Wachten op bewijs leidt tot overschrijding van de deadline.
  • CVD verwarren met artikel 14-melding. Een onderzoekersmelding is een CVD-input; artikel 14-melding wordt getriggerd wanneer er bewijs is van actief misbruik. Het CVD-beleid moet een expliciete poort voor dit onderscheid bevatten.
  • Enkelvoudig foutpunt bij escalatie. Slechts één persoon gemachtigd om te melden, niet bereikbaar op een vrijdagavond. De 24-uursklok pauzeert niet.
  • Eerste contact met het coördinerende CSIRT tijdens een incident. Bouw de relatie en de routering nu op, terwijl er geen klok loopt.
  • Geen gepubliceerd CVD-beleid. De verplichting van Bijlage I Deel II wordt niet vervuld door een intern document.
  • Geen VEX-verklaringen. Elke CVE in uw SBOM wordt als uitbuitbaar beschouwd totdat u anders aangeeft. Bijlage I Deel I is veel moeilijker te verdedigen zonder VEX.
  • De lancering van het SRP behandelen als een toekomstig probleem. Sjablonen, escalatierosters en CSIRT-relaties moeten voor september 2026 op orde zijn, niet erna worden gebouwd.

Veelgestelde vragen

Vanaf wanneer gelden de meldingsverplichtingen van CRA artikel 14?

De meldingsverplichtingen van artikel 14 gelden vanaf 11 september 2026 (overgangsregime art. 71). Vanaf die datum moet elke fabrikant van een product met digitale elementen dat op de EU-markt wordt gebracht vroege waarschuwingen, gedetailleerde notificaties en eindrapporten indienen via het ENISA Single Reporting Platform op het 24u/72u/14d-ritme (of 24u/72u/1 maand voor ernstige incidenten). Volledige CRA-handhaving, inclusief de verplichting "geen bekende uitbuitbare kwetsbaarheden", volgt op 11 december 2027.

Wat is het ENISA Single Reporting Platform (SRP)?

Het SRP is het enige kanaal waarlangs artikel 14-notificaties worden ingediend. ENISA richt het op en beheert het op grond van artikel 16(1). Een fabrikant dient eenmalig in, de indiening komt gelijktijdig aan bij het coördinerende CSIRT en bij ENISA, en de CSIRT verspreidt de notificatie naar andere lidstaten waar het product op de markt is gebracht. Het platform staat gepland operationeel te zijn op 11 september 2026; de implementatie werd aanbesteed onder ENISA/2025/OP/0001 en de opdrachtnemer is niet openbaar gemaakt. Per mei 2026 is er geen registratie-URL gepubliceerd.

Is een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) verplicht onder de CRA?

Ja. Bijlage I Deel II verplicht fabrikanten "een beleid inzake gecoördineerde kwetsbaarheidsopenbaarmaking vast te stellen en toe te passen." Het beleid moet schriftelijk bestaan, moet worden uitgevoerd wanneer meldingen binnenkomen en moet consistent worden gehandhaafd. De CRA schrijft de inhoud niet prescriptief voor, maar de praktische verwachting (ondersteund door ENISA-richtlijnen en ISO/IEC 29147) is een openbaar document dat reikwijdte, contactmethoden (inclusief security.txt), reactietoezeggingen, openbaarmakingtijdlijn, juridische veiligehavenbepaling, erkenning, buiten-reikwijdte-items en een expliciete poort voor het triggeren van artikel 14-melding bij gedetecteerd actief misbruik bevat.

Wat is VEX en heb ik het nodig voor CRA-naleving?

VEX (Vulnerability Exploitability eXchange) is een machineleesbare verklaring over de vraag of een kwetsbaarheid in een SBOM-component daadwerkelijk een specifiek product treft. De CRA noemt VEX niet bij naam, maar Bijlage I Deel I vereist dat producten worden geleverd met "geen bekende uitbuitbare kwetsbaarheden", en zonder VEX wordt elke CVE in uw SBOM geacht van toepassing te zijn. VEX-verklaringen (ingebed in CycloneDX of als zelfstandige CSAF-documenten) zijn het operationele mechanisme waarmee u een "niet getroffen"-positie kunt verdedigen met een gedocumenteerde onderbouwing. BSI TR-03183 Deel 3 verwacht VEX naast SBOM's voor CRA-conforme producten, wat het in de praktijk verplicht stelt voor de Duitse inkoop en het lopende geharmoniseerde normenwerk.

Welke boetes gelden bij te late of ontbrekende CRA artikel 14-melding?

Schendingen van artikel 14-verplichtingen vallen in de bovenste boetecategorie op grond van artikel 64: maximaal EUR 15.000.000 of, voor ondernemingen, maximaal 2,5% van de totale wereldwijde jaarlijkse omzet, het hoogste bedrag geldt. Schendingen van overige verplichtingen in de middencategorie kunnen worden bestraft met maximaal EUR 10.000.000 of 2%. Het verstrekken van misleidende informatie aan autoriteiten wordt bestraft met maximaal EUR 5.000.000 of 1%. Micro-ondernemingen en kleine ondernemingen zijn vrijgesteld van boetes specifiek voor het missen van de 24-uurs vroege-waarschuwingsdeadline op grond van artikel 64(10), maar niet voor het missen van de 72-uurs notificatie of het 14-daagse eindrapport. Middelgrote ondernemingen ontvangen geen MKB-vrijstelling.

Waar dien ik in als mijn product in meerdere lidstaten wordt verkocht?

Eenmalig indienen bij het SRP, gericht aan het coördinerende CSIRT van de lidstaat waar uw organisatie haar hoofdvestiging heeft (artikel 14(7)). Voor niet-EU-fabrikanten geldt de cascade: lidstaat van uw gemachtigde vertegenwoordiger, dan uw importeur, dan uw distributeur, dan het land met de grootste gebruikersconcentratie. U dient niet afzonderlijk in bij elke lidstaat waar het product wordt verkocht. Op grond van artikel 16 verspreidt het coördinerende CSIRT de notificatie naar andere lidstaten.

Pauzeert de 24-uursklok voor weekenden en feestdagen?

Nee. Artikel 14-deadlines lopen in kalendertijd, niet in werktijd. De 24-uurs vroege waarschuwing, de 72-uurs notificatie en het 14-daagse of 1-maandse eindrapport lopen allen ononderbroken vanaf het moment van redelijk geloof, de vroege waarschuwing of de beschikbaarheid van de corrigerende maatregel. Een buiten-kantooruren-escalatieroster en vooraf gemachtigde melders die weekenden en feestdagen afdekken zijn een operationele vereiste, geen optie.

Hoe verhoudt artikel 14-melding zich tot NIS 2?

Artikel 14 dekt kwetsbaarheden en incidenten op productniveau. NIS 2 dekt incidenten op organisatie- of dienstniveau bij essentiële en belangrijke entiteiten. Eén gebeurtenis kan beide regimes triggeren (bijvoorbeeld een kwetsbaarheid die wordt misbruikt in uw SaaS-product dat tevens een essentiële entiteitsservice onder NIS 2 is). Elk regime heeft zijn eigen bevoegde autoriteiten en kanalen: het SRP voor CRA artikel 14, en het NIS 2-enkel aanspreekpunt in elke lidstaat. De wisselwerking tussen de twee kanalen is niet bevestigd in definitieve richtsnoeren. Elke bewering dat het SRP voor beide regimes routeert, moet worden behandeld als onbevestigd totdat ENISA of de Commissie definitieve uitvoeringshandelingen publiceert.

Wat u moet doen voor 11 september 2026

  1. Publiceer een security.txt-bestand op /.well-known/security.txt (RFC 9116) met een bewaakt contactadres en een vervaldatum na 11 september 2026. Dit is de snelste manier om een verifieerbaar intake-kanaal te openen.
  2. Publiceer een CVD-beleid dat voldoet aan Bijlage I Deel II: reikwijdte, contactgegevens, reactietoezeggingen, 90-daags openbaarmaakvenster, juridische veiligehavenbepaling, ENISA artikel 14-poort en buiten-reikwijdte-items. Gebruik het skelet hierboven als startpunt.
  3. Identificeer uw coördinerende CSIRT op grond van artikel 14(7) en leg de routeringsbeslissing schriftelijk vast met een datum (hoofdvestiging voor EU-fabrikanten, cascade via gemachtigde vertegenwoordiger voor niet-EU).
  4. Definieer een vooraf goedgekeurd escalatieroster voor weekenden en feestdagen. Minimaal twee benoemde personen moeten een vroege waarschuwing kunnen indienen zonder goedkeuring van hogerhand. Voer een tafeltoefening uit voor september 2026.
  5. Stel vroege-waarschuwings- en 72-uurs-notificatiesjablonen op zodat de informatie die u verschuldigd bent gestructureerd klaarstaat voordat de klok loopt, in plaats van terwijl die loopt.
  6. Integreer VEX in de SBOM-levenscyclus: elke CVE die uw SBOM-scanner bereikt, krijgt een analysestatus en een onderbouwing. Zonder VEX is het verdedigen van Bijlage I Deel I aanzienlijk moeilijker. De SBOM-clustergids behandelt de SBOM-kant; deze pagina behandelt de meldingskant.
  7. Houd de ENISA SRP-pagina in de gaten voor de registratie-URL en het testvenster. Registreer zodra de testperiode opent zodat uw indieningsworkflow wordt gevalideerd voor de deadline. Als u de ENISA-melding liever niet zelf inricht, houdt CRA Evidence artikel 14-bewustwordingstijdstempels, SBOM-gekoppelde productversies en de CSIRT-routeringsinputs bij die nodig zijn voor SRP-indieningen.