CRA-kwetsbaarheidsmelding: ENISA SRP-onboarding (art. 14)

De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) routeert elke Artikel 14-melding van fabrikanten via één kanaal: het ENISA Single Reporting Platform (SRP), opgericht op grond van Artikel 16. Het platform is nog niet operationeel. ENISA ontwikkelt het op grond van Artikel 16(5); het gaat operationeel wanneer Artikel 14 van toepassing wordt op 11 september 2026 (Artikel 71(2)). Deze pagina behandelt wat fabrikanten nu moeten voorbereiden, de verwachte registratieprocedure en hoe u een interne escalatie inricht die past binnen de 24-uursklok. Voor de cadansen zie kwetsbaarheidsmelding.

Samenvatting

  • Het SRP is het enige Artikel 14-kanaal. Artikel 14(1) en 14(3) verplichten fabrikanten ENISA en de coördinator-CSIRT te informeren "via het overeenkomstig Artikel 16 ingestelde centrale meldingsplatform". E-mail naar een nationaal CSIRT is geen alternatief.
  • Registreer vóór de eerste meldingsplichtige gebeurtenis. De 24-uursklok van Artikel 14(1) pauzeert niet voor onboarding. Een typisch onboardingvenster van circa een week gaat ervan uit dat inloggegevens, contactpersonen en productportfoliogegevens al in orde zijn.
  • Fabrikanten zijn de verplichte partijen. Importeurs en distributeurs dienen geen Artikel 14-meldingen in; zij informeren de fabrikant (Artikel 19(5) tweede alinea; Artikel 20(4) tweede alinea). Gemachtigden kunnen namens een niet-EU-fabrikant indienen als het AR-mandaat dat dekt.
  • Twee contactpersonen, twee kanalen. Het enkelvoudige contactpunt van Artikel 13(17) is het gebruikersgerichte kanaal. Het SRP-registratiecontact is het kanaal voor autoriteiten. Beide zijn vereist en mogen niet hetzelfde adres zijn.
  • CSIRT-routing volgt de hoofdvestiging. Artikel 14(7) stuurt meldingen naar de CSIRT die als coördinator is aangewezen in de lidstaat van de hoofdvestiging, met een terugvalschema voor niet-EU-fabrikanten.
11 sep 2026
Meldingsplicht start
Artikel 71(2)
24u
SRP vroege waarschuwing
Artikel 14(1)
7 dagen
Typische onboarding
registreer vóór een meldingsplichtige gebeurtenis
€15M / 2,5%
Hoogste boete
Artikel 64(2)

Onboarding is een deadline, geen achterstandsitem: registratie moet plaatsvinden vóór de eerste gebeurtenis die de 24-uursklok in gang zet.

Wat de CRA zegt over het SRP

Artikel 16(1) is de constituerende bepaling:

Voor de toepassing van de in Artikel 14(1) en (3) en Artikel 15(1) en (2) bedoelde meldingen en om de rapportageverplichtingen van fabrikanten te vereenvoudigen, wordt door ENISA een centraal meldingsplatform opgericht. Het dagelijks beheer van dat centraal meldingsplatform wordt verricht door ENISA. De architectuur van het centraal meldingsplatform stelt lidstaten en ENISA in staat hun eigen elektronische eindpunten voor meldingen in te stellen.

Drie operationele feiten volgen hieruit. Ten eerste beheert ENISA het platform, maar lidstaten koppelen hun eigen elektronische eindpunten aan. Ten tweede bepaalt Artikel 14(7) dat de melding "wordt ingediend via het elektronisch eindpunt voor meldingen van de CSIRT die als coördinator is aangewezen in de lidstaat waar de fabrikanten hun hoofdvestiging in de Unie hebben en tegelijkertijd toegankelijk is voor ENISA": één indiening, twee ontvangers. Ten derde verplicht Artikel 16(2) de ontvangende CSIRT de melding door te sturen naar andere CSIRTs van lidstaten die de fabrikant als getroffen heeft aangemerkt. Grensoverschrijdende routing vindt plaats binnen het platform.

Het SRP ontvangt ook vrijwillige meldingen op grond van Artikel 15 en is het kanaal voor de 72-uurskennisgeving en het eindrapport op grond van Artikel 14(2) en 14(4). Beide stromen maken gebruik van hetzelfde SRP en dezelfde registratie.

Wie zich moet registreren

Artikel 14 is van toepassing op fabrikanten van producten met digitale elementen. De meldingsplichten in Artikel 14(1) en 14(3) zijn gericht aan de fabrikant en uitsluitend aan de fabrikant.

Importeurs en distributeurs hebben lichtere plichten. Op grond van Artikel 19(5) tweede alinea moet een importeur die op de hoogte raakt van een kwetsbaarheid "de fabrikant onverwijld over die kwetsbaarheid informeren"; distributeurs dragen de equivalente plicht op grond van Artikel 20(4) tweede alinea. Geen van beide registreert op het SRP, geen van beide dient Artikel 14-meldingen in en geen van beide erft de 24-uursklok. Zie importeur en distributeur.

Een niet-EU-fabrikant kan de Artikel 14-verplichtingen laten uitvoeren door een gemachtigde op grond van Artikel 18, mits het mandaat de melding omvat. Artikel 18(2) sluit Artikel 13(1) tot en met (11), Artikel 13(12) eerste alinea en Artikel 13(14) uit van het AR-mandaat, maar sluit Artikel 14 niet uit, zodat een schriftelijk mandaat dat Artikel 14-melding expliciet dekt, afdwingbaar is. De gemachtigde beschikt over SRP-inloggegevens en dient meldingen in namens de fabrikant.

Vereisten vóór registratie

Zes gegevens die de organisatie gereed moet hebben vóór registratie. Het ontbreken van ook maar één ervan bij registratie blokkeert de onboarding.

Vereiste Artikel-ankerpunt Wat u nodig heeft
Rechtspersoon in de lidstaat van hoofdvestiging Artikel 14(7) Een ondubbelzinnig rechtspersoonregister waarmee het SRP de coördinator-CSIRT kan toewijzen (de staat "waar de beslissingen over de cyberbeveiliging van zijn producten met digitale elementen overwegend worden genomen").
Enkelvoudig contactpunt van Artikel 13(17) Artikel 13(17) derde alinea Een gebruikersgericht kanaal dat "die communicatiemiddelen niet beperkt tot geautomatiseerde hulpmiddelen". Mailboxen met uitsluitend een automatisch antwoord kwalificeren niet. Gepubliceerd in de Bijlage II-informatie aan gebruikers.
Afzonderlijk beveiligingscontact voor autoriteiten Artikel 14 + Artikel 16(5) (verwacht) Een tweede contactpunt voor ENISA en de coördinator-CSIRT, dat afwijkt van het gebruiksgerichte kanaal van Artikel 13(17). Dezelfde mailbox mag niet beide afhandelen.
Identiteitsgegevens Artikel 16(5) (specificatie in behandeling) EU-fabrikanten moeten rekening houden met eIDAS-erkende elektronische identificatie. Niet-EU-fabrikanten verifiëren hun identiteit via de AR-keten. De exacte technische inloggegevens maken deel uit van de specificaties van Artikel 16(5).
Productportfolio-inventaris Artikel 14(2)(a) Een actuele lijst van producten en de lidstaten waar elk product beschikbaar is gesteld. Zonder deze inventaris kan de vroege waarschuwing de getroffen gebieden niet correct aangeven.
Gedocumenteerde interne escalatie Artikel 14(1) Een schriftelijke procedure waarmee de organisatie van detectie tot SRP-indiening komt binnen 24 uur, inclusief dekking buiten kantooruren. "Onverwijld en in ieder geval binnen 24 uur" laat geen ruimte voor ad-hoc-escalatie.

Tijdlijn: van vandaag tot de eerste meldingsplichtige gebeurtenis

SRP-tijdlijn: ENISA-bouw en voorbereiding door de fabrikant aan weerszijden van de omschakeling op 11 september 2026 Een twee-bij-twee diagram. Rijen splitsen de verantwoordelijkheid van ENISA en die van de fabrikant. Kolommen verdelen de tijdlijn op 11 september 2026: voorbereiding vóór de omschakeling links, live werking na de omschakeling rechts. ENISA vóór de omschakeling bouwt het platform op grond van de specificaties van Artikel 16(5) en de uitvoeringshandelingen van Artikel 14(10); ENISA na de omschakeling ontvangt elke Artikel 14-melding via het SRP. De fabrikant vóór de omschakeling bereidt rechtspersoon, aparte contactpunten voor Artikel 13(17) en SRP, productportfolio, 24-uurs escalatie-SLA en AR-mandaat voor; na de omschakeling is de fabrikant geregistreerd en start bij de eerste gebeurtenis de 24-uurs vroege-waarschuwingsklok van Artikel 14(1). SRP-omschakeling: ENISA-bouw en fabrieksvoorbereiding aan weerszijden van 11 sep 2026 11 sep 2026 VÓÓR OMSCHAKELING (nu → 11 sep 2026) NA OMSCHAKELING (Artikel 14 van toepassing) ENISA Fabrikant SRP wordt gebouwd Specificaties Art. 16(5) Uitvoeringshandelingen Art. 14(10) SRP operationeel Ontvangt elke Artikel 14-melding CSIRT-routing op grond van Art. 14(7) + 16(2) Voorbereiden Rechtspersoon, aparte contactpunten, productportfolio, 24u SLA, AR-mandaat Geregistreerd, 24u-gereed Eerste gebeurtenis triggert Art. 14(1): bewustwording → 24u vroege waarschuwing
11 september 2026 is vastgesteld door Artikel 71(2). Vóór de omschakeling is voorbereiding; na de omschakeling is gereglementeerde melding binnen een 24-uursklok. We actualiseren deze pagina zodra ENISA de live registratieprocedure publiceert.
Het SRP is nog niet operationeel

ENISA bouwt het platform op grond van Artikel 16(5) in samenwerking met het CSIRTs-netwerk. De exacte registratieschermen, het mechanisme voor inloggegevens en de elektronische eindpunten voor meldingen zijn onderworpen aan de specificaties van Artikel 16(5) en de uitvoeringshandelingen van Artikel 14(10). Het onderstaande kader weerspiegelt de tekst van de verordening en wat op 2026-05-05 publiekelijk bekend is; verifieer dit aan de hand van actuele ENISA-richtlijnen voordat u een specifieke UI-stap als definitief beschouwt. De datum van 11 september 2026 voor de toepasselijkheid van Artikel 14 is vastgesteld door Artikel 71(2).

Verwachte registratieprocedure

De exacte registratieschermen zijn afhankelijk van de specificaties van Artikel 16(5) en de uitvoeringshandelingen van Artikel 14(10), die beide nog worden afgerond. We actualiseren dit gedeelte zodra ENISA de live procedure publiceert. Op basis van de tekst van de verordening mag u verwachten dat de registratie de rechtspersoon verifieert, het SRP-contactpunt voor autoriteiten vastlegt (onderscheiden van het gebruikerscontact van Artikel 13(17)), het productportfolio met de lidstaatdekking registreert en de coördinator-CSIRT toewijst op grond van Artikel 14(7). Na registratie verwerkt hetzelfde eindpunt elke latere indiening: 24-uurs vroege waarschuwing, 72-uurskennisgeving, tussentijdse rapporten op verzoek van de CSIRT (Artikel 14(6)) en het eindrapport.

Interne escalatie: de 24-uursklok halen

Artikel 14(1) start de klok bij bewustwording, niet bij bevestiging. Het moeilijke deel is om van "we hebben dit zojuist vernomen" naar "we hebben dit zojuist ingediend" te komen binnen 24 uur, inclusief buiten kantooruren.

Stap Binnen 24u? Opmerkingen
Detectie Ja Interne engineering, klantrapporten, monitoring, dreigingsinformatie, CVD-intake. Triagepaden voor "actief uitgebuit" en "ernstig incident" moeten afzonderlijk zijn.
Triage Ja Gebruik signalen van ernstbeoordeling (CVSS / EPSS / KEV) als invoer. Bewijs van uitbuiting is de trigger voor Artikel 14(1); ernst alleen volstaat niet.
Juridische beoordeling Parallel Een serieuze wachttijd op juridische goedkeuring doet de 24u mislopen. Artikel 14(2)(a) staat de fabrikant toe gevoeligheid te markeren; Artikel 16(2) staat het platform toe verspreiding te beperken op grond van cyberveiligheidsoverwegingen.
SRP vroege waarschuwing Ja Artikel 14(2)(a) of 14(4)(a).
72-uurskennisgeving Na 24u Artikel 14(2)(b) of 14(4)(b).
Eindrapport 14 dagen (kwetsb.) / 1 maand (incident) Artikel 14(2)(c) vanaf beschikbaarheid corrigerende maatregel; Artikel 14(4)(c) vanaf de 72-uurskennisgeving. Verschillende klokken.

Een triageproces dat "doorgaans 48 uur duurt" is structureel niet-conform.

CSIRT-routing

Artikel 14(7) routeert de melding naar de CSIRT in de lidstaat van de hoofdvestiging ("waar de beslissingen over de cyberbeveiliging van zijn producten met digitale elementen overwegend worden genomen"). Voor fabrikanten zonder hoofdvestiging in de Unie past de derde alinea een terugvalschema in vier stappen toe: lidstaat van de gemachtigde, vervolgens importeur, vervolgens distributeur, vervolgens gebruikersconcentratie. Na indiening regelt Artikel 16(2) de grensoverschrijdende doorstuur naar CSIRTs in andere getroffen lidstaten.

Veelgemaakte fouten

  • Pas registreren na de eerste meldingsplichtige gebeurtenis. De 24-uursklok stopt niet voor onboarding. Registreer ruim vóór 11 september 2026.
  • Een generiek security@-adres met automatisch antwoord. Strijdig met Artikel 13(17) derde alinea voor het gebruikersgerichte kanaal en ongeschikt voor het SRP-kanaal voor autoriteiten.
  • Geen of verouderde producten gekoppeld aan de registratie. Artikel 14(2)(a) vereist dat de vroege waarschuwing de getroffen lidstaten aangeeft; zonder een actuele inventaris is de vroege waarschuwing onvolledig.
  • Geen interne SLA voor de 24-uursklok. Van detectie tot indiening is een expliciete tijdsplanning vereist.
  • Indienen via e-mail bij het nationaal CSIRT. Artikel 14(1) en 14(3) noemen het SRP. E-mail aan een nationaal CSIRT is geen equivalent.
  • De gemachtigde behandelen als doorstuuradres. Het AR-mandaat van een niet-EU-fabrikant op grond van Artikel 18(1) moet Artikel 14-melding expliciet dekken en de gemachtigde moet over SRP-inloggegevens beschikken.

Veelgestelde vragen

Is het SRP vandaag al live?

Nee. ENISA ontwikkelt het platform op grond van Artikel 16(5) in samenwerking met het CSIRTs-netwerk. Artikel 71(2) stelt de operationele datum vast op 11 september 2026, wanneer Artikel 14 van toepassing wordt. De exacte registratieprocedure, het mechanisme voor inloggegevens en de elektronische eindpunten voor meldingen zijn onderworpen aan de specificaties van Artikel 16(5) en de uitvoeringshandelingen van Artikel 14(10). Beschouw huidige publieke richtlijnen als voorlopig en verifieer bij ENISA voordat u op een specifieke UI-stap vertrouwt.

Wanneer gaat het SRP live voor fabrikantmeldingen?

Artikel 71(2) bepaalt: "Artikel 14 is van toepassing met ingang van 11 september 2026". Dat is het moment waarop fabrikanten via het SRP moeten kunnen indienen. De operationele livegang van het platform wordt door ENISA vastgesteld op grond van Artikel 16(5) en de uitvoeringshandelingen van Artikel 14(10); verifieer dit aan de hand van actuele ENISA-richtlijnen naarmate de datum nadert.

Registreren importeurs en distributeurs zich op het SRP?

Nee. Hun plicht is de fabrikant te informeren over een kwetsbaarheid op grond van Artikel 19(5) tweede alinea (importeurs) en Artikel 20(4) tweede alinea (distributeurs). Artikel 14-melding via het SRP is de verplichting van de fabrikant.

Kan een niet-EU-fabrikant zich rechtstreeks registreren?

De route loopt normaal gesproken via een gemachtigde op grond van Artikel 18(1), met een schriftelijk mandaat dat Artikel 14-melding omvat. De gemachtigde beschikt over de SRP-inloggegevens en dient in namens de fabrikant. De gemachtigde kan de fabrikant niet vervangen voor verplichtingen die zijn uitgesloten door Artikel 18(2) (Artikel 13(1) tot en met (11), Artikel 13(12) eerste alinea, Artikel 13(14)).

Wat als onze SRP-indiening mislukt?

Het SRP is het aangewezen kanaal op grond van Artikel 14(1) en 14(3). Als het platform niet beschikbaar is, neem dan contact op met de coördinator-CSIRT via het gepubliceerde contact voor het elektronisch eindpunt en documenteer de storing. De 24-uursklok wordt niet opgeschort door technische problemen; streef naar een zo goed mogelijke melding binnen het venster en leg nauwkeurig vast waarom het SRP niet bereikbaar was.

Is het enkelvoudige contactpunt van Artikel 13(17) hetzelfde als het SRP-registratiecontact?

Nee. Artikel 13(17) is een gebruikersgericht kanaal dat "die communicatiemiddelen niet beperkt tot geautomatiseerde hulpmiddelen" en is gepubliceerd in de Bijlage II-informatie aan gebruikers. Het SRP-registratiecontact is een kanaal voor autoriteiten gericht aan ENISA en de coördinator-CSIRT. Beide zijn vereist en mogen niet dezelfde mailbox delen.

Vervolgstappen om gereed te zijn voor 11 september 2026

  1. Volg de ENISA-richtlijnen over het SRP en de specificaties van Artikel 16(5). Abonneer u op ENISA-updates en het bulletin van de lidstaat-coördinator-CSIRT, zodat het team het weet zodra de registratieprocedure opent.
  2. Wijs een SRP-contactpunt aan dat afwijkt van het gebruikersgerichte enkelvoudige contactpunt van Artikel 13(17).
  3. Documenteer de interne escalatieprocedure van detectie tot vroege waarschuwing, met een expliciete SLA binnen 24 uur en dekking buiten kantooruren.
  4. Voer een tabletop-oefening uit die een actief uitgebuite kwetsbaarheid simuleert en verifieer of een SRP-indiening kan worden afgerond binnen het venster van Artikel 14(1). Gebruik de huidige door ENISA gepubliceerde sjabloon voor het meldingsformulier als vervanging totdat het definitieve formulier beschikbaar is.
  5. Als u een beroep doet op een gemachtigde, bevestig dan dat het AR-mandaat van Artikel 18(1) Artikel 14-melding dekt en dat de gemachtigde over SRP-inloggegevens en een actuele productportfoliokoppeling beschikt.
  6. Bevestig dat de CSIRT-routing van de lidstaat op grond van Artikel 14(7) overeenkomt met uw feitelijke hoofdvestiging.
  7. Voor de cadansen en de wettelijke definitie van "actief uitgebuit", ga verder met kwetsbaarheidsmelding; voor het afhandelingsregime zie kwetsbaarheidsafhandeling; voor de volledige fabrikantverplichtingen, zie de rolpagina.