De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) leidt elke meldplichtige kwetsbaarheid en elk ernstig incident van fabrikanten via één kanaal: het centrale meldingsplatform (SRP) van ENISA. Het platform is nog niet operationeel. Het gaat live op 11 september 2026, wanneer de meldingsplichten van toepassing worden. ENISA heeft aangegeven de toegangs- en registratie-instructies en trainings- en oefenmateriaal tijdens juni 2026 te zullen publiceren, zodat de registratiemechanismen op dit moment nog worden gepubliceerd. Deze pagina behandelt wat fabrikanten nu moeten voorbereiden, de verwachte registratieprocedure en hoe een interne escalatie in te richten die past binnen de 24-uursklok. Voor de cadansen zie kwetsbaarheidsmelding.
Samenvatting
- De Single Reporting Platform is het enige meldingskanaal. Fabrikanten brengen ENISA en de coördinerende CSIRT op de hoogte via het platform. E-mail naar een nationaal CSIRT is geen alternatief.
- Bereid u voor vóór de eerste meldplichtige gebeurtenis. De 24-uursklok pauzeert niet door registratie- of routingproblemen. Houd gegevens over rechtspersoon, producten, contact en escalatie klaar voordat de Single Reporting Platform opent.
- Fabrikanten zijn de verplichte partijen. Importeurs en distributeurs informeren de fabrikant. Zij dienen zelf geen meldingen in. Een mandaat van de gemachtigde vertegenwoordiger kan de meldingsplicht dekken voor een niet-EU-fabrikant.
- Gescheiden contactdoelen. Het enkelvoudige contactpunt voor gebruikers is het gebruikersgerichte kanaal. Het autoriteitscontact voor de Single Reporting Platform moet apart worden beheerd, zodat ENISA en de coördinerende CSIRT het meldingsteam kunnen bereiken.
- CSIRT-routing volgt de hoofdvestiging. Meldingen gaan naar de CSIRT die als coördinator is aangewezen in de lidstaat van de hoofdvestiging, met een terugvalschema voor niet-EU-fabrikanten zoals beschreven in CSIRT-routing hieronder.
Onboarding is een taak van gereedheid, geen item dat begint nadat de eerste gebeurtenis de 24-uursklok in gang heeft gezet.
Wat de CRA zegt over de Single Reporting Platform
ENISA richt de Single Reporting Platform (SRP) op en beheert het. Lidstaten en ENISA mogen onder die architectuur hun eigen elektronische eindpunten voor meldingen opzetten. Drie operationele feiten volgen hieruit:
- ENISA beheert de Single Reporting Platform. Lidstaten en ENISA kunnen daarnaast hun eigen elektronische eindpunten voor meldingen opzetten.
- Eén indiening bereikt beide lagen. De fabrikant dient in via het eindpunt van de coördinerende CSIRT, en de melding is tegelijk toegankelijk voor ENISA.
- Grensoverschrijdende routing gebeurt binnen het platform. De ontvangende CSIRT verspreidt de melding onder andere CSIRTs van wier grondgebied de fabrikant heeft aangegeven dat het getroffen is.
De Single Reporting Platform ontvangt ook vrijwillige meldingen en is het kanaal voor de 72-uurskennisgeving en het eindrapport. ENISA heeft aangegeven dat de functionaliteit voor vrijwillige meldingen na 11 september 2026 wordt ingeschakeld, dus die volgt op de start van verplichte melding en komt niet eerder beschikbaar. Beide stromen delen dezelfde platformarchitectuur, ook al moet ENISA de operationele schermen nog afronden.
Wie zich moet registreren
Fabrikanten dragen de verplichte meldingsplicht via de Single Reporting Platform. De plicht ligt bij fabrikanten van producten met digitale elementen, niet bij de rest van de toeleveringsketen.
Importeurs en distributeurs informeren de fabrikant. Zij registreren zich niet op de Single Reporting Platform, dienen zelf geen meldingen in en erven de 24-uursklok niet. Hun plicht is de fabrikant zonder onnodige vertraging te informeren wanneer zij op de hoogte raken van een kwetsbaarheid. Zie importeur en distributeur.
Niet-EU-fabrikanten hebben routingduidelijkheid nodig. Een schriftelijk mandaat van de gemachtigde vertegenwoordiger kan de verplichte melding dekken, omdat de uitsluitingen voor gemachtigde vertegenwoordigers de melding zelf niet omvatten. Zonder hoofdvestiging in de Unie geldt de terugvalketen: gemachtigde vertegenwoordiger, importeur, distributeur en daarna gebruikersconcentratie.
Vereisten vóór registratie
Zes gegevens die de organisatie gereed moet hebben vóór registratie. De exacte schermen van de Single Reporting Platform blijven afhankelijk van specificaties, maar zonder deze gegevens vertraagt de eerste indiening.
| Vereiste | Wat u nodig heeft |
|---|---|
| Rechtspersoon in de lidstaat van hoofdvestiging | Een ondubbelzinnig rechtspersoonregister waarmee de Single Reporting Platform de coördinerende CSIRT kan toewijzen (de staat "waar de beslissingen over de cyberbeveiliging van zijn producten met digitale elementen overwegend worden genomen"). |
| Enkelvoudig contactpunt voor gebruikers | Een gebruikersgericht kanaal dat "die communicatiemiddelen niet beperkt tot geautomatiseerde hulpmiddelen". Mailboxen met uitsluitend een automatisch antwoord kwalificeren niet. Gepubliceerd in de gebruikersinformatie die het product vergezelt. |
| Overheidsgericht beveiligingscontact | Een contact voor ENISA en de coördinerende CSIRT, operationeel gescheiden van het gebruikersgerichte kanaal. De exacte registratievelden blijven afhankelijk van de specificaties van ENISA. |
| Bewijs van identiteit en bevoegdheid | Bewijs dat de indiener namens de fabrikant mag handelen. De exacte credentialmechanismen blijven afhankelijk van de specificaties en richtsnoeren van ENISA. |
| Productportfolio-inventaris | Een actuele lijst van producten en de lidstaten waar elk product beschikbaar is gesteld. Zonder deze inventaris kan de vroege waarschuwing de getroffen gebieden niet correct aangeven. |
| Gedocumenteerde interne escalatie | Een schriftelijke procedure waarmee de organisatie binnen 24 uur van detectie tot indiening via de Single Reporting Platform komt, inclusief dekking buiten kantooruren. "Zonder onnodige vertraging en in elk geval binnen 24 uur" laat geen ruimte voor ad-hocescalatie. |
Tijdlijn: van vandaag tot de eerste meldplichtige gebeurtenis
ENISA bouwt het platform in samenwerking met het CSIRTs-netwerk. De exacte registratieschermen, het mechanisme voor inloggegevens en de elektronische eindpunten voor meldingen blijven afhankelijk van de specificaties van ENISA en de uitvoeringshandelingen van de Commissie. ENISA heeft aangegeven de toegangshandleiding en registratie-instructies tijdens juni 2026 te zullen publiceren, maar die zijn nog niet gepubliceerd. Het onderstaande kader weerspiegelt de tekst van de verordening en wat op 2026-06-10 publiek bekend is. Verifieer de officiële ENISA-pagina over de Single Reporting Platform voordat u een specifieke UI-stap als definitief beschouwt. De omschakeling op 11 september 2026 ligt vast in de CRA-tijdlijn.
Verwachte registratieprocedure
De exacte schermen van de Single Reporting Platform blijven afhankelijk van specificaties. ENISA heeft de live procedure nog niet gepubliceerd. Dit gedeelte is een voorbereidingschecklist, geen definitieve UI-handleiding.
Verwacht dat registratie vier zaken dekt:
- Rechtspersoon: wie de fabrikant is en waar de hoofdvestiging zich bevindt.
- Autoriteitscontact: het contactpunt voor berichten van ENISA en de coördinerende CSIRT via de Single Reporting Platform, gescheiden van het gebruikersgerichte kanaal.
- Productdekking: het productportfolio en de lidstaten waar getroffen producten beschikbaar zijn gesteld.
- Coördinatorrouting: de CSIRT-toewijzing volgens de regels voor hoofdvestiging en terugval.
Na registratie verwerkt hetzelfde eindpunt latere indieningen: de 24-uurs vroege waarschuwing, de 72-uurskennisgeving, door de CSIRT gevraagde tussentijdse rapporten en het eindrapport.
ENISA geeft aan dat er in deze fase geen platformprogrammeerinterface (API) beschikbaar wordt gesteld. Plan de eerste meldingsgereedheid rond indiening via het platform zelf, niet via API-automatisering vanuit eigen tooling.
Wettelijke basis
- Vroege waarschuwing, 72-uurskennisgeving en eindrapport (kwetsbaarheidsstroom).
- Vroege waarschuwing, 72-uurskennisgeving en eindrapport (stroom voor ernstige incidenten).
- Door de CSIRT gevraagde tussentijdse rapporten.
- Technische specificaties van de Single Reporting Platform.
- Uitvoeringshandelingen van de Commissie die de Single Reporting Platform omkaderen.
Wat elke indiening bij de Single Reporting Platform moet bevatten
Artikel 14 onderscheidt drie meldingsfasen per meldplichtige gebeurtenis. De inhoudsvereisten verschillen tussen de stroom voor actief uitgebuite kwetsbaarheden en de stroom voor ernstige incidenten.
Actief uitgebuite kwetsbaarheid:
| Fase | Termijn | Minimale vereiste inhoud |
|---|---|---|
| Vroege waarschuwing | 24 uur na kennisname | Aanduiding dat een kwetsbaarheid actief wordt uitgebuit. Lidstaten waar het product beschikbaar is gesteld, voor zover bekend. |
| Kwetsbaarheidsmelding | 72 uur na kennisname | Algemene informatie over het product. Aard van de exploit en de kwetsbaarheid. Genomen corrigerende of beperkende maatregelen. Maatregelen die gebruikers kunnen nemen. Aanduiding van gevoeligheid. |
| Eindrapport | 14 dagen nadat een corrigerende of beperkende maatregel beschikbaar is | Beschrijving van de kwetsbaarheid, inclusief ernst en impact. Informatie over kwaadwillende actoren die de kwetsbaarheid uitbuiten, voor zover beschikbaar. Details van de beveiligingsupdate of corrigerende maatregel. |
Ernstig incident met gevolgen voor de beveiliging van het product:
| Fase | Termijn | Minimale vereiste inhoud |
|---|---|---|
| Vroege waarschuwing | 24 uur na kennisname | Vermelding of het incident vermoedelijk is veroorzaakt door onrechtmatige of kwaadwillende handelingen. Lidstaten waar het product beschikbaar is gesteld, voor zover bekend. |
| Incidentmelding | 72 uur na kennisname | Aard van het incident. Eerste beoordeling. Genomen corrigerende of beperkende maatregelen. Maatregelen die gebruikers kunnen nemen. Aanduiding van gevoeligheid. |
| Eindrapport | 1 maand na de 72-uursincidentmelding | Gedetailleerde beschrijving van het incident, inclusief ernst en impact. Type bedreiging of grondoorzaak die het incident waarschijnlijk heeft veroorzaakt. Toegepaste en lopende mitigatiemaatregelen. |
De CSIRT die als coördinator is aangewezen, kan ook een tussentijds rapport opvragen tussen de 72-uursmelding en het eindrapport. Geen van beide stromen vereist CVE-nummers of CVSS-scores bij de vroege waarschuwing. De 24-uursplicht is een meldplicht, geen analyseplicht. Volledige technische details volgen in de kennisgeving en het eindrapport.
Interne escalatie: de 24u-klok halen
De 24-uursklok start bij kennisname, niet bij bevestiging. Het lastige is om binnen 24 uur van "we hebben het net gehoord" naar "we hebben net ingediend" te komen, ook buiten kantooruren. Een triageproces dat "doorgaans 48 uur duurt" is structureel niet-conform. Detectie, triage, parallelle juridische beoordeling en indiening moeten binnen dezelfde kalenderdag passen, inclusief weekenden en uren buiten kantoor.
| Stap | Binnen 24u? | Opmerkingen |
|---|---|---|
| Detectie | Ja | Interne engineering, klantrapporten, monitoring, dreigingsinformatie, CVD-intake. Triagepaden voor "actief uitgebuit" en "ernstig incident" moeten afzonderlijk zijn. |
| Triage | Ja | Gebruik signalen van ernstbeoordeling (CVSS / EPSS / KEV) als invoer. Bewijs van uitbuiting is de trigger. Ernst alleen volstaat niet. |
| Juridische beoordeling | Parallel | Een serieel wachten op juridische goedkeuring kost de 24 uur. De fabrikant kan gevoeligheid markeren en het platform kan verspreiding op gronden van cyberbeveiliging inhouden. |
| Vroege waarschuwing via Single Reporting Platform | Ja | Kwetsbaarheidsstroom of stroom voor ernstige incidenten. |
| 72u-kennisgeving | Na 24u | Binnen 72 uur na kennisname. |
| Eindrapport | 14 dagen (kwetsb.) / 1 maand (incident) | Kwetsbaarheden: 14 dagen vanaf beschikbaarheid van een corrigerende maatregel. Ernstige incidenten: een maand vanaf de 72-uurskennisgeving. |
CSIRT-routing
CSIRT-routing volgt de hoofdvestiging van de fabrikant in de Unie: de lidstaat waar cyberbeveiligingsbeslissingen voor het product overwegend worden genomen. Zonder hoofdvestiging in de Unie geldt de terugvalketen: lidstaat van de gemachtigde vertegenwoordiger, vervolgens importeur, vervolgens distributeur en daarna gebruikersconcentratie. Na indiening verzorgt de Single Reporting Platform de grensoverschrijdende verspreiding naar CSIRTs in andere getroffen lidstaten. ENISA heeft aangegeven de lijst van nationale CSIRTs die als coördinator zijn aangewezen op een later moment te publiceren. Bevestig uw coördinatortoewijzing aan de hand van de ENISA-richtsnoeren zodra die lijst beschikbaar is.
Single Reporting Platform versus rechtstreeks contact met het nationaal CSIRT
Een e-mail aan een nationaal CSIRT voldoet niet aan de CRA-meldingsverplichting. Dat geldt ook als de fabrikant al een bestaande werkrelatie heeft met dat CSIRT.
| Kanaal | Verplicht voor CRA-meldingen? | Wat het dekt |
|---|---|---|
| Single Reporting Platform | Ja | Meldingen van actief uitgebuite kwetsbaarheden. Meldingen van ernstige incidenten. Vrijwillige meldingen. 72-uurs- en eindrapportages. |
| Rechtstreeks contact nationaal CSIRT | Nee | Coördinatie bij gecoördineerde kwetsbaarheidsopenbaarmaking. Uitwisseling van sectorale dreigingsinformatie. Informele samenwerking bij incidentrespons. |
Fabrikanten met een bestaande relatie met een nationaal CSIRT kunnen die relatie behouden voor CVD-coördinatie en sectorale informatie-uitwisseling. Elke verplichte melding op grond van Artikel 14 gaat via de Single Reporting Platform. Het platform verzorgt automatisch de grensoverschrijdende routering naar andere betrokken lidstaat-CSIRTs. Één indiening bereikt alle relevante CSIRTs.
Veelgemaakte fouten
- Pas registreren na de eerste meldplichtige gebeurtenis. De 24-uursklok stopt niet voor onboarding. Registreer ruim vóór 11 september 2026.
- Een generiek security@-adres met automatisch antwoord. Strijdig met de eis voor het gebruikersgerichte kanaal en ongeschikt voor het autoriteitskanaal van de Single Reporting Platform.
- Geen of verouderde producten gekoppeld aan de registratie. De vroege waarschuwing moet de lidstaten aangeven waar het product beschikbaar is gesteld. Zonder actuele inventaris is de vroege waarschuwing onvolledig.
- Geen interne SLA voor de 24-uursklok. Detectie tot indiening vereist een expliciete tijdsplanning.
- Indienen via e-mail bij het nationaal CSIRT. De Single Reporting Platform is het aangewezen kanaal. E-mail aan een nationaal CSIRT is geen equivalent.
- De gemachtigde vertegenwoordiger behandelen als doorstuuradres. Het mandaat van een niet-EU-fabrikant moet de melding uitdrukkelijk dekken. De gemachtigde vertegenwoordiger moet indiening via de Single Reporting Platform kunnen ondersteunen.
Veelgestelde vragen
Is de Single Reporting Platform al live, en wanneer gaat het live?
Nog niet. De Single Reporting Platform is vandaag niet live voor fabrikantmeldingen. Het gaat live op 11 september 2026. ENISA ontwikkelt het samen met het CSIRTs-netwerk en vanaf die datum moeten fabrikanten meldplichtige actief uitgebuite kwetsbaarheden en ernstige incidenten via het platform kunnen indienen. ENISA heeft aangegeven de toegangshandleiding en registratie-instructies tijdens juni 2026 te zullen publiceren. Tot die publicatie blijven de registratieprocedure, het mechanisme voor inloggegevens en de elektronische eindpunten afhankelijk van de specificaties van ENISA en de uitvoeringshandelingen van de Commissie. Verifieer bij de live richtsnoeren van ENISA voordat u op een specifieke UI-stap vertrouwt.
Registreren importeurs en distributeurs zich op de Single Reporting Platform?
Nee. Importeurs en distributeurs nemen de meldingsplicht van de fabrikant via de Single Reporting Platform niet over. Hun CRA-plicht is de fabrikant zonder onnodige vertraging over een kwetsbaarheid te informeren. Melden via het platform blijft de verplichting van de fabrikant.
Kan een niet-EU-fabrikant zich rechtstreeks registreren?
Mogelijk, maar de terugvalketen is bepalend. Een schriftelijk mandaat van een gemachtigde vertegenwoordiger kan de verplichte melding dekken, omdat de uitsluitingen voor gemachtigde vertegenwoordigers de melding zelf niet omvatten. Voor een fabrikant zonder hoofdvestiging in de Unie volgt de routing dan de beschikbare keten: gemachtigde vertegenwoordiger, importeur, distributeur en daarna gebruikersconcentratie.
Hoe weet ik of ik een actief uitgebuite kwetsbaarheid of een ernstig incident moet melden?
De twee stromen dekken verschillende aanvalsvlakken. Een actief uitgebuite kwetsbaarheid is een fout in uw product die een kwaadwillende actor gebruikt tegen uw gebruikers. Een ernstig incident is een incident dat de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies kan aantasten, of dat kan leiden tot schadelijke code in het product of in de netwerken en informatiesystemen van een gebruiker, doorgaans als gevolg van een compromittering van de bouw-, release- of onderhoudsinfrastructuur van de fabrikant. Het eigen voorbeeld van de verordening: een aanvaller voegt kwaadaardige code in uw updatekanaal in.
Een indiening via een bug-bountyprogramma of een gecoördineerde kwetsbaarheidsopenbaarmaking activeert geen van beide stromen. De meldplicht voor actief uitgebuite kwetsbaarheden geldt pas zodra een kwaadwillende actor een fout actief uitbuit. De meldplicht voor een ernstig incident geldt zodra u kennis krijgt van een kwalificerend ernstig incident met gevolgen voor de beveiliging van het product.
Dezelfde aanval kan beide grenzen tegelijk overschrijden. Buit een aanvaller een fout in uw product uit en gebruikt die toegang om uw bouwinfrastructuur te compromitteren, dan dient u twee afzonderlijke meldingen in. Eén voor elke stroom. Beide met een 24-uurs vroege waarschuwing vanaf hetzelfde moment van kennisname.
Wanneer begint de 24-uursklok precies?
Op het moment dat iemand in uw beveiligingsteam geloofwaardige informatie heeft dat een meldplichtige gebeurtenis plaatsvindt. Niet wanneer het management is geïnformeerd. Niet wanneer juridische zaken het bevestigt. Niet wanneer de grondoorzaak is vastgesteld.
De 24-uurs vroege waarschuwing hoeft alleen een aanduiding van actieve uitbuiting te bevatten en de lidstaten waar uw product beschikbaar is. De gedetailleerde technische analyse volgt in de 72-uurskennisgeving. De verordening is zo ontworpen: u meldt eerst, u onderzoekt parallel.
Er is geen beoordelingsuitstelperiode. De klok loopt vanaf de eerste geloofwaardige kennisname.
Wat als onze indiening via de Single Reporting Platform mislukt?
Gebruik eerst het indieningspad via de Single Reporting Platform en bewaar bewijs van de fout. De Single Reporting Platform is het verplichte meldingskanaal. Terugvalgedrag moet de richtsnoeren van ENISA of de coördinerende CSIRT volgen zodra die beschikbaar zijn. Toolingproblemen heffen de 24-uursplicht niet op. Bewaar een tijdgestempeld dossier van de storing, de indieningspoging en elk gebruikt alternatief contact.
Is het enkelvoudige contactpunt voor gebruikers hetzelfde als het registratiecontact voor de Single Reporting Platform?
Nee. Het gebruikerscontact en het autoriteitscontact voor de Single Reporting Platform dienen verschillende doelgroepen. Het gebruikersgerichte contact ondersteunt kwetsbaarheidsmeldingen van gebruikers en mag niet tot geautomatiseerde hulpmiddelen worden beperkt. Het autoriteitscontact moet berichten van ENISA en de coördinerende CSIRT naar het meldingsteam routeren, ook al specificeert ENISA later de exacte registratievelden.