Ab 11. September 2026 müssen alle betroffenen Hersteller aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle an ENISA melden — bevor der Rest der CRA im Dezember 2027 gilt.
Artikel 14 der Verordnung (EU) 2024/2847 schafft eine obligatorische dreistufige Meldekette an ENISA, wenn ein Hersteller feststellt, dass eine Schwachstelle in seinem Produkt von Angreifern aktiv ausgenutzt wird oder ein schwerwiegender Vorfall aufgetreten ist.
Dies ist getrennt von — und zusätzlich zu — der Benachrichtigung betroffener Nutzer (Art. 14(4)), die gleichzeitig erfolgen muss. Die Meldung an ENISA ersetzt nicht die Benachrichtigung der Nutzer.
Berichte werden über die ENISA-Einheitsmeldeplattform eingereicht, die Informationen an die zuständigen nationalen CSIRTs weiterleitet. Die Plattform muss bis zum 11. September 2026 betriebsbereit sein.
Die Uhr beginnt mit dem Zeitpunkt, zu dem der Hersteller Kenntnis von der aktiven Ausnutzung erlangt — nicht mit dem Zeitpunkt der Bestätigung oder vollständigen Analyse.
24 Stunden
Frühwarnung
Signal an ENISA, dass ein schwerwiegendes Ereignis im Gange ist. Minimale Details erforderlich — Geschwindigkeit hat Priorität.
72 Stunden
Vollständige Meldung
Detaillierte Meldung an ENISA: Produktidentifikation, Beschreibung der Schwachstelle, Schweregrad, Auswirkung und ergriffene oder geplante Maßnahmen.
14 Tage
Abschlussbericht
Vollständige Analyse: CVE-Kennung, CVSS-Score, Grundursache, eingesetzte Remediation und Bestätigung, dass Nutzer informiert wurden.
Parallel zur ENISA-Meldekette müssen Hersteller betroffene Nutzer ohne unangemessene Verzögerung benachrichtigen. Warten Sie nicht auf die vollständige Lösung — Nutzer müssen Folgendes wissen:
Alle Hersteller von betroffenen Produkten mit digitalen Elementen — unabhängig von der Produktklasse. Art. 14 gilt ab 11. September 2026 für jeden Hersteller.
Nicht direkt zur Meldung an ENISA gemäß Art. 14 verpflichtet. Sie müssen jedoch Schwachstelleninformationen ohne unangemessene Verzögerung an Hersteller weitergeben (Art. 20 / Art. 24).
Vier atomare Pflichten — jede auf den Verordnungsartikel zurückverfügbar, mit Nachweisleitfaden und verständlichen Erklärungen.
Hersteller müssen jede aktiv ausgenutzte Schwachstelle in ihrem Produkt über die einheitliche Meldemeldeplattform innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) an ENISA melden. Ein Abschlussbericht ist innerhalb von 14 Tagen einzureichen. Diese Pflicht gilt ab dem 11. September 2026.
Innerhalb von 72 Stunden nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle in einem Produkt müssen Hersteller über die einheitliche Meldeplattform eine detaillierte Schwachstellenmeldung an ENISA übermitteln. Diese folgt auf die 24-Stunden-Frühwarnung (OBL-ART14-01) und muss technische Details zur Schwachstelle und zum betroffenen Produkt enthalten.
Innerhalb von 14 Tagen nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle müssen Hersteller einen Abschlussbericht an ENISA übermitteln, der eine vollständige Beschreibung der Schwachstelle, die ergriffenen Korrekturmaßnahmen und Angaben dazu enthält, ob die Schwachstelle öffentlich bekannt gemacht wurde oder ein CVE zugewiesen wurde.
Wenn eine Schwachstelle aktiv ausgenutzt wird, müssen Hersteller betroffene Nutzer unverzüglich informieren. Die Benachrichtigung muss ausreichende Informationen enthalten, damit Nutzer Schutzmaßnahmen ergreifen können, einschließlich verfügbarer Minderungsmaßnahmen vor der Veröffentlichung eines Patches.
Erfüllen Sie die dreistufige ENISA-Meldekette für aktiv ausgenutzte Schwachstellen in Ihren Produkten.
Geben Sie den Zeitpunkt der Kenntnisnahme ein, um Ihre drei ENISA-Meldefristen zu berechnen.
Tool öffnenInteraktive Checklisten für jeden Schritt der dreigliedrigen Meldekette nach Art. 14.
Tool öffnenCVD-Richtlinie, security.txt und ENISA-Meldeworkflow-Vorlage generieren.
Tool öffnenPrüfen Sie alle Herstellerpflichten, verstehen Sie Ihre Produktklassifizierung und sehen Sie den vollständigen regulatorischen Zeitplan.
