Vanaf 11 september 2026 moeten alle betrokken fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten melden aan ENISA — voordat de rest van de CRA van toepassing is in december 2027.
Artikel 14 van Verordening (EU) 2024/2847 creëert een verplichte drietraps meldingsketen naar ENISA telkens wanneer een fabrikant ontdekt dat een kwetsbaarheid in hun product actief wordt misbruikt door aanvallers, of dat een ernstig incident heeft plaatsgevonden.
Dit staat los van — en is aanvullend op — het informeren van getroffen gebruikers (Art. 14(4)), wat gelijktijdig moet gebeuren. Melding aan ENISA vervangt geen gebruikerskennisgeving.
Rapporten worden ingediend via het ENISA enkelvoudig meldingsplatform, dat informatie doorstuurt naar de relevante nationale CSIRT's. Het platform moet operationeel zijn vóór 11 september 2026.
De klok begint te lopen wanneer de fabrikant op de hoogte raakt van actief misbruik — niet wanneer de kwetsbaarheid is bevestigd of volledig geanalyseerd.
24 uur
Vroege waarschuwing
Signaal aan ENISA dat er een ernstige gebeurtenis gaande is. Minimale details vereist — snelheid heeft prioriteit.
72 uur
Volledige melding
Gedetailleerde melding aan ENISA: productidentificatie, beschrijving kwetsbaarheid, ernst, impact en genomen of geplande corrigerende of mitigerende maatregelen.
14 dagen
Eindrapport
Volledige analyse: CVE-identifier, CVSS-score, hoofdoorzaak, ingezette remediation en bevestiging dat gebruikers zijn geïnformeerd.
Parallel aan de ENISA-meldingsketen moeten fabrikanten getroffen gebruikers zonder onnodige vertraging informeren. Wacht niet op de volledige oplossing — gebruikers moeten weten:
Alle fabrikanten van betrokken producten met digitale elementen — ongeacht productklasse. Art. 14 is van toepassing op elke fabrikant vanaf 11 september 2026.
Niet direct verplicht te melden aan ENISA onder Art. 14. Zij moeten echter kwetsbaarhedsinformatie zonder onnodige vertraging doorgeven aan fabrikanten (Art. 20 / Art. 24).
Vier atomaire verplichtingen — elk herleidbaar tot het verordningsartikel, met bewijsrichtlijnen en begrijpelijke uitleg.
Fabrikanten moeten elke actief uitgebuite kwetsbaarheid in hun product via het enkelvoudige meldingsplatform melden aan ENISA binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (melding). Een eindrapport is verschuldigd binnen 14 dagen. Deze verplichting is van toepassing vanaf 11 september 2026.
Binnen 72 uur na het kennisnemen van een actief uitgebuite kwetsbaarheid in een product moeten fabrikanten een gedetailleerde kwetsbaarheidsmelding indienen bij ENISA via het enkelvoudige meldingsplatform. Dit volgt op de vroegtijdige waarschuwing van 24 uur (OBL-ART14-01) en moet technische details bevatten over de kwetsbaarheid en het getroffen product.
Binnen 14 dagen na het kennisnemen van een actief uitgebuite kwetsbaarheid moeten fabrikanten een eindrapport indienen bij ENISA met een volledige beschrijving van de kwetsbaarheid, de genomen corrigerende maatregelen en of de kwetsbaarheid openbaar is gemaakt of een CVE is toegewezen.
Wanneer een kwetsbaarheid actief wordt uitgebuit, moeten fabrikanten getroffen gebruikers onverwijld informeren. De melding moet voldoende informatie bevatten voor gebruikers om beschermende maatregelen te nemen, inclusief mitigerende maatregelen die beschikbaar zijn voordat een patch wordt uitgebracht.
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
Voer in wanneer u op de hoogte werd van een actief misbruikte kwetsbaarheid om uw drie ENISA-meldingstermijnen te berekenen.
Open toolInteractieve checklists voor elke stap van de drieledige meldingsketen van Art. 14.
Open toolGenereer een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden, security.txt en ENISA-workflowsjabloon.
Open toolBekijk alle fabrieksverplichtingen, begrijp uw productclassificatie en bekijk de volledige regulatoire tijdlijn.
