Actief uitgebuite kwetsbaarheden en incidenten melden aan ENISA

Eenvoudige taal

Als u ontdekt — of wordt verteld — dat een kwetsbaarheid in uw product actief door aanvallers wordt uitgebuit, moet u dit dringend melden aan ENISA. U heeft 24 uur om een vroegtijdige waarschuwing te sturen, 72 uur om een volledige melding te sturen en 14 dagen om een eindrapport met uw herstelplan te sturen. Het missen van deze deadlines is een regelgevingsovertreding. Deze klok begint te lopen vanaf 11 september 2026.

Wettekst

Artikel 14(1) van Verordening (EU) 2024/2847 vereist dat fabrikanten die kennis krijgen van een actief uitgebuite kwetsbaarheid of een ernstig incident dat hun product treft, ENISA onverwijld moeten informeren via het enkelvoudige meldingsplatform.

Meldingstijdlijnen (Art. 14(2)–(3)):

Melding	Termijn
Vroegtijdige waarschuwing	24 uur na het kennisnemen
Kwetsbaarheids- / incidentmelding	72 uur na het kennisnemen
Eindrapport	14 dagen na het kennisnemen

Van toepassing vanaf

11 september 2026 — de Art. 14-verplichtingen zijn van toepassing vóór de volledige verordening (11 december 2027). Plan uw incidentresponsproces dienovereenkomstig.

Belangrijkste vereisten

Vroegtijdige waarschuwing binnen 24 uur — signaal aan ENISA dat een ernstige gebeurtenis gaande is
Melding binnen 72 uur — details over de kwetsbaarheid of het incident
Eindrapport binnen 14 dagen — herstelstappen, grondoorzaak, tijdlijn
ENISA enkelvoudig meldingsplatform — gebruik het platform zodra het operationeel is
Getroffen gebruikers informeren — Art. 14(8) vereist melding aan getroffen gebruikers onverwijld

Bewijsmateriaal dat u mogelijk nodig heeft

Documentatie van incident response / PSIRT-proces
Beleid voor kwetsbaarheidsopenbaarmaking
Indieningsverslagen van het ENISA-meldingsplatform
Interne tijdlijnregistratie (wanneer u kennis kreeg, wanneer u meldde)