Een gedetailleerde kwetsbaarheidsmelding indienen bij ENISA binnen 72 uur
- Van toepassing op
- Manufacturer
- Bronvermeldingen
- Art. 14(2)Art. 14(5)
- Productklassen
- DefaultImportant — Class IImportant — Class IICritical
Eenvoudige taal
Na uw vroegtijdige waarschuwing van 24 uur aan ENISA heeft u tot 72 uur vanaf het eerste kennisnemen om een meer gedetailleerde vervolgmelding te sturen. Dit moet de productdetails, kwetsbaarheidsinformatie en de beveiligingsmaatregelen bevatten die u heeft genomen of van plan bent te nemen. De klok begint te lopen wanneer u voor het eerst kennis krijgt van actieve uitbuiting — niet wanneer u de volledige details bevestigt.
Wettekst
Artikel 14(2) van Verordening (EU) 2024/2847 vereist dat fabrikanten, onverwijld en in elk geval uiterlijk 72 uur na het kennisnemen van een actief uitgebuite kwetsbaarheid, ENISA melden van:
- De kwetsbaarheid
- De getroffen product(en)
- De ernst en de gevolgen van de kwetsbaarheid
- De genomen of geplande corrigerende of mitigerende maatregelen
- Of de kwetsbaarheid openbaar is gemaakt
Artikel 14(5) bepaalt dat meldingen worden ingediend via het ENISA enkelvoudige meldingsplatform, dat de informatie doorstuurt naar de relevante nationale CSIRT('s).
Ingangsdatum
Deze verplichting is van toepassing vanaf 11 september 2026.
Vereiste inhoud van de melding
De 72-uursmelding moet bevatten:
- Productidentificatie — naam, versie, gegevens fabrikant
- Kwetsbaarheidsbeschrijving — technische details inclusief CVE (indien toegewezen)
- CVSS-score — ernstbeoordeling
- Bewijs van actieve uitbuiting — hoe u weet dat er actief misbruik wordt gemaakt
- Getroffen gebruikerspopulatie — reikwijdte van de impact
- Mitigerende maatregelen — al genomen stappen om het risico te beperken
- Herstelplan — geplande patchtijdlijn en leveringsmechanisme
- Status gebruikersmeldingen — of gebruikers zijn geïnformeerd
Relatie tot de vroegtijdige waarschuwing van 24 uur
| Stap | Termijn | Vereiste inhoud |
|---|---|---|
| Vroegtijdige waarschuwing (OBL-ART14-01) | 24 uur | Bestaan van actief uitgebuite kwetsbaarheid |
| Gedetailleerde melding | 72 uur | Technische details, ernst, corrigerende maatregelen |
| Eindrapport (OBL-ART14-03) | 14 dagen | Volledige analyse en volledig herstel details |
Bewijsmateriaal dat u mogelijk nodig heeft
- Tijdgestempelde indieningsverslagen van het ENISA-meldingsplatform
- Interne tijdlijn waaruit blijkt wanneer het kennisnemen plaatsvond
- Kopie van ingediende melding (zo nodig geredigeerd om veiligheidsredenen)
- Verslagen waaruit blijkt dat de melding binnen 72 uur na kennisnemen werd ingediend