Gebruikers onverwijld informeren over actief uitgebuite kwetsbaarheden

Artikel 14(4) van Verordening (EU) 2024/2847 vereist dat fabrikanten gebruikers van producten met digitale elementen die worden getroffen door een actief uitgebuite kwetsbaarheid onverwijld informeren met voldoende informatie om die gebruikers in staat te stellen beschermende maatregelen te nemen.

Deze meldingsverplichting loopt gelijktijdig met de ENISA-meldingsverplichtingen (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03) — het melden aan ENISA vervangt niet het melden aan gebruikers.

Deze verplichting is van toepassing vanaf 11 september 2026.

De melding aan gebruikers moet bevatten:

1. Getroffen product en versies — precies welke producten en firmware-/softwareversies zijn getroffen
2. Aard van de kwetsbaarheid — een beschrijving in begrijpelijke taal van het risico
3. Bevestiging van uitbuiting — verklaring dat actieve uitbuiting is waargenomen
4. Beschikbare mitigerende maatregelen — stappen die gebruikers onmiddellijk kunnen nemen (tijdelijke oplossingen, configuratiewijzigingen, netwerkinsolatie) in afwachting van een volledige oplossing
5. Beschikbaarheid van update — of er een patch beschikbaar is en hoe deze te verkrijgen; als die er nog niet is, een verwachte tijdlijn
6. Urgentieadvies — aanbevolen prioriteit voor het toepassen van de update

Gebruik kanalen die bereikbaar zijn voor gebruikers die mogelijk niet proactief op updates controleren:

• In-product beveiligingswaarschuwing (pushmelding of banner)
• E-mail aan geregistreerde gebruikers
• Prominente kennisgeving op product-/ondersteuningswebsite
• App store / platform-updatenotes

De keuze van het kanaal moet evenredig zijn aan de ernst en uitbuitbaarheid.

• Verslagen van gebruikersmeldingen — tijdstempel, inhoud, gebruikte kanalen
• Leveringsbevestiging (e-mailontvangstbewijzen, meldingsanalyses)
• Gepubliceerd beveiligingsadvies met gebruikersgerichte herstelinstructies
• Verslagen waaruit blijkt dat de melding de release van de patch voorafging of begeleidde