Onafhankelijke gids bij Verordening (EU) 2024/2847 · Status: van kracht
Deze pagina is een automatische (AI-)vertaling en is niet door een persoon gecontroleerd.
De CRA begrijpen · Melding

CRA-incident- en kwetsbaarheidsmelding

Vanaf 11 september 2026 moeten fabrikanten op grond van Artikel 14 actief misbruikte kwetsbaarheden en ernstige incidenten melden; wat te melden, de termijnen van 24 uur, 72 uur en 14 dagen, en wie de melding ontvangt.

Ca. 8 min. leestijdArtikel 14 · 16Van toepassing vanaf 11 sep. 2026

01Wat moet worden gemeld

Artikel 14 van de Cyber Resilience Act schept twee afzonderlijke meldingsplichten voor fabrikanten van producten met digitale elementen. Ze zijn beperkter dan ze op het eerste gezicht lijken: routinefouten en gewone patches vallen niet binnen het toepassingsgebied. Art. 14

  • Actief misbruikte kwetsbaarheden; een kwetsbaarheid in uw product die wordt gebruikt bij een aanval. Een kwetsbaarheid die u ontdekt en verhelpt voordat deze wordt misbruikt, wordt afgehandeld via uw normale kwetsbaarhedenbeheersproces, niet dit meldingskanaal.
  • Ernstige incidenten; een incident dat een ernstige impact heeft op de beveiliging van het product, bijvoorbeeld een incident dat de vertrouwelijkheid, integriteit of beschikbaarheid voor gebruikers aantast.
De test

Als een beveiligingszwakheid in uw product actief wordt misbruikt, of een beveiligingsincident het ernstig heeft getroffen, begint de klok van Artikel 14 te lopen. Al het andere blijft binnen uw dagelijkse kwetsbaarhedenbeheer.

02De drie termijnen

Elke melding verloopt in drie fasen, gemeten vanaf het moment dat u op de hoogte raakt van de misbruikte kwetsbaarheid of het ernstige incident. De termijnen zijn kort, en daarom is paraatheid op de dag zelf belangrijker dan proces. Art. 14(2)–(4)

  • Binnen 24 uurVroegtijdige waarschuwing. Een eerste melding dat een actief misbruikte kwetsbaarheid of een ernstig incident heeft plaatsgevonden, inclusief of dit vermoedelijk door onrechtmatige of kwaadwillige handelingen is veroorzaakt.
  • Binnen 72 uurKwetsbaarheids- / incidentmelding. Een uitgebreider verslag, inclusief een eerste beoordeling, de ernst en de impact, en waar beschikbaar de genomen corrigerende of mitigerende maatregelen.
  • Binnen 14 dagenEindrapport. Zodra een corrigerende maatregel beschikbaar is: een beschrijving van de kwetsbaarheid of het incident, de ernst en impact ervan, en de toegepaste herstelmaatregelen. Voor incidenten loopt de termijn vanaf het moment dat het incident is afgehandeld.

03Bij wie u meldt

Meldingen gaan naar ENISA en aan de als coördinator aangewezen CSIRT voor de betrokken lidstaat. U neemt niet afzonderlijk contact op met elke autoriteit: de CRA stelt een centraal meldingsplatform, opgezet en beheerd door ENISA, als gemeenschappelijk toegangspunt voor alle meldingen. Art. 14 · 16

Het platform stuurt elke melding door naar het relevante nationale CSIRT en, waar nodig, naar andere autoriteiten. In beperkte gevallen — bijvoorbeeld wanneer openbaarmaking een onevenredig cyberbeveiligingsrisico zou creëren — staat de Verordening toe dat een melding wordt beperkt, maar de standaard is volledige en onverwijlde rapportage via het platform.

Status · medio 2026

Het centrale meldingsplatform is nog niet algemeen beschikbaar. ENISA is dit nog aan het bouwen (de ontwikkeling is aanbesteed en gegund), en publiceert in de aanloop materiaal over registratie, onboarding en proefdraaien. Het platform is bedoeld om operationeel te zijn op de startdatum van 11 september 2026, met een testperiode daarvoor; er is vandaag dus nog geen live platform om u bij te registreren.

04Wanneer het begint

De meldingsverplichtingen zijn het vroegste belangrijke onderdeel van de CRA dat van kracht wordt. Terwijl de meeste bepalingen van toepassing zijn vanaf 11 december 2027, is Artikel 14 van toepassing vanaf 11 september 2026; 21 maanden na de inwerkingtreding van de Verordening. Het centrale meldingsplatform is bedoeld om op die datum operationeel te zijn. Art. 71

Waarom dit de eerste deadline is die ertoe doet

Anders dan de CE-markering, die u eenmalig afrondt voordat u een product op de markt brengt, is melding een voortdurende, levende plicht die begint in september 2026 en op elk moment daarna kan worden geactiveerd. Klaar zijn is geen eenmalig project.

Nog in afronding

Het exacte formaat en procedure voor meldingen kan nader worden gespecificeerd door uitvoeringshandelingen van de Commissie, en de geharmoniseerde normen die ten grondslag liggen aan kwetsbaarhedenbeheer worden verwacht rond 30 augustus 2026. Beide worden verwacht kort voor het ingaan van de verplichting. De praktische conclusie: bouw nu uw interne detectie- en meldingsproces op; wacht niet op de definitieve platformmechanismen of een gepubliceerd meldingsformulier, want de verplichting geldt vanaf 11 september 2026 ongeacht.

05Hoe u klaar kunt zijn

Het halen van een termijn van 24 uur is een operationeel probleem, geen papierwerk­probleem. De fabrikanten die dit gaan halen, zijn degenen die al weten wat er in hun producten zit en dit continu bewaken.

  • Houd een nauwkeurige SBOM bij; u kunt geen melding doen van een component waarvan u niet wist dat u het had meegeleverd. Stel een software bill of materials op en houd deze actueel naarmate releases wijzigen.
  • Bewaken continu; vergelijk uw componenten met bronnen van bekende kwetsbaarheden, zodat een actief misbruikte fout binnen uren en niet binnen weken aan het licht komt.
  • Bepaal het proces van tevoren; bepaal nu wie beslist dat een melding vereist is, wie deze opstelt en wie deze indient, zodat de beschikbare tijd niet verloren gaat aan interne escalatie.
  • Volg de onderliggende vereisten; de nalevingsmatrix koppelt melding aan de bredere kwetsbaarhedenbeheersverplichtingen van Bijlage I waaronder het valt.

De SBOM- en kwetsbaarhedenanalyser dekt de eerste twee: het vergelijkt uw bill of materials met de NVD en de EU-kwetsbaarheidsdatabank (EUVD), zodat een actief misbruikt component binnen het tijdvenster van 24 uur wordt gesignaleerd.

Open de kwetsbaarhedenanalyser →De CRA uitgelegd →

06Veelgestelde vragen

Wat moet ik melden onder de CRA, en hoe snel?

Actief misbruikte kwetsbaarheden en ernstige incidenten die de beveiliging van uw product aantasten. U moet een vroegtijdige waarschuwing sturen binnen 24 uur nadat u hiervan op de hoogte bent, een uitgebreider melding binnen 72 uur, en een eindrapport binnen 14 dagen nadat een corrigerende maatregel beschikbaar is. Art. 14

Wanneer beginnen de meldingsverplichtingen?

11 september 2026; 21 maanden na de inwerkingtreding van de Verordening, ruim voor de volledige toepassing op 11 december 2027.

Bij wie moet ik melden?

ENISA en het nationale CSIRT dat als coördinator is aangewezen, via het centrale meldingsplatform dat ENISA op grond van Artikel 16 instelt. Het is één enkel toegangspunt in plaats van afzonderlijke ingaven.

Moet ik elke fout of kwetsbaarheid melden?

Nee. Alleen actief misbruikte kwetsbaarheden en ernstige incidenten zijn meldingsplichtig. Kwetsbaarheden die u vindt en verhelpt vóór misbruik worden afgehandeld via uw gewone kwetsbaarhedenbeheersproces.

Is het centrale meldingsplatform van ENISA al beschikbaar?

Nog niet. Medio 2026 is het nog in ontwikkeling op grond van Artikel 16; ENISA publiceert in de aanloop materiaal over registratie en proefdraaien, en het platform is bedoeld om operationeel te zijn op 11 september 2026, met een testperiode daarvoor.

Is er al een standaardformaat of -sjabloon voor melding?

Nog geen definitief formaat. De Commissie kan het formaat en de procedure voor meldingen nader specificeren via uitvoeringshandelingen, en de geharmoniseerde normen die ten grondslag liggen aan kwetsbaarhedenbeheer worden verwacht rond 30 augustus 2026. Bereid uw interne proces nu voor in plaats van te wachten op de gepubliceerde mechanismen; de verplichting geldt vanaf 11 september 2026 ongeacht.

Verder lezen

Gerelateerde verwijzingen

§De CRA uitgelegd

Toepassingsgebied, klassen, verplichtingen en de volledige tijdlijn in begrijpelijke taal.

§SBOM- en kwetsbaarhedenanalyser

Vergelijk uw componenten met de NVD en EUVD om de termijn van 24 uur te halen.

§De volledige verordening

Artikel 14 en 16 in de bindende tekst van Verordening (EU) 2024/2847.

§Veelgestelde vragen

Beknopte antwoorden op veelgestelde vragen van belanghebbenden, met verwijzingen.