Kapitel 5: Incident Response & Disclosure
5.1 Übersicht
Das Incident Response Framework deckt die vollständigen CRA-Meldepflichten ab. Ab dem 11. September 2026 sind Hersteller verpflichtet, aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an ENISA bzw. die zuständige nationale Behörde zu melden.
MELDEPFLICHT AB 11.09.2026
Die Meldepflichten gemäß Art. 14 CRA treten am 11. September 2026 in Kraft. Ab diesem Zeitpunkt müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden.
5.2 Meldepflichten-Übersicht
| Ereignis | Frist | Empfänger | Template |
|---|---|---|---|
| Aktiv ausgenutzte Schwachstelle | 24h Frühwarnung | ENISA / CSIRT | Frühwarnung |
| Schwachstellen-Update | 72h Meldung | ENISA / CSIRT | Meldung |
| Abschlussbericht | 14 Tage | ENISA / CSIRT | Abschlussbericht |
| Schwerer Sicherheitsvorfall | 24h Frühwarnung | ENISA / CSIRT | Incident Report |
| Nutzerbenachrichtigung | Unverzüglich | Betroffene Nutzer | Vulnerability Report |
Kapitelstruktur
| Sektion | Thema | CRA-Bezug |
|---|---|---|
| 5.1 | Incident-Response-Playbook – Eskalationsstufen, Phasen, Checklisten | Art. 14, Annex I Teil II |
| 5.2 | Vulnerability Disclosure Policy – CVD nach ISO 29147 | Art. 13 Abs. 6 |
| 5.3 | ENISA-Meldeprozess – Fristen, Ablauf, Dokumentation | Art. 14 Abs. 1-3 |
| 5.4 | Kommunikationsplan – Interne/externe Kommunikationswege | Art. 14 Abs. 8 |