In einem jüngsten Interview mit Help Net Security ging Nuno Rodrigues Carvalho, Leiter des Sektors für Vorfall- und Schwachstellendienste bei ENISA, auf drei Fragen ein, die für EU-Hersteller unmittelbar von Bedeutung sind: was der Beinahe-Zusammenbruch des CVE-Programms offenbarte, wie der Cyber Resilience Act neue Verantwortlichkeit schafft und warum sich die Schwachstellenoffenlegung von einer Last zu einem Wettbewerbsvorteil gewandelt hat.
Dieser Beitrag gleicht seine Aussagen mit dem ab, was Hersteller, die Produkte im EU-Markt verkaufen, vor der Durchsetzungsfrist im September 2026 verstehen müssen.
Der CVE-Finanzierungsschreck: Was er über die Fragilität der Infrastruktur offenbarte
Als MITREs Vertrag mit CISA Anfang dieses Jahres kurz vor dem Auslaufen stand, legte das etwas offen, was Fachleute seit einiger Zeit wissen: Das globale Ökosystem zur Identifizierung von Schwachstellen hängt von einem einzigen operativen Rückgrat ab, ohne verteilten Rückfall, falls dieses Rückgrat ausfällt.
Carvalho war deutlich zur Antwort der EU:
„Ein stärkeres Modell würde die Integrität des gemeinsamen CVE-Rückgrats bewahren und zugleich die Verantwortlichkeiten auf vertrauenswürdige Akteure verteilen, die Kapazität, Dienste und operative Unterstützung beitragen können. Aus Sicht von ENISA sind wir bereit, zum Programm beizutragen, und bauen parallel weiter eine europäische Kapazität für Schwachstellendienste auf.“
In der Praxis bedeutet das, dass ENISA die Europäische Schwachstellendatenbank (EUVD) nicht als Ersatz für das CVE-Programm aufbaut, sondern als parallele, interoperable Schicht, die Resilienz hinzufügt. Für Hersteller hat das eine praktische Folge: Anreicherungsdaten zu einer gegebenen Schwachstelle können nun aus mehreren maßgeblichen Quellen stammen, von denen jede anderen Kontext bietet.
Carvalho beschrieb, wie Fachleute dies handhaben sollten: CVE-IDs bieten Konsistenz und einen gemeinsamen Bezugspunkt. Herstellermeldungen bieten Anleitungen zur Behebung. Nationale CSIRTs und ENISA bieten operativen Kontext, der für EU-Bedrohungen und -Sektoren spezifisch ist. CVD Portal unterstützt alle drei Schichten: Live-EUVD-Daten für eine EU-zuerst-Anreicherung, NVD als sekundären Rückfall und die Weiterleitung an nationale CSIRTs, eingebaut in den Artikel-14-Eskalations-Workflow.
Der CRA: Wie die Durchsetzung tatsächlich aussieht
Carvalho umriss die durch den CRA entstehenden Durchsetzungshebel, die spezifischer sind, als viele Hersteller annehmen:
- 24-Stunden-Frühwarnung an die zentrale Meldeplattform (SRP) bei Kenntniserlangung einer aktiv ausgenutzten Schwachstelle
- 72-Stunden-Detailmeldung zu technischem Umfang und Schweregrad
- Abschließender Folgebericht innerhalb von 14 Tagen (Schwachstellen) oder 30 Tagen (erhebliche Vorfälle)
Die SRP, von ENISA betrieben, befindet sich derzeit in der Pilotphase, der Vollbetrieb wird vor September 2026 erwartet. Das sind keine aspirativen Pflichten. Es sind durchsetzbare Anforderungen, die ab ihrem Inkrafttreten für Produkte gelten, die bereits auf dem EU-Markt sind.
Carvalho merkte an, dass der CRA voraussichtlich „eine erhöhte Aufmerksamkeit für das Schwachstellenmanagement aufseiten der Hersteller digitaler Produkte auslöst und die aktuelle Praxis hinsichtlich der Meldung von Schweregrad und Offenlegung verbessert“. Der Durchsetzungsmechanismus ist die Marktüberwachung: Hersteller, die keinen funktionierenden Prozess zur Schwachstellenbehandlung nachweisen können, sehen sich Bußgeldern und der Aussicht auf eine Rücknahme des Produkts vom Markt gegenüber.
NIS2 vs. CRA: Die Unterscheidung, die zählt
Einer der praktisch wichtigsten Punkte Carvalhos betrifft NIS2, das im Kontext der Schwachstellenoffenlegung weithin missverstanden wird:
„Es ist erwähnenswert, dass es keine Pflicht für Organisationen gibt (Hersteller oder NIS2-Einrichtungen). Die Pflicht liegt beim CSIRT, Informationen entgegenzunehmen.“
NIS2 normalisiert die koordinierte Offenlegung von Schwachstellen als Governance-Praxis, es verlangt von CSIRTs, strukturierte Prozesse zum Empfangen und Koordinieren von Meldungen zu haben. Aber es schreibt nicht vor, dass Organisationen Schwachstellenmeldungen an Behörden einreichen. Diese Pflicht kommt aus dem CRA.
Für Hersteller ist die praktische Folge: Wenn Sie ein Produkt mit digitalen Elementen herstellen, das in der EU verkauft wird, ist der CRA Ihre primäre Pflicht. NIS2 kann ebenfalls gelten, wenn Ihre Organisation kritische Infrastruktur oder wesentliche Dienste betreibt, aber die CVD-Richtlinie unter NIS2 ist eine organisatorische Governance-Anforderung, keine Meldekaskade auf Produktebene.
Schwachstellenoffenlegung als Verkaufsargument
Der auffälligste Teil von Carvalhos Interview, aus Sicht der Marktpositionierung, war dieser:
„Organisationen erkennen zunehmend, dass die Softwareentwicklung heute eine aktive, positive Reaktion auf Schwachstellenmeldungen erfordert, was die Sicherheit stärkt und, richtig gehandhabt, zu einem starken Verkaufsargument wird.“
Das ist keine Formulierung eines Marketingteams. Es ist die erklärte Auffassung des leitenden ENISA-Beamten, der für die europäischen Schwachstellendienste verantwortlich ist. Die Implikation ist bedeutsam: Hersteller mit funktionierender CVD-Infrastruktur, die Forschermeldungen umgehend bestätigen, die die Offenlegung professionell koordinieren, haben nun ein nachweisbares Unterscheidungsmerkmal in Beschaffungs- und Enterprise-Verkaufsgesprächen.
Der Umkehrschluss gilt ebenfalls. Organisationen, die CVD als Compliance-Formalität behandeln, eine statische Richtlinienseite ohne operative Untermauerung, werden zunehmend von Käufern auf den Prüfstand gestellt, die gelernt haben, danach zu fragen.
Was das in der Praxis bedeutet
Das Bild, das Carvalho zeichnete, ist eines, in dem die EU-Schwachstelleninfrastruktur rasch reift, die regulatorische Verantwortlichkeit der Hersteller konkret wird und sich der kulturelle Wandel von defensiver zu proaktiver Offenlegung beschleunigt.
Für Hersteller mit Produkten auf dem EU-Markt ist September 2026 kein ferner regulatorischer Meilenstein. Es ist das Datum, an dem die Meldung nach Artikel 14 gegen bereits ausgelieferte Produkte durchsetzbar wird. Die Infrastrukturfrage, also Erfassungsprozess, Triage-Befugnis, Berichtsvorlagen, SRP-Zugang und Prüfpfad, muss vor diesem Datum gelöst werden, nicht danach.
CVD Portal stellt den vollständigen Compliance-Stack für die Artikel 13 und 14 als Dienst bereit, kostenlos zum Einstieg: gebrandetes Portal zur Offenlegung von Schwachstellen, Nachverfolgung der Bestätigung innerhalb von 48 Stunden, CVSS-Triage-Workflow, ENISA-konforme Berichtserstellung, CSAF-2.0-Meldungsausgabe und vollständiger Prüfpfad. Das Ziel ist es, die Infrastrukturfrage zu einem Nichtproblem zu machen, damit Hersteller sich auf die Prozessfrage konzentrieren können, die das eigentlich Entscheidende ist, wenn ein Forscher etwas Echtes findet.