Hat ein Hersteller entschieden, dass ein Ereignis meldepflichtig ist, lautet die nächste Frage mechanisch, aber folgenreich: Wohin geht die Meldung tatsächlich? Die Antwort des CRA ist ausgefeilter als ein einziges Behördenpostfach. Er richtet eine Weiterleitungsarchitektur ein, die jede Meldung gleichzeitig an ENISA und die zuständige nationale Behörde übermittelt, mit Weiterverteilung an andere betroffene Mitgliedstaaten, wo nötig.
Diese Architektur vor einem Vorfall zu verstehen ist wichtig, nicht währenddessen. Das 24-Stunden-Frühwarnfenster ist nicht der Zeitpunkt, um zu entdecken, dass Sie keine Zugangsdaten für die Meldeplattform haben oder nicht wissen, welches nationale CSIRT Ihres ist. Dieser Beitrag erklärt, wie die Meldepipeline organisiert ist und was jede Partei mit dem tut, was Sie senden.
Es ist der dritte Beitrag unserer CRA-Meldeserie. Frühere Beiträge behandelten wann die Meldung verpflichtend wird und welche Schwachstellen und Vorfälle gemeldet werden müssen. Der nächste Beitrag behandelt die Fristen und Folgepflichten. Für eine einseitige Übersicht des gesamten Melderegimes siehe unseren Leitfaden zu welche CRA-Meldepflichten gelten, wann sie beginnen und wie man bereit ist.
Die zentrale Meldeplattform
Der CRA richtet eine von ENISA betriebene zentrale Meldeplattform als gemeinsamen Eingangspunkt für Meldungen nach Artikel 14 ein. Das Designziel ist, Herstellern einen einzigen Ort zur Einreichung zu geben, statt sie zu zwingen, während eines laufenden Vorfalls separat bei mehreren nationalen Stellen und EU-Institutionen einzureichen.
Reicht ein Hersteller eine Frühwarnung, eine detaillierte Meldung oder einen Abschlussbericht ein, geht diese an diese Plattform. Die Plattform übernimmt dann die Verteilung. Das ist das zentrale Konzept: Der Hersteller reicht einmal ein, und das System leitet die Meldung an die Stellen weiter, die sie benötigen.
Die Plattform ist um nationale Endpunkte herum strukturiert. Jeder Mitgliedstaat benennt einen Eingangspunkt, und Meldungen werden neben ENISA an den passenden weitergeleitet. In der Praxis interagiert der Hersteller mit einem einzigen elektronischen Meldesystem, und die regulatorische Verteilung geschieht dahinter.
Wer eine Meldung erhält
Eine einzelne Artikel-14-Meldung ist kein Ereignis mit nur einem Empfänger. Sie erreicht zwei Arten von Stellen zugleich.
ENISA
ENISA, die EU-Agentur für Cybersicherheit, sitzt im Zentrum der Meldearchitektur. Sie betreibt die Plattform und hält den Blick auf EU-Ebene über alle Mitgliedstaaten hinweg. Die Rolle von ENISA ist Koordination und Lagebild: Meldungen aggregieren, grenzüberschreitende Muster identifizieren und eine koordinierte Reaktion unterstützen, wo eine ausgenutzte Schwachstelle oder ein schwerwiegender Vorfall unionsweite Folgen hat.
ENISA pflegt auch die breitere europäische Schwachstellenlandschaft, einschließlich der Arbeit an der Europäischen Schwachstellendatenbank, die nationale und globale Quellen ergänzt. Über die Entwicklung dieser Infrastruktur haben wir in ENISA und die Zukunft der EU-Schwachstellenoffenlegung geschrieben.
Es gibt eine wichtige Schutzvorkehrung im Design. Die zentrale Rolle von ENISA ist mit Bestimmungen gepaart, die es einem Hersteller oder einem Mitgliedstaat erlauben, die Weiterverteilung besonders sensibler Informationen einzuschränken, etwa wo die weite Verbreitung technischer Details selbst das Risiko erhöhen würde, bevor eine Korrektur verfügbar ist. Die Architektur wägt ein breites Lagebild gegen die Gefahr ab, eine ausnutzbare Schwäche zu verstärken.
Das zuständige nationale CSIRT
Parallel zu ENISA erreicht jede Meldung das als Koordinator benannte CSIRT im zuständigen Mitgliedstaat. Das CSIRT (Computer Security Incident Response Team) ist die operative nationale Stelle, die auf die Meldung handeln kann: sich mit betroffenen Organisationen in ihrem Hoheitsgebiet abstimmen, Warnungen herausgeben und mit dem Hersteller zur Reaktion in Verbindung treten.
Welches nationale CSIRT „zuständig“ ist, ergibt sich in der Regel daraus, wo der Hersteller seine Hauptniederlassung in der Union hat, mit Regeln zur Bestimmung eines Koordinators, wenn die Lage mehrere Staaten umfasst. Die praktische Aufgabe für einen Hersteller ist, im Voraus zu wissen, über welches nationale CSIRT er melden wird, und einen geprüften Kontakt dafür zu haben.
Wie die Weiterleitung fließt
Der Wert der Weiterleitung über eine zentrale Plattform ist das, was nach der Einreichung geschieht. Eine aktiv ausgenutzte Schwachstelle respektiert selten Grenzen. Ein ausgenutzter Fehler in einer weit verbreiteten Industriesteuerung kann Betreiber in vielen Mitgliedstaaten zugleich betreffen.
Die Plattform und ENISA ermöglichen dieses grenzüberschreitende Bild. Trifft eine Meldung ein, unterstützt die Architektur die Information der CSIRTs anderer betroffener Mitgliedstaaten, wo das Ereignis Folgen für sie hat, sodass nationale Stellen in der gesamten Union die Organisationen warnen und mit ihnen koordinieren können, die sie schützen. Der Hersteller muss nicht jeden betroffenen Staat einzeln identifizieren und kontaktieren. Diese Verteilung ist eine Funktion des koordinierten Systems.
Das ist der strukturelle Grund, warum der CRA die zentrale Weiterleitung gewählt hat. Sie verwandelt die einzelne Meldung eines Herstellers in ein koordiniertes, unionsweites Lagebild, was der ganze Sinn der verpflichtenden Meldung ist.
Wie der Hersteller damit interagiert
Für den Hersteller ist die Interaktion eine elektronische Einreichung, kein Telefonanruf und keine E-Mail an ein allgemeines Postfach. Es gibt ein paar praktische Realitäten, auf die man sich vorbereiten muss.
- Zugangsdaten und Zugang. Sie brauchen geprüften Zugang zur Meldeplattform vor einem Vorfall. Den Zugang einzurichten und zu bestätigen, dass er funktioniert, ist eine Bereitschaftsaufgabe, keine Vorfallaufgabe.
- Strukturierte Einreichungen. Jede Meldung ist um definierte Felder strukturiert: was die Schwachstelle oder der Vorfall ist, welches Produkt und welche Versionen betroffen sind, die Art der Ausnutzung oder Auswirkung, Kompromittierungsindikatoren und die ergriffenen oder geplanten Maßnahmen. Diesen Inhalt vorab in Vorlagen zu haben, spart entscheidende Zeit.
- Eine konsistente Identität über die Kaskade hinweg. Die Frühwarnung, die detaillierte Meldung und der Abschlussbericht beziehen sich auf dasselbe Ereignis. Sie müssen aufeinander verweisen, damit Behörden dem Faden folgen können. Diese Verknüpfung zu pflegen, gehört dazu, die Mechanik richtig hinzubekommen.
- Die Beziehung zum nationalen CSIRT. Wissen Sie, welches CSIRT Ihres ist, und halten Sie einen funktionierenden Kontakt. In einem schwerwiegenden Vorfall können Sie in direktem Dialog mit ihm landen, und ein Kaltstart unter Druck ist vermeidbar.
Was das für ein KMU ohne PSIRT bedeutet
Ein großer Hersteller mit einem etablierten Product Security Incident Response Team wird diese Architektur in bestehende Prozesse aufnehmen. Die Herausforderung ist am schärfsten für die kleinen und mittleren Hersteller, die den Großteil der CRA-Population ausmachen: die Hersteller von Routern, Sensoren, Steuerungen, vernetzten Verbrauchergeräten und eingebetteter Firmware, von denen viele noch nie eine Schwachstellenmeldung an irgendeine Behörde eingereicht haben.
Für sie ist die Weiterleitungsarchitektur nicht der schwierige Teil, weil die Plattform die Weiterleitung übernimmt. Der schwierige Teil ist, bereit zu sein, sie zu speisen: geprüften Zugang zu haben, das zuständige nationale CSIRT zu kennen und innerhalb eines 24-Stunden-Fensters eine strukturierte, korrekte Meldung erstellen zu können, während man zugleich den technischen Vorfall handhabt. Diese Fähigkeit von null aufzubauen, ist Gegenstand unseres Leitfadens zum Aufbau eines PSIRT von Grund auf und des Beitrags zu interner Erkennung und Eskalation später in dieser Serie.
Wie CVD Portal in die Pipeline passt
CVD Portal sitzt auf der Herstellerseite dieser Architektur. Es ersetzt nicht die offizielle Meldeplattform. Es bereitet Sie darauf vor, sie gut zu nutzen.
Das Portal erfasst eingehende Schwachstellenmeldungen über Ihren gebrandeten Offenlegungskanal, führt sie durch eine CVSS-basierte Triage, die eine potenzielle aktive Ausnutzung kennzeichnet, und erzeugt strukturierten Meldeinhalt, der an den Stufen Frühwarnung, detaillierte Meldung und Abschlussbericht von Artikel 14 ausgerichtet ist. Es pflegt die Verknüpfung zwischen den drei Berichten für ein einzelnes Ereignis und führt einen vollständigen Prüfpfad darüber, was wann gesendet wurde. Das Ziel ist, dass beim Eintreten eines Artikel-14-Ereignisses die Erstellung einer korrekten Einreichung für die Plattform eine Sache von Minuten ist, kein hektisches Zusammentragen von Fakten von Grund auf.
Das Fazit
Die Meldung nach Artikel 14 ist um eine einzige, von ENISA betriebene Plattform organisiert, die jede Meldung zugleich an ENISA und das zuständige nationale CSIRT übermittelt, mit einer in das System eingebauten Weiterverteilung an andere betroffene Mitgliedstaaten. Der Hersteller reicht einmal ein. Die Architektur verwandelt diese einzelne Einreichung in ein koordiniertes, unionsweites Lagebild.
Für den Hersteller besteht die Arbeit in der Bereitschaft: geprüfter Plattformzugang, ein bekannter nationaler CSIRT-Kontakt und die Fähigkeit, strukturierte Meldungen schnell zu erstellen. Da die Weiterleitung verstanden ist, lautet die nächste Frage das Timing, das der nächste Beitrag ausführlich behandelt: Meldefristen und Folgepflichten.