Zum Inhalt springen

Berichte & Fristen

Ab dem 11. Sep 2026 verlangt CRA Artikel 14 von Herstellern die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle über die Single Reporting Platform (SRP) der ENISA. Resilic verfolgt die Fristen, entwirft die Inhalte und erzwingt die menschliche Unterschrift — es reicht nie etwas für Sie ein.

Ein meldepflichtiges Ereignis wird von einem Menschen angelegt, nie automatisch erzeugt. Ein aktiv ausgenutzter Treffer aus der Korrelation liefert einen Kandidaten; Sie überführen ihn (vorbefüllt mit CVE und betroffenen Versionen) und bestätigen oder korrigieren den Kenntniszeitpunkt — den rechtlich tragenden Zeitstempel, an dem die Kaskade hängt. Schwerwiegende Vorfälle legen Sie manuell an.

  • 24h-Frühwarnung — fällig 24 Stunden nach Kenntnis.
  • 72h-Meldung — fällig 72 Stunden nach Kenntnis.
  • Abschlussbericht — der Anker hängt vom Typ ab:
    • Aktiv ausgenutzte Schwachstelle: fällig 14 Tage, nachdem eine Korrektur- oder Abhilfemaßnahme verfügbar ist (Art. 14(2)(c)) — nicht 14 Tage ab Kenntnis. Sie erfassen das Maßnahmendatum; bis dahin läuft für diese Stufe keine Uhr, und sie kann nie überfällig sein.
    • Schwerwiegender Vorfall: fällig einen Kalendermonat nach Übermittlung der 72h-Meldung (Art. 14(4)(c)) — nicht einen Monat ab Kenntnis.

Die Stufenfristen sind unabhängig: Ein verpasstes 24h-Fenster beseitigt die 72h-Pflicht nicht, und eine spätere Stufe kann übermittelt werden, während eine frühere überfällig ist. Resilic verschickt Fristerinnerungen per E-Mail, wenn ein Termin näher rückt.

Jede Stufe hat ihren eigenen Entwurf mit den Artikel-14-Inhaltskategorien dieser Stufe:

  • Frühwarnung: Zusammenfassung, plus — soweit zutreffend — die Mitgliedstaaten, in denen das Produkt betroffen ist.
  • Meldung: Zusammenfassung, betroffene Produkte, grenzüberschreitende Auswirkungen und die Abhilfemaßnahmen — sowohl die ergriffenen als auch die den Nutzern verfügbaren.
  • Abschlussbericht: zusätzlich Schweregrad und Auswirkungen, dann je Typ — Sicherheitsupdate-Details und (soweit verfügbar) Angaben zu böswilligen Akteuren bei einer Schwachstelle; Grundursache und laufende Abhilfe bei einem Vorfall.

Mit KI generieren befüllt einen Entwurf, fundiert auf dem, was Resilic bereits weiß — CVE, betroffene Produkte und Auslieferungen, KEV-/CVSS-Daten. Generierte Inhalte sind als „KI-entworfen — Prüfung nötig“ markiert; jede Bearbeitung hält den Entwurf im Status Entwurf.

  • Freigeben verlangt eine ausdrückliche Bestätigung („Ich habe geprüft und übernehme die Verantwortung …“), hält fest, wer wann unterschrieben hat, und übermittelt diese Stufe der Kaskade.
  • Nur ein freigegebener Bericht kann exportiert werden. Der Export ist ein selbstbeschreibendes Artefakt (Format aegis.article14.v0) — das offizielle SRP-Format ist noch in Entwicklung, deshalb gibt Resilic bewusst kein autoritatives Schema vor. Sie laden das Artefakt herunter und reichen es selbst auf der SRP ein.
  • Jeder Schritt — angelegt, generiert, bearbeitet, freigegeben — landet in einem nur anfügbaren Audit-Trail (Aktion, Person, Zeitstempel): der Nachweis, dass Sie die Pflicht erfüllt haben, und wer was unterschrieben hat.

Zusätzlich können Sie festhalten, wie betroffene Nutzer informiert wurden (Art. 14(8)) — über ein veröffentlichtes CSAF-Advisory oder einen beschriebenen Kanal. Für diesen Eintrag gibt es keine gesetzliche Frist, und Resilic erfindet nie eine; ein offenes Ereignis ohne den Eintrag zeigt eine ausstehende Aufgabe, nie „überfällig“.