Zum Inhalt springen
SBOMfunkSBOMfunk
ENISA-Reporting

ENISA Single Reporting Platform: Anleitung und aktueller API-Status (April 2026)

17. April 20263 Min. LesezeitSBOMfunk-Team

ENISA Single Reporting Platform für CRA: API-Status April 2026, Meldeprozess Schritt für Schritt und wie SBOMfunk die SRP-Beta-Integration aufbaut.

Die ENISA Single Reporting Platform (SRP) ist die technische Grundlage der CRA-Meldepflicht — und steht Stand April 2026 noch in der Beta. Dieser Artikel erklärt den aktuellen Status, den technischen Meldeprozess und wie SBOMfunk die Integration aufbaut.

Was ist die ENISA Single Reporting Platform?

Die ENISA Single Reporting Platform ist die zentrale EU-Plattform für Schwachstellenmeldungen nach Art. 14 des Cyber Resilience Act. Ab dem 11. September 2026 müssen alle CRA-pflichtigen Hersteller aktiv ausgenutzte Schwachstellen über diese Plattform melden.

Die SRP wird von der Europäischen Agentur für Cybersicherheit (ENISA) betrieben und ist als zentraler Eingangskanal für alle 27 EU-Mitgliedsstaaten konzipiert — nationale Behörden wie das BSI erhalten Meldungen über ein Weiterleitungsverfahren.

Die SRP ist kein optionales System: Ohne gültige Meldung über die SRP gilt die Meldepflicht als nicht erfüllt.

Aktueller Status (April 2026): Was ist live, was in Beta?

SBOMfunk testet die ENISA-SRP-API aktiv. Unser Stand vom April 2026:

Was funktioniert:

  • API-Authentifizierung über EU Login (Beta-Zertifikate)
  • Einreichen strukturierter Frühwarnungen im CSAF-Format
  • Abruf des Meldungs-Status nach Einreichung

Was noch in Entwicklung ist:

  • Finale API-Spezifikation (noch nicht v1.0-stable)
  • Produktregistrierungs-Interface für Hersteller
  • Öffentliche Dokumentation der Pflichtfelder

Was noch aussteht:

  • Produktions-Go-live (geplant vor 11.09.2026)
  • Offizielle Onboarding-Dokumentation für Hersteller
  • Klärung des BSI-Weiterleitungsverfahrens

Wir aktualisieren diese Seite regelmäßig. Abonnieren Sie unseren Newsletter für SRP-Status-Updates.

Wie funktioniert der Meldeprozess technisch?

Der technische Ablauf einer CRA-Meldung über die ENISA SRP:

Schritt 1 — Authentifizierung: Hersteller authentifizieren sich über EU Login mit einem qualifizierten elektronischen Zertifikat (eIDAS). Der Registrierungsprozess dauert mehrere Werktage — frühzeitig beginnen.

Schritt 2 — Produkt registrieren: Bevor eine Schwachstelle gemeldet werden kann, muss das Produkt in der SRP hinterlegt sein: Name, Version, CPE (Common Platform Enumeration) und PURL.

Schritt 3 — CSAF-Dokument erstellen: Die Meldung selbst erfolgt als CSAF-2.0-JSON-Dokument. Pflichtfelder der 24h-Frühwarnung: Produkt-Referenz, CVE-ID, Exploit-Status, erste Impact-Einschätzung.

Schritt 4 — API-Submit: Das CSAF-Dokument wird über die REST-API der SRP eingereicht. Die API antwortet mit einer Bestätigungs-ID für den Audit-Trail.

Schritt 5 — Follow-up-Meldungen: 72h-Notification und 14d-Final-Report werden als Ergänzungen zur ursprünglichen Meldungs-ID eingereicht.

CSAF-Format: Was Hersteller wissen müssen

CSAF (Common Security Advisory Framework) ist ein JSON-Standard für maschinenlesbare Sicherheitshinweise — entwickelt von OASIS und inzwischen weit verbreitet in der Security-Community.

Eine minimale CSAF-Frühwarnung für die ENISA SRP enthält:

{
  "document": {
    "title": "Schwachstellenmeldung — [Produkt] [Version]",
    "tracking": {
      "id": "MELDUNG-2026-001",
      "status": "interim",
      "version": "1.0"
    }
  },
  "product_tree": {
    "branches": [{
      "name": "MeinProdukt",
      "category": "product_name"
    }]
  },
  "vulnerabilities": [{
    "cve": "CVE-2026-XXXXX",
    "notes": [{ "category": "summary", "text": "..." }]
  }]
}

SBOMfunk generiert dieses Dokument automatisch aus Ihrer SBOM und dem Vulnerability-Dashboard — kein manuelles JSON-Befüllen erforderlich.

BSI-Meldeplattform vs. ENISA SRP: Die nationale Dimension

Deutsche Hersteller fragen häufig: Muss ich sowohl an ENISA als auch an das BSI melden?

Nach aktuellem Stand gilt: Eine Meldung an die ENISA SRP ist ausreichend. Das BSI erhält Meldungen über das europäische CSIRT-Netzwerk weitergeleitet. Eine separate BSI-Meldung für CRA-Art.-14-Pflichten ist nicht vorgesehen.

Wichtig: NIS2-Meldepflichten (für Betreiber kritischer Infrastrukturen) laufen über einen separaten Kanal direkt an das BSI — diese sind nicht Teil der CRA-SRP-Meldung.

SBOMfunk testet die ENISA-SRP-Beta — unser aktueller Status

SBOMfunk hat Zugang zur ENISA-SRP-Sandbox-Umgebung und testet die Integration aktiv. Unser Ziel: Am 11. September 2026 ist die Integration produktionsreif und Beta-Nutzer können Meldungen mit einem Klick einreichen.

Was Beta-Nutzer jetzt bekommen:

  • Zugang zur SRP-Test-Integration sobald sie verfügbar ist
  • Automatische Benachrichtigung wenn die Produktions-SRP live geht
  • Priority-Onboarding für die EU-Login-Registrierung

Beta-Zugang sichern und als Erste ENISA-SRP-ready sein.

#ENISA#SRP#CRA#API#Schwachstellenmeldung

CRA-Compliance in 30 Minuten aufsetzen

SBOMfunk automatisiert SBOM-Generierung, Vulnerability-Tracking und ENISA-Meldung. Testen Sie 14 Tage kostenlos.

Beta-Zugang sichernCRA-Pflicht-Check
Zurück zum Blog

Verwandte Artikel

Compliance-Grundlagen

CRA Meldepflicht September 2026: Was Hersteller jetzt tun müssen

Lesen
SBOM-Tooling

CycloneDX vs SPDX: Welches SBOM-Format ist CRA-konform?

Lesen
Compliance-Grundlagen

Cyber Resilience Act für KMU: Kein Weg vorbei — aber ein strukturierter

Lesen