Zum Inhalt springen
SBOMfunkSBOMfunk
Wissensartikel · Zuletzt aktualisiert: April 2026

ENISA Single Reporting Platform: Anleitung für Hersteller

TL;DR

Die ENISA Single Reporting Platform (SRP) ist die zentrale EU-Meldeplattform für CRA-Art.-14-Pflichten. Stand April 2026 ist sie noch in der Beta. SBOMfunk ist einer der ersten Anbieter mit direkter SRP-API-Integration.

Was ist die ENISA Single Reporting Platform?

Die ENISA Single Reporting Platform (SRP) ist die zentrale EU-weite Meldeplattform für Schwachstellenmeldungen nach Art. 14 des Cyber Resilience Act. Sie wird von der Europäischen Agentur für Cybersicherheit (ENISA) betrieben und ermöglicht Herstellern, aktiv ausgenutzte Schwachstellen in ihren Produkten zu melden.

Die SRP ist kein optionales Instrument — ab 11.09.2026 ist die Meldung über die SRP für alle CRA-pflichtigen Hersteller verpflichtend, wenn eine aktiv ausgenutzte Schwachstelle in einem ihrer Produkte bekannt wird.

Aktueller Status (April 2026): Was ist live, was ist Beta?

Stand April 2026 befindet sich die ENISA SRP noch in der Beta-Phase. Das bedeutet konkret:

  • API-Spezifikation: Eine vorläufige API-Spezifikation ist verfügbar, aber noch nicht final. Änderungen bis zum Go-live sind möglich.
  • Authentifizierung: Das Authentifizierungsverfahren für Hersteller (EU Login / eIDAS) ist noch nicht vollständig dokumentiert.
  • Test-Umgebung: Eine Sandbox-Umgebung ist für Beta-Partner zugänglich — SBOMfunk testet diese aktiv.
  • Produktionsumgebung: Geplanter Go-live: vor dem 11.09.2026. Genaues Datum steht noch aus.

Diese Seite wird regelmäßig mit dem aktuellen SRP-Status aktualisiert. Letztes Update: April 2026.

Der technische Meldeprozess: CSAF, API, Authentifizierung

Der technische Meldeprozess über die ENISA SRP folgt einem strukturierten Ablauf:

  • Schritt 1 — Schwachstelle identifizieren: Eine CVE in Ihrem Produkt wird als aktiv ausgenutzt klassifiziert (CISA-KEV-Eintrag oder nachgewiesene Exploitation in freier Wildbahn).
  • Schritt 2 — 24h-Frühwarnung übermitteln: Innerhalb von 24 Stunden muss eine strukturierte Frühwarnung über die SRP-API eingereicht werden. Pflichtfelder: Produkt-ID, CVE-ID, betroffene Versionen, erste Einschätzung des Impacts.
  • Schritt 3 — 72h-Notification: Detaillierter Bericht mit Impact-Analyse, betroffenen Kundengruppen und eingeleiteten Maßnahmen.
  • Schritt 4 — 14-Tage-Final-Report: Vollständige Meldung mit Behebungsplan, Patch-Status und Nachweis der Kundenkommunikation.

CSAF-Format: Was Hersteller wissen müssen

Die ENISA SRP erwartet Meldungen im CSAF-Format (Common Security Advisory Framework) — einem maschinenlesbaren JSON-Standard für Sicherheitshinweise.

CSAF-Dokumente enthalten strukturierte Informationen zu: betroffenen Produkten (nach CPE/PURL), Schwachstellendetails (CVE-ID, CVSS-Score), betroffenen Versionen und dem Behebungsstatus.

SBOMfunk generiert CSAF-konforme Meldungsvorlagen automatisch aus Ihrer SBOM und dem Vulnerability-Dashboard — kein manuelles Ausfüllen von JSON-Strukturen.

BSI-Meldeplattform vs. ENISA SRP: Die nationale Dimension

Deutsche Hersteller müssen zwischen zwei Meldestellen unterscheiden:

  • ENISA SRP (EU-Ebene): Pflichtmeldung für alle CRA-pflichtigen Hersteller, unabhängig vom Sitz. Empfänger: ENISA als EU-Behörde.
  • BSI-Meldeplattform (DE-Ebene): Die nationale Meldestelle des BSI erhält Kopien der ENISA-Meldungen für in Deutschland ansässige Hersteller. Der genaue Weiterleitmechanismus ist noch in Abstimmung.

Für die meisten deutschen Hersteller gilt: Eine Meldung an die ENISA SRP deckt beide Ebenen ab — das BSI erhält die Meldung automatisch weitergeleitet. Empfehlung: Prüfen Sie die finale BSI-Richtlinie vor dem 11.09.2026.

SBOMfunk testet die ENISA-SRP-Beta — unser aktueller Status

SBOMfunk ist einer der ersten deutschen Anbieter, der die ENISA-SRP-Beta-API aktiv testet. Unser Ziel: Am Tag X (11.09.2026) ist die Integration produktionsreif.

Was wir bisher validiert haben:

  • API-Authentifizierung über EU Login (Beta)
  • Strukturiertes Einreichen von CSAF-Frühwarnungen (24h-Format)
  • Automatische Befüllung der Pflichtfelder aus SBOM + CVE-Daten

Beta-Nutzer von SBOMfunk haben direkten Zugang zur SRP-Integration und können die Meldekette vollständig testen — bevor der Stichtag kommt.

FAQ: Häufige Fragen zur ENISA SRP

Wann ist die ENISA SRP produktionsreif?
ENISA plant den Go-live vor dem 11.09.2026. Ein genaues Datum ist Stand April 2026 noch nicht kommuniziert. SBOMfunk informiert Beta-Nutzer sobald der Go-live-Termin feststeht.

Was passiert, wenn die SRP am 11.09. noch nicht vollständig funktioniert?
ENISA hat signalisiert, dass ein alternatives Meldeverfahren (E-Mail an die nationale CSIRT) als Übergangsweg gilt, falls die SRP-API nicht verfügbar ist. Eine formelle Übergangslösung ist noch nicht verabschiedet.

Muss ich mich bei der ENISA SRP registrieren?
Ja. Hersteller müssen sich mit EU Login (dem zentralen EU-Authentifizierungsdienst) registrieren und ihre Produkte in der SRP hinterlegen. SBOMfunk unterstützt Sie bei diesem Onboarding-Prozess.

ENISA-SRP-Integration direkt nutzen

SBOMfunk baut die ENISA-SRP-Integration für Sie — testen Sie die Beta-Integration jetzt kostenlos.

Beta-Zugang sichernCRA-Pflicht-Check starten