Zum Hauptinhalt springen
Zurück zur Übersicht

Die EU-Schwachstellendatenbank und NIS2-Meldung: ein MSP-Leitfaden

Von NIS2Certify
nis2schwachstellenoffenlegungeuvdmsplieferkette
Die EU-Schwachstellendatenbank und NIS2-Meldung: ein MSP-Leitfaden

Im Mai 2025 schaltete ENISA still und leise die Europäische Schwachstellendatenbank ein. Ab September 2026 ist deren Befüllung für eine große Gruppe von Anbietern nicht mehr freiwillig. Wenn Ihre Kunden ICT-Produkte bauen, weiterverkaufen oder integrieren, steht diese Frist jetzt auf Ihrer Roadmap — ob sie es wissen oder nicht.

Die meisten NIS2-Gespräche drehen sich noch um Risikoregister und Vorfallmeldung. Die Maschinerie der koordinierten Schwachstellenoffenlegung unter Artikel 12 wird ignoriert. Das ist ein Fehler. Es ist der Teil von NIS2, der still und leise verändert, wie Ihre Kunden von Fehlern in den Produkten erfahren, die sie betreiben, und wie ihre eigenen Produkte gemeldet werden, wenn etwas schiefgeht.

Dies ist ein praktischer Leitfaden für Berater, MSPs und vCISOs: was die EUVD ist, was die Meldepflicht ab September 2026 tatsächlich verlangt, und wie Sie koordinierte Schwachstellenoffenlegung für Kunden operationalisieren, die nie darüber nachgedacht haben.

Die EUVD ist die EU-Antwort auf einen einzelnen Ausfallpunkt

Zwei Jahrzehnte lang lief die weltweite Schwachstellenverfolgung über ein einziges US-finanziertes Programm: das CVE-System. Anfang 2025 wankte diese Finanzierung. Das CVE-Programm stand wenige Tage vor einem Aussetzen, bevor eine Verlängerung in letzter Minute folgte. Europa bemerkte das.

ENISAs Europäische Schwachstellendatenbank — die EUVD — ist die strukturelle Antwort. Sie ging im Mai 2025 als Vorgabe unter NIS2 Artikel 12 live. Sie ist kein Ersatz für CVE; sie übernimmt CVE-Einträge, Anbieterhinweise und CISAs Known-Exploited-Vulnerabilities-Katalog und legt EU-spezifischen Kontext darüber.

Das praktische Ergebnis sind drei Dashboard-Ansichten, die Ihre Kunden heute kostenlos nutzen können:

  • Kritische Schwachstellen — Fehler mit schwerwiegenden Auswirkungen.
  • Ausgenutzte Schwachstellen — was gerade aktiv in Angriffen verwendet wird.
  • EU-koordinierte Schwachstellen — Fehler, die über europäische CSIRTs bearbeitet werden.

Die Ansicht „ausgenutzt" zählt operativ am meisten. Sie sagt einem Kunden, welche der Tausenden monatlichen CVEs tatsächlich als Waffe eingesetzt werden — das ist der Unterschied zwischen einem Patch-Rückstand und einer Feuerübung.

Artikel 12 schafft eine Meldepipeline, nicht nur eine Datenbank

Die Datenbank ist der sichtbare Teil. Der zugrunde liegende Mechanismus ist die koordinierte Schwachstellenoffenlegung, und sie verändert, mit wem Ihre Kunden sprechen, wenn sie einen Fehler finden.

Jeder Mitgliedstaat hat eines seiner CSIRTs als nationalen CVD-Koordinator benannt. Dieser Koordinator leistet konkrete Arbeit: er identifiziert und kontaktiert die von einer gemeldeten Schwachstelle betroffenen Einrichtungen, unterstützt den meldenden Forscher, verhandelt eine Offenlegungsfrist und behandelt Fehler, die mehrere Organisationen gleichzeitig treffen. ENISA steht darüber als Sekretariat des EU CSIRTs Network und koordiniert grenzüberschreitend, wenn ein einzelner Fehler Einrichtungen in mehreren Ländern bedroht.

Für einen Berater ist die Schlussfolgerung konkret. Wenn der Sicherheitsforscher eines Kunden — oder ein Kunde oder ein Bug-Bounty-Teilnehmer — einen Fehler im Produkt des Kunden meldet, gibt es jetzt einen definierten Kanal und eine definierte Gegenpartei. „Wir finden schon heraus, wen wir informieren müssen" ist keine akzeptable Antwort mehr.

NIS2 Zeitplan für die Vorfallmeldung

24h

Frühwarnung

Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).

72h

Vorfallmeldung

Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.

1mo

Abschlussbericht

Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

September 2026: Die Meldung aktiv ausgenutzter Schwachstellen wird verpflichtend

Hier ist das Datum, das Sie Kunden vorlegen sollten. Ab September 2026 wird die Meldung aktiv ausgenutzter Schwachstellen für Hersteller von ICT-Produkten verpflichtend.

Diese Pflicht trifft nicht jede NIS2-Einrichtung gleichermaßen. Sie richtet sich an die Anbieter — die Organisationen, die Software und vernetzte Hardware bauen und ausliefern. Aber die Reichweite ist größer, als die meisten Kunden annehmen, weil sie durch die Lieferkette wandert. Ein MSP, der eine Individualintegration entwickelt, ein SaaS-Anbieter, der als wichtige Einrichtung in den Anwendungsbereich fällt, ein Hersteller, der Firmware in ein Gerät einbettet — sie alle können eine Meldepflicht tragen.

Die Anforderung ist eng, aber scharf. Es heißt nicht „melde jede CVE." Es heißt: wenn Sie wissen, dass eine Schwachstelle in Ihrem Produkt aktiv ausgenutzt wird, melden Sie sie. Diese Unterscheidung — aktiv ausgenutzt, nicht nur entdeckt — macht den Feed ausgenutzter Schwachstellen der EUVD zum operativen Rückgrat der Pflicht.

Für Kunden, die Produkte ausliefern, brauchen drei Fragen vor September 2026 eine Antwort:

  1. Wer innerhalb der Organisation ist verantwortlich für die Entscheidung, dass eine Schwachstelle „aktiv ausgenutzt" wird?
  2. Wie lautet der Meldeweg zum zuständigen CSIRT, und ist er getestet?
  3. Wie schnell kann die Organisation von internem Wissen zur formellen Meldung gelangen?

Wenn ein Kunde diese drei Fragen heute nicht beantworten kann, ist das die Lücke, die zu schließen ist.

Wie die Meldepflicht durch die Lieferkette kaskadiert

NIS2 wurde bewusst so gebaut, dass Pflichten nicht bei der in den Anwendungsbereich fallenden Einrichtung enden. Die Lieferkettenanforderungen von Artikel 21 übertragen Sicherheitserwartungen auf Lieferanten, und die koordinierte Schwachstellenoffenlegung fährt mit.

Ein praktisches Beispiel: eine wesentliche Einrichtung im Energiesektor betreibt eine SCADA-Komponente eines mittelgroßen Anbieters. Dieser Anbieter ist möglicherweise selbst keine NIS2-Einrichtung. Aber die Artikel-21-Pflichten des Energiebetreibers bedeuten, dass der Betreiber Lieferkettenrisiken managen muss — was zunehmend bedeutet, vom Anbieter einen funktionierenden CVD-Prozess und die Meldung ausgenutzter Fehler zu verlangen. Die Pflicht kaskadiert per Vertrag, auch wo sie gesetzlich nicht gilt.

NIS2-Sanktionseskalation — Jenseits der Geldbuße

!

Auslöser

Non-Compliance erkannt oder Vorfall tritt ein

Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht

Behörden können verhängen
Nicht-finanzielle Sanktionen
1

Anordnungen mit bindenden Fristen

2

Verpflichtende Sicherheitsaudits auf eigene Kosten

3

Öffentliche Bekanntmachung von Verstößen

4

Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen

Eskaliert zu
Betriebliche und persönliche Konsequenzen
1

Aussetzung von Zertifizierungen oder Betriebsgenehmigungen

2

Vorübergehendes Verbot von Leitungsfunktionen für Personen

3

Öffentliche Benennung verantwortlicher natürlicher Personen

Auslöser
Nicht-finanziell
Betrieblich / persönlich

Hier verdienen Berater ihr Honorar. Die Arbeit besteht nicht darin, Kunden die Richtlinie vorzulesen. Sie besteht darin, zu kartieren, welche Lieferanten eines Kunden Schwachstellenmeldeerwartungen tragen, diese Erwartungen in Verträge zu bringen und dem Kunden eine Möglichkeit zu geben, ihre Einhaltung zu überprüfen.

Was „CVD operationalisieren" für einen MSP tatsächlich bedeutet

Für MSPs, die Infrastruktur im Auftrag von Kunden betreiben, verändert die EUVD den täglichen Schwachstellenmanagement-Workflow. Drei konkrete Verschiebungen:

Monitoring. Fügen Sie den EUVD-Feed ausgenutzter Schwachstellen zu den Quellen hinzu, die Sie bereits beobachten. Er enthält EU-spezifische Hinweise und Ausnutzungsmarkierungen, die ein US-zentrierter Feed möglicherweise später oder gar nicht anzeigt. Für europäische Kunden liegt das näher an der Risikosicht der Aufsichtsbehörden selbst.

Intake. Jeder Kunde, der ein Produkt ausliefert, braucht einen veröffentlichten Weg, um Schwachstellenmeldungen zu empfangen — eine security.txt-Datei, eine Melde-E-Mail-Adresse, einen definierten Kontakt. Dies ist die günstigste, wertvollste Maßnahme, die Sie umsetzen können, und die meisten KMU-Kunden haben sie nicht.

Triage und Meldung. Definieren Sie schriftlich die Schwelle und den Weg. Wenn ein gemeldeter Fehler als aktiv ausgenutzt bestätigt wird, wer entscheidet, wer meldet dem CSIRT, und innerhalb welchen Zeitfensters. Dokumentieren Sie es, bevor Sie es brauchen.

Nichts davon ist exotisch. Es ist dieselbe Disziplin wie die Vorfallreaktion, angewandt auf Schwachstellen statt auf Verstöße. Die Kunden, die 2026 Schwierigkeiten bekommen, sind diejenigen, die Meldung als Nebensache behandeln.

Wo dies in ein Readiness-Assessment passt

Koordinierte Schwachstellenoffenlegung ist kein eigenständiges Projekt. Es ist ein messbarer Teil der gesamten NIS2-Compliance-Haltung eines Kunden, neben Vorfallmeldung, Lieferkettenkontrollen und den Artikel-21-Maßnahmen.

Wenn Sie dieses Jahr eine Gap-Analyse für einen Kunden durchführen, gehören drei CVD-spezifische Prüfungen auf die Liste: überwachen sie die EUVD oder einen gleichwertigen EU-bewussten Feed, haben sie einen funktionierenden Intake-Kanal für eingehende Meldungen, und — für Produktanbieter — haben sie einen getesteten Weg, ausgenutzte Schwachstellen vor September 2026 zu melden.

Sie können diese Lücken schnell kartieren. Unser NIS2 Quick Scan markiert genau, wo die Schwachstellen- und Lieferkettenhaltung eines Kunden hinterherhinkt, sodass Sie direkt zur Behebung übergehen können, statt von einem leeren Blatt zu beginnen.

Die Frist ist real und die Datenbank existiert bereits

Die EUVD ist kein Vorschlag. Sie ist live, kostenlos, und Ihre Kunden können sie morgen nutzen. Die Herstellermeldepflicht ab September 2026 ist auch keine Konsultation — es ist ein Datum.

Die Berater, die hier vorausgehen, werden 2026 damit verbringen, Kunden beim Aufbau funktionierender Meldeprozesse zu helfen. Die anderen werden es damit verbringen, Kunden zu erklären, warum niemand sie gewarnt hat. Die Arbeit ist geradlinig. Das Zeitfenster ist nicht unbegrenzt.

Für das größere Bild, wie diese Pflichten zusammenhängen, siehe unsere Leitfäden zu NIS2 Supply Chain Security und den Artikel 21 zehn Maßnahmen.