De EU-kwetsbaarhedendatabase en NIS2-melding: een MSP-gids

In mei 2025 zette ENISA stilletjes de Europese kwetsbaarhedendatabase aan. Vanaf september 2026 is het aanleveren ervan niet langer optioneel voor een grote groep leveranciers. Als uw klanten ICT-producten bouwen, doorverkopen of integreren, staat die deadline nu op uw planning — of ze het nu weten of niet.
De meeste NIS2-gesprekken draaien nog om risicoregisters en incidentmelding. De machinerie voor gecoördineerde kwetsbaarhedenmelding onder Artikel 12 wordt genegeerd. Dat is een fout. Het is het deel van NIS2 dat stilletjes verandert hoe uw klanten te weten komen van fouten in de producten die ze draaien, en hoe hun eigen producten worden gemeld als er iets misgaat.
Dit is een praktische handleiding voor consultants, MSP's en vCISO's: wat de EUVD is, wat de meldingsplicht van september 2026 daadwerkelijk vereist, en hoe u gecoördineerde kwetsbaarhedenmelding operationeel maakt voor klanten die er nooit over hebben nagedacht.
De EUVD is het EU-antwoord op één enkel faalpunt
Twintig jaar lang liep de wereldwijde kwetsbaarhedenregistratie via één door de VS gefinancierd programma: het CVE-systeem. Begin 2025 wankelde die financiering. Het CVE-programma stond op dagen van een onderbreking voordat een verlenging op het laatste moment volgde. Europa merkte dat op.
ENISA's Europese kwetsbaarhedendatabase — de EUVD — is het structurele antwoord. Hij ging live in mei 2025 als verplichting onder NIS2 Artikel 12. Het is geen vervanging van CVE; het neemt CVE-records, leveranciersadviezen en de Known Exploited Vulnerabilities-catalogus van CISA op, en legt daar EU-specifieke context bovenop.
Het praktische resultaat zijn drie dashboardweergaven die uw klanten vandaag gratis kunnen gebruiken:
- Kritieke kwetsbaarheden — fouten met ernstige impact.
- Geëxploiteerde kwetsbaarheden — wat op dit moment actief in aanvallen wordt gebruikt.
- EU-gecoördineerde kwetsbaarheden — fouten die via Europese CSIRT's worden afgehandeld.
De weergave "geëxploiteerd" telt operationeel het zwaarst. Hij vertelt een klant welke van de duizenden maandelijkse CVE's daadwerkelijk worden ingezet als wapen — en dat is het verschil tussen een patchachterstand en een brandoefening.
Artikel 12 creëert een meldingspijplijn, niet alleen een database
De database is het zichtbare deel. Het onderliggende mechanisme is gecoördineerde kwetsbaarhedenmelding, en het verandert met wie uw klanten praten als ze een fout vinden.
Elke lidstaat heeft een van zijn CSIRT's aangewezen als nationale CVD-coördinator. Die coördinator doet specifiek werk: het identificeert en benadert de entiteiten die door een gemelde kwetsbaarheid worden geraakt, ondersteunt de onderzoeker die deze meldde, onderhandelt over een openbaarmakingstermijn en behandelt fouten die meerdere organisaties tegelijk raken. ENISA staat hierboven als secretariaat van het EU CSIRTs Network, en coördineert grensoverschrijdend wanneer één fout entiteiten in meerdere landen bedreigt.
Voor een consultant is de conclusie concreet. Wanneer de beveiligingsonderzoeker van een klant — of een klant, of een bug bounty-deelnemer — een fout in het product van de klant meldt, is er nu een gedefinieerd kanaal en een gedefinieerde tegenpartij. "We zoeken wel uit wie we moeten waarschuwen" is geen aanvaardbaar antwoord meer.
NIS2 Incidentmeldingstijdlijn
24hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 172hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 21moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 324hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
September 2026: het melden van actief geëxploiteerde kwetsbaarheden wordt verplicht
Hier is de datum om aan klanten voor te leggen. Vanaf september 2026 wordt het melden van actief geëxploiteerde kwetsbaarheden verplicht voor fabrikanten van ICT-producten.
Deze verplichting landt niet op elke NIS2-entiteit even hard. Hij richt zich op de leveranciers — de organisaties die software en verbonden hardware bouwen en uitleveren. Maar het bereik is breder dan de meeste klanten aannemen, omdat het door de toeleveringsketen reist. Een MSP die een maatwerkintegratie ontwikkelt, een SaaS-leverancier die in scope valt als belangrijke entiteit, een fabrikant die firmware in een apparaat inbouwt — allemaal kunnen ze een meldingsplicht dragen.
De eis is smal maar scherp. Het is niet "meld elke CVE." Het is: wanneer u weet dat een kwetsbaarheid in uw product actief wordt geëxploiteerd, meldt u dit. Dat onderscheid — actief geëxploiteerd, niet slechts ontdekt — maakt de feed met geëxploiteerde kwetsbaarheden van de EUVD tot de operationele ruggengraat van de verplichting.
Voor klanten die producten uitleveren, hebben drie vragen een antwoord nodig vóór september 2026:
- Wie binnen de organisatie is verantwoordelijk om te besluiten dat een kwetsbaarheid "actief wordt geëxploiteerd"?
- Wat is het meldingspad naar het relevante CSIRT, en is het getest?
- Hoe snel kan de organisatie van interne kennis naar formele melding gaan?
Als een klant deze drie vragen vandaag niet kan beantwoorden, is dat het gat dat moet worden gedicht.
Hoe de meldingsplicht door de toeleveringsketen cascadeert
NIS2 is bewust zo gebouwd dat verplichtingen niet stoppen bij de entiteit in scope. De toeleveringsketeneisen van Artikel 21 leggen beveiligingsverwachtingen op aan leveranciers, en gecoördineerde kwetsbaarhedenmelding reist mee.
Een praktisch voorbeeld: een essentiële entiteit in de energiesector draait een SCADA-component van een middelgrote leverancier. Die leverancier is misschien zelf geen NIS2-entiteit. Maar de Artikel 21-verplichtingen van de energie-exploitant betekenen dat de exploitant toeleveringsketenrisico moet beheren — wat steeds vaker betekent dat van de leverancier wordt geëist een werkend CVD-proces te hebben en geëxploiteerde fouten te melden. De verplichting cascadeert via contract, ook waar ze niet wettelijk van toepassing is.
NIS2-sanctie-escalatie — Voorbij de boete
!Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen▼Niet-financiële sancties1Nalevingsbevelen met bindende deadlines
2Verplichte security-audits op eigen kosten
3Publieke bekendmaking van overtredingen
4Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar▼Operationele en persoonlijke gevolgen1Opschorting van certificeringen of vergunningen
2Tijdelijk verbod op bestuursfuncties voor personen
3Publieke benoeming van verantwoordelijke natuurlijke personen
AanleidingNiet-financieelOperationeel / persoonlijk
Hier verdienen consultants hun honorarium. Het werk is niet de richtlijn aan klanten voorlezen. Het is in kaart brengen welke leveranciers van een klant kwetsbaarhedenmeldingsverwachtingen dragen, die verwachtingen in contracten krijgen, en de klant een manier geven om te verifiëren dat eraan wordt voldaan.
Wat "CVD operationeel maken" daadwerkelijk betekent voor een MSP
Voor MSP's die infrastructuur namens klanten beheren, verandert de EUVD de dagelijkse workflow voor kwetsbaarhedenbeheer. Drie concrete verschuivingen:
Monitoring. Voeg de EUVD-feed met geëxploiteerde kwetsbaarheden toe aan de bronnen die u al volgt. Hij bevat EU-specifieke adviezen en exploitatiemarkeringen die een VS-gerichte feed mogelijk later of helemaal niet toont. Voor Europese klanten staat dit dichter bij de risicovisie van de toezichthouders zelf.
Intake. Elke klant die een product uitlevert, heeft een gepubliceerde manier nodig om kwetsbaarhedenmeldingen te ontvangen — een security.txt-bestand, een meldingsmailadres, een gedefinieerd contact. Dit is de goedkoopste, meest waardevolle maatregel die u kunt implementeren, en de meeste mkb-klanten hebben hem niet.
Triage en melding. Definieer, schriftelijk, de drempel en het pad. Wanneer een gemelde fout wordt bevestigd als actief geëxploiteerd, wie beslist, wie meldt aan het CSIRT, en binnen welk venster. Documenteer het voordat u het nodig heeft.
Niets hiervan is exotisch. Het is dezelfde discipline als incidentrespons, toegepast op kwetsbaarheden in plaats van inbreuken. De klanten die het in 2026 moeilijk krijgen, zijn degenen die melding als bijzaak behandelen.
Waar dit past in een readiness-assessment
Gecoördineerde kwetsbaarhedenmelding is geen op zichzelf staand project. Het is één meetbaar onderdeel van de algehele NIS2-compliancepositie van een klant, naast incidentmelding, toeleveringsketenmaatregelen en de Artikel 21-maatregelen.
Als u dit jaar een gap-analyse voor een klant uitvoert, horen drie CVD-specifieke controles op de lijst: monitoren ze de EUVD of een gelijkwaardige EU-bewuste feed, hebben ze een werkend intakekanaal voor inkomende meldingen, en — voor productleveranciers — hebben ze een getest pad om geëxploiteerde kwetsbaarheden te melden vóór september 2026.
U kunt deze gaten snel in kaart brengen. Onze NIS2 quick scan markeert precies waar de kwetsbaarheden- en toeleveringsketenpositie van een klant tekortschiet, zodat u direct naar remediëring kunt gaan in plaats van vanaf een leeg blad te beginnen.
De deadline is echt en de database bestaat al
De EUVD is geen voorstel. Hij is live, gratis, en uw klanten kunnen hem morgen gebruiken. De meldingsplicht voor fabrikanten van september 2026 is ook geen consultatie — het is een datum.
De consultants die hierop voorlopen, besteden 2026 aan het helpen van klanten bij het bouwen van werkende meldingsprocessen. Degenen die dat niet doen, besteden het aan het uitleggen aan klanten waarom niemand hen had gewaarschuwd. Het werk is rechttoe rechtaan. Het venster is niet onbeperkt.
Voor het bredere plaatje van hoe deze verplichtingen samenhangen, zie onze gidsen over NIS2 supply chain security en de Artikel 21 tien maatregelen.
