CRA-kwetsbaarheidsadvies: sjabloon (gratis DOCX & PDF)
Published 11 jul 2026
By Orbiq Team

CRA-kwetsbaarheidsadvies: sjabloon (gratis DOCX & PDF)

Gratis CRA-sjabloon voor kwetsbaarheidsadviezen met CVE/EUVD-velden, CVSS v4.0-scoring, abonnee-notificatiemail en een ingevuld voorbeeldadvies. Zonder registratie.

CRA
Sjablonen
Productbeveiliging
Kwetsbaarheidsbeheer

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

CRA-kwetsbaarheidsadvies: sjabloon

Een CRA-sjabloon voor kwetsbaarheidsadviezen geeft uw beveiligingsteam een herhaalbare structuur voor de openbaarmakingen die de Cyber Resilience Act vereist zodra u een kwetsbaarheid verhelpt. Vanaf 11 september 2026 gelden voor fabrikanten van producten met digitale elementen bindende meldplichten onder Verordening (EU) 2024/2847 — en vanaf de volledige toepassing in december 2027 is het publiceren van informatie over verholpen kwetsbaarheden geen goede praktijk meer, maar een voorwaarde voor markttoegang. Dit gratis sjabloon voor beveiligingsadviezen wordt geleverd als DOCX, PDF en een door AI-agents leesbaar Markdown-bestand (de downloadbare bestanden zijn in het Engels), met elk veld dat een conform advies nodig heeft plus een volledig ingevuld voorbeeld.

Een CRA-conform kwetsbaarheidsadvies moet de verholpen kwetsbaarheid beschrijven, het getroffen product en de getroffen versies identificeren en gebruikers vertellen welke actie zij moeten ondernemen (bijlage I, deel II, punten 4 en 8, van Verordening (EU) 2024/2847). Een volledig advies voegt daaraan toe: een CVE- of EUVD-identificatie, een CVSS v4.0-score en -vector, herstelde versies, mitigaties of workarounds, de exploitatiestatus, een openbaarmakingstijdlijn, een updatelog en een beveiligingscontact. Wordt de kwetsbaarheid actief uitgebuit, dan loopt parallel een aparte regulatoire klok: vroegtijdige waarschuwing aan ENISA en uw coördinerende CSIRT binnen 24 uur, melding binnen 72 uur en een eindrapport binnen 14 dagen nadat een corrigerende maatregel beschikbaar is (artikel 14).

Belangrijkste punten

  • De vereisten voor kwetsbaarheidsafhandeling van de CRA staan in bijlage I, deel II; artikel 13 maakt naleving ervan een kernverplichting van de fabrikant, en artikel 14 voegt regulatoire melding toe voor actief uitgebuite kwetsbaarheden.
  • Twee verschillende klokken: het openbare advies is verschuldigd zodra een beveiligingsupdate beschikbaar is; melding onder artikel 14 (24 uur / 72 uur / 14 dagen via het centrale meldingsplatform van ENISA) treedt alleen in werking bij actief uitgebuite kwetsbaarheden.
  • Adviezen moeten zowel een CVE-ID als een EUVD-ID vermelden — de European Union Vulnerability Database van ENISA is nu de EU-eigen referentie voor zowel klanten als CSIRT's.
  • Artikel 14, lid 8, verplicht u getroffen gebruikers te informeren, 'waar passend in een gestructureerd, machine-leesbaar formaat' — de velden van dit sjabloon sluiten aan op CSAF 2.0, de OASIS-standaard voor machine-leesbare adviezen.
  • Boetes voor schending van de artikelen 13/14 of bijlage I lopen op tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet, indien dat hoger is.

Wat er in het sjabloon zit

Het sjabloon volgt de veldenset van volwassen productbeveiligingsteams en dekt alles wat bijlage I, deel II, verwacht, in de volgorde die uw lezers nodig hebben:

VeldWat het vastlegtWaarom het belangrijk is
Advies-IDUw interne identificatie (bijv. ACME-SA-2026-001)Stabiele referentie in updates, e-mails en CSAF-documenten
TitelSamenvatting van één regel met product en type foutHet eerste wat klanten en aggregators indexeren
CVE- / EUVD-IDCVE-YYYY-NNNNN en EUVD-YYYY-NNNNNKruisverwijzing naar de NVD en de EUVD van ENISA
CVSS v4.0-score + vectorNumerieke score, ernstcategorie, volledige vectorstringObjectieve ernst; stuurt de patch-SLA's van klanten
Getroffen producten en versiesProductnamen, versiebereiken, deploymentmodellenBijlage I, deel II, vereist dat gebruikers getroffen producten kunnen identificeren
Herstelde versiesEerste gepatchte release per getroffen lijnHet actiedoel van het hele advies
Mitigaties en workaroundsTussentijdse maatregelen wanneer patchen vertraging oplooptDe vereiste 'mogelijk te ondernemen actie' (bijlage I, deel II, punt 8)
ImpactWat een aanvaller kan bereiken, randvoorwaardenLaat klanten hun eigen risicobeoordeling doen
ExploitatiestatusNiets bekend / PoC gepubliceerd / actief uitgebuitBepaalt of melding onder artikel 14 is geactiveerd
TijdlijnMelding ontvangen → triage → fix → openbaarmakingsdataBewijs van afhandeling 'zonder vertraging'; wekt vertrouwen bij onderzoekers
UpdatelogGedateerde revisiehistorie van het adviesToont dat het advies wordt onderhouden, niet losgelaten na publicatie
Contact en PGP-sleutelBeveiligingscontactadres en encryptiesleutelBijlage I, deel II, vereist een contactadres voor kwetsbaarheidsmeldingen

De Markdown-variant bevat daarnaast velddefinities, een ernstschaal, een enum voor de exploitatiestatus, lifecycle-statussen van adviezen, een e-mailvariant voor abonnee-notificaties en een volledig ingevuld fictief voorbeeld — zodat zowel uw team als uw AI-tooling op basis van één bestand een volledig advies kan opstellen.

Zo gebruikt u het sjabloon

  1. Trieer de melding. Log de ontvangstdatum, bevestig de kwetsbaarheid en ken uw interne advies-ID toe. Vraag een CVE-ID aan (via uw CNA of MITRE) en noteer de EUVD-ID zodra die is toegekend.
  2. Scoor de kwetsbaarheid. Bereken de CVSS v4.0-basisscore en leg de volledige vectorstring vast; vul het veld exploitatiestatus eerlijk in — het stuurt alles wat volgt.
  3. Controleer de regulatoire trigger. Wordt de kwetsbaarheid actief uitgebuit, dan beginnen de plichten van artikel 14 nu: vroegtijdige waarschuwing binnen 24 uur via het centrale meldingsplatform, melding binnen 72 uur, eindrapport binnen 14 dagen nadat een corrigerende maatregel beschikbaar is. Het openbare advies is een aparte deliverable met een aparte klok.
  4. Eerst fixen, dan opstellen. Bereid het advies voor terwijl aan de fix wordt gewerkt, maar publiceer pas zodra de beveiligingsupdate beschikbaar is — dat is het openbaarmakingsmoment waaraan bijlage I, deel II, is verankerd. Coördineer het embargo met de melder volgens uw beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD).
  5. Eerst abonnees informeren, dan publiceren. Verstuur de abonnee-notificatiemail (opgenomen in het sjabloon) aan beveiligingscontacten en Trust Center-abonnees op of vlak vóór publicatie, en plaats het advies daarna openbaar. Artikel 14, lid 8, vereist afzonderlijk dat getroffen gebruikers worden geïnformeerd over actief uitgebuite kwetsbaarheden en mitigerende maatregelen — het CSIRT kan dat, openbaar, voor u doen als u het nalaat.
  6. Onderhoud het updatelog. Elke wezenlijke wijziging — nieuwe getroffen versies, waargenomen exploitatie, herziene mitigaties — krijgt een gedateerde vermelding. Sluit het advies pas wanneer alle ondersteunde lijnen zijn hersteld.

Meldplicht versus openbaar advies — het onderscheid waar teams over struikelen

De meeste kwetsbaarheden die u verhelpt, zullen het platform van ENISA nooit raken. Artikel 14 dekt actief uitgebuite kwetsbaarheden (en ernstige incidenten); bijlage I, deel II, dekt elke verholpen kwetsbaarheid. Richt uw workflow zo in dat het adviessjabloon het standaardpad is, met de escalatie van artikel 14 erop aangesloten zodra er bewijs van exploitatie opduikt — niet andersom.

Juridische grondslag

  • Verordening (EU) 2024/2847 (Cyber Resilience Act), artikel 13 — fabrikanten moeten kwetsbaarheden afhandelen 'in overeenstemming met de vereisten voor kwetsbaarheidsafhandeling in deel II van bijlage I' gedurende de gehele ondersteuningsperiode, en moeten een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden voeren.
  • Bijlage I, deel II — de vereisten voor kwetsbaarheidsafhandeling: kwetsbaarheden identificeren en documenteren (inclusief een SBOM die ten minste de top-level-afhankelijkheden dekt, punt 1); zodra een beveiligingsupdate beschikbaar is, informatie over verholpen kwetsbaarheden delen en openbaar maken, inclusief een beschrijving en informatie waarmee gebruikers het getroffen product kunnen identificeren (punt 4); een CVD-beleid handhaven (punt 5); een contactadres bieden voor kwetsbaarheidsmeldingen; en gratis beveiligingsupdates zonder vertraging verspreiden, vergezeld van adviesberichten met relevante informatie en mogelijk te ondernemen actie (punt 8).
  • Artikel 14 — melding van actief uitgebuite kwetsbaarheden aan het als coördinator aangewezen CSIRT en ENISA via het centrale meldingsplatform dat op grond van artikel 16 is opgezet: vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport uiterlijk 14 dagen nadat een corrigerende maatregel beschikbaar is. Artikel 14, lid 8, vereist dat getroffen gebruikers worden geïnformeerd, waar passend in een gestructureerd, machine-leesbaar formaat. Deze verplichtingen gelden vanaf 11 september 2026; de belangrijkste CRA-verplichtingen gelden vanaf 11 december 2027.
  • Machine-leesbare adviezen — de CRA noemt geen formaat, maar CSAF 2.0 (Common Security Advisory Framework, een OASIS-standaard) is de gevestigde standaard voor gestructureerde adviezen, gebruikt door CISA en grote leveranciers. De velden van dit sjabloon corresponderen met CSAF-documenteigenschappen, waardoor een latere CSAF-migratie mechanisch blijft.
  • Sancties — niet-naleving van de essentiële eisen van bijlage I of van de artikelen 13/14 kan boetes opleveren tot 15 miljoen euro of 2,5% van de totale wereldwijde jaaromzet (artikel 64).

Voor het volledige beeld van de fabrikantverplichtingen, zie onze gidsen over de Cyber Resilience Act en CRA-artikelen 13 en 14.

Verenigd Koninkrijk en Noorwegen/EER

VK: het regime van de Product Security and Telecommunications Infrastructure (PSTI) Act 2022, van kracht sinds 29 april 2024, verplicht fabrikanten van verbonden consumentenproducten die in het VK worden verkocht om een beleid voor het melden van kwetsbaarheden te publiceren met een meldcontact — de velden contact, tijdlijn en updatelog van dit sjabloon doen daar dubbel dienst, al vereist PSTI daarnaast het beleidsdocument zelf en een gedeclareerde periode voor beveiligingsupdates. Noorwegen/EER: de CRA is aangemerkt als EER-relevant en zal naar verwachting in de EER-overeenkomst worden opgenomen; Noorse, IJslandse en Liechtensteinse fabrikanten die aan de interne markt van de EU verkopen, vallen in de praktijk hoe dan ook binnen de reikwijdte, omdat de CRA aangrijpt op producten die op de EU-markt worden aangeboden.

Publiceer adviezen waar uw klanten al kijken

Een advies dat niemand ziet, mist zijn doel. Orbiq Trust Updates publiceert uw beveiligingsadviezen en incidentmeldingen rechtstreeks in uw Trust Center, informeert geabonneerde klanten automatisch en houdt het gedateerde updatelog bij dat de CRA verwacht — zo wordt een complianceplicht een zichtbaar vertrouwenssignaal. Gerelateerd: wat een Trust Center is en hoe de NIS2-incidentmeldplichten samenhangen met klantnotificatie.


Bronnen en verwijzingen

  1. Verordening (EU) 2024/2847 (Cyber Resilience Act) — volledige tekst — Publicatieblad van de Europese Unie.
  2. Europese Commissie — CRA-meldplichten — het centrale meldingsplatform en de termijnen van artikel 14.
  3. Europese Commissie — beleidspagina Cyber Resilience Act — inwerkingtreding en toepassingsdata.
  4. ENISA — European Union Vulnerability Database (EUVD) — EU-kwetsbaarheidsrecords en EUVD-identificaties.
  5. Richtlijn (EU) 2022/2555 (NIS2), artikel 12 — rechtsgrondslag voor de Europese kwetsbaarhedendatabase.
  6. OASIS — Common Security Advisory Framework (CSAF) v2.0 — standaard voor machine-leesbare beveiligingsadviezen.
  7. FIRST — CVSS v4.0-specificatie — scoring en ernstcategorieën.
  8. UK Product Security and Telecommunications Infrastructure Act 2022 — het Britse productbeveiligingsregime.
  9. ENISA — Cyber Resilience Act Requirements Standards Mapping — mapping van CRA-vereisten op bestaande standaarden.

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

Veelgestelde vragen

Wat moet een beveiligingsadvies bevatten onder de Cyber Resilience Act?

Bijlage I, deel II, van de CRA verplicht fabrikanten om informatie over verholpen kwetsbaarheden openbaar te maken zodra een beveiligingsupdate beschikbaar is, waaronder een beschrijving van de kwetsbaarheid en informatie waarmee gebruikers het getroffen product kunnen identificeren. Beveiligingsupdates moeten bovendien vergezeld gaan van adviesberichten die gebruikers vertellen welke actie zij moeten ondernemen. In de praktijk voegt een volledig advies een CVE- of EUVD-identificatie, een CVSS-score, getroffen en herstelde versies, mitigaties en de exploitatiestatus toe.

Wanneer gaan de CRA-meldplichten voor kwetsbaarheden gelden?

De meldplichten van artikel 14 van Verordening (EU) 2024/2847 gelden vanaf 11 september 2026 — ook voor producten die al op de markt zijn. De belangrijkste CRA-verplichtingen, zoals de essentiële cyberbeveiligingseisen en de CE-markering, gelden volledig vanaf 11 december 2027.

Wat is het verschil tussen melding onder CRA-artikel 14 en een openbaar beveiligingsadvies?

Melding onder artikel 14 is een regulatoire kennisgeving: actief uitgebuite kwetsbaarheden moeten binnen 24 uur worden gemeld aan het als coördinator aangewezen CSIRT en ENISA via het centrale meldingsplatform, met een vervolgmelding binnen 72 uur en een eindrapport binnen 14 dagen nadat een corrigerende maatregel beschikbaar is. Een openbaar beveiligingsadvies is de op gebruikers gerichte openbaarmaking die bijlage I, deel II, vereist zodra een fix is uitgebracht. De meeste kwetsbaarheden activeren artikel 14 nooit — maar elke verholpen kwetsbaarheid heeft een advies nodig.

Wat is de EUVD en moet ik ernaar verwijzen in adviezen?

De European Union Vulnerability Database (EUVD) is de openbare kwetsbaarhedendatabase van ENISA, verplicht gesteld door artikel 12, lid 2, van de NIS2-richtlijn en gelanceerd in mei 2025. Ze kent identificaties toe in het formaat EUVD-YYYY-NNNNN. Door de EUVD-ID naast de CVE-ID te vermelden, kunnen Europese klanten en CSIRT's uw advies gemakkelijker correleren.

Moet ik adviezen in CSAF-formaat publiceren voor de CRA?

De CRA schrijft geen specifiek adviesformaat voor, maar artikel 14, lid 8, bepaalt dat gebruikersinformatie waar passend in een gestructureerd, machine-leesbaar formaat moet worden verstrekt. CSAF 2.0 — de OASIS-standaard voor machine-leesbare beveiligingsadviezen — is daarop het feitelijke antwoord. De veldstructuur van dit sjabloon sluit naadloos aan op CSAF-documenteigenschappen, zodat u later CSAF kunt invoeren zonder uw proces te herstructureren.

Werkt dit kwetsbaarheidsadvies-sjabloon ook voor de Britse PSTI-regelgeving?

Gedeeltelijk. Het Britse PSTI-regime, van kracht sinds 29 april 2024, verplicht fabrikanten van verbonden consumentenproducten om een beleid voor het melden van kwetsbaarheden te publiceren, met een meldcontact en statusupdates voor melders. De velden contact, tijdlijn en updatelog van dit sjabloon ondersteunen dat, maar PSTI-naleving vereist daarnaast het beleidsdocument zelf en een vermelde periode voor beveiligingsupdates.

CRA-kwetsbaarheidsadvies: sjabloon (gratis DOCX & PDF)