Независимо ръководство за Регламент (ЕС) 2024/2847 · Състояние: в сила
Тази страница е автоматичен превод (с ИИ) и не е прегледана от човек.
Разбиране на CRA · Докладване

Докладване на инциденти и уязвимости по CRA

От 11 септември 2026 г. производителите трябва да докладват активно експлоатирани уязвимости и тежки инциденти съгласно член 14; какво да се докладва, сроковете от 24 часа, 72 часа и 14 дни, и до кого се изпраща.

Приблизително 8 мин. четенеЧлен 14 · 16Прилага се от 11 септември 2026 г.

01Какво трябва да се докладва

Член 14 от Акт за киберустойчивост създава две различни задължения за докладване за производителите на продукти с цифрови елементи. Те са по-тесни, отколкото изглеждат на пръв поглед: рутинните грешки и обичайните поправки не попадат в обхвата. Чл. 14

  • Активно експлоатирани уязвимости; уязвимост в продукта ви, която се използва в атака. Уязвимост, която откривате и поправяте, преди да бъде експлоатирана, се обработва чрез обичайния ви процеса за управление на уязвимости, а не чрез този канал за докладване.
  • Тежки инциденти; инцидент, който оказва тежко въздействие върху сигурността на продукта, например такъв, който нарушава поверителността, целостта или наличността за потребителите.
Тестът

Ако дадена уязвимост в сигурността на вашия продукт се експлоатира активно или даден инцидент в сигурността го е засегнал тежко, часовникът по член 14 започва да тече. Всичко останало остава в рамките на ежедневното управление на уязвимости.

02Трите срока

Всеки доклад се развива в три етапа, измерени от момента, в който узнаете на експлоатираната уязвимост или тежкия инцидент. Прозорците са тесни, затова готовността е по-важна от самия процес в деня на събитието. Чл. 14(2)–(4)

  • В рамките на 24 ч.Ранно предупреждение. Първо уведомление, че е настъпила активно експлоатирана уязвимост или тежък инцидент, включително дали се подозира, че е причинено от незаконни или злонамерени действия.
  • В рамките на 72 ч.Уведомление за уязвимост / инцидент. По-пълно описание, включващо първоначална оценка, тежест и въздействие, и където е налично — предприетите коригиращи или смекчаващи мерки.
  • В рамките на 14 дниОкончателен доклад. След като е налична коригираща мярка: описание на уязвимостта или инцидента, неговата тежест и въздействие, и приложената корекция. За инциденти срокът тече от момента на обработване на инцидента.

03До кого докладвате

Докладите се изпращат до ENISA и до CSIRT, определен като координатор за засегнатата държава членка. Не се свързвате с всеки орган поотделно: CRA установява единната платформа за докладване, изградена и управлявана от ENISA, като обща входна точка за всички уведомления. Чл. 14 · 16

Платформата насочва всяко уведомление до съответния национален CSIRT и, при необходимост, до други органи. В тесни случаи — например когато оповестяването би създало непропорционален риск за киберсигурността — Регламентът позволява уведомлението да бъде ограничено, но по подразбиране се изисква пълно и незабавно докладване чрез платформата.

Статус · средата на 2026 г.

Единната платформа за докладване е все още не е общодостъпна. ENISA все още я изгражда (разработката е обявена на търг и е възложена по договор) и публикува материали за регистрация, въвеждане и тестови работи в подготовка. Тя е предназначена да бъде в експлоатация към началната дата 11 септември 2026 г., с тестов период преди това; така че в момента няма активна платформа, в която да се регистрирате.

04Кога започва

Задълженията за докладване са най-ранната основна част на CRA, която влиза в сила. Докато повечето разпоредби се прилагат от 11 декември 2027 г., член 14 се прилага от 11 септември 2026 г.; 21 месеца след влизането в сила на акта. Единната платформа за докладване е предназначена да бъде в експлоатация към тази дата. Чл. 71

Защо това е първият срок от значение

За разлика от Маркировка „СЕ“, която извършвате веднъж преди пускането на продукта на пазара, докладването е живо, текущо задължение, което започва от септември 2026 г. и може да бъде задействано по всяко време след това. Готовността не е еднократен проект.

Все още се финализира

Точните формат и процедура за уведомленията може да бъдат допълнително уточнени с актове за изпълнение на Комисията, а хармонизирани стандарти подкрепящи управлението на уязвимости, се очакват около 30 август 2026 г.. И двете се очаква да бъдат публикувани малко преди задължението да влезе в сила. Практическият извод: изградете вътрешния си процес за засичане и докладване сега; не чакайте окончателните механики на платформата или публикуван шаблон за докладване, тъй като задължението се прилага от 11 септември 2026 г. независимо от това.

05Как да бъдете готови

Спазването на 24-часовия прозорец е оперативен проблем, а не административен. Производителите, които ще го постигнат, са тези, които вече знаят какво е в продуктите им и го наблюдават непрекъснато.

  • Поддържайте точен SBOM; не можете да докладвате за компонент, за чието включване не сте знаели. Поддържайте SBOM и го актуализирайте при промяна на версиите.
  • Наблюдавайте го непрекъснато; съпоставяйте вашите компоненти с известни източници на уязвимости, така че активно експлоатиран недостатък да излезе на преден план в рамките на часове, а не седмици.
  • Определете процеса предварително; определете сега кой решава, че е необходим доклад, кой го изготвя и кой го подава, за да не се изразходва времето за вътрешна ескалация.
  • Проследявайте основните изисквания; тя матрицата за съответствие обвързва докладването с по-широките задължения за управление на уязвимости по Приложение I, в рамките на които се намира.

Тя SBOM и анализатор на уязвимости обхваща първите две: проследява вашия списък с материали спрямо NVD и базата данни на ЕС за уязвимости (EUVD), така че активно експлоатиран компонент се маркира в рамките на 24-часовия прозорец.

Отвори анализатора на уязвимости →CRA, обяснен →

06Чести въпроси

Какво трябва да докладвам съгласно CRA и колко бързо?

Активно експлоатирани уязвимости и тежки инциденти, засягащи сигурността на вашия продукт. Трябва да изпратите ранно предупреждение в рамките на 24 часа от момента на узнаване, по-пълно уведомление в рамките на 72 часа и окончателен доклад в рамките на 14 дни от наличието на коригираща мярка. Чл. 14

Кога започват задълженията за докладване?

11 септември 2026 г.; 21 месеца след влизането в сила на акта и значително преди пълното му прилагане на 11 декември 2027 г.

До кого докладвам?

ENISA и националния CSIRT, определен като координатор, чрез единната платформа за докладване, която ENISA установява съгласно член 16. Тя представлява единна входна точка, а не отделни подавания.

Трябва ли да докладвам всяка грешка или уязвимост?

Не. Само активно експлоатирани уязвимости и тежки инциденти подлежат на докладване. Уязвимостите, които откривате и поправяте преди експлоатация, се управляват чрез обичайния ви процес за обработка на уязвимости.

Единната платформа за докладване на ENISA вече ли е налична?

Все още не. Към средата на 2026 г. тя все още се изгражда съгласно член 16; ENISA публикува материали за регистрация и тестови работи в подготовка, а платформата е предназначена да бъде в експлоатация до 11 септември 2026 г., с тестов период преди това.

Има ли вече стандартен формат или шаблон за докладване?

Не окончателен. Комисията може да уточни формата и процедурата за уведомления чрез актове за изпълнение, а хармонизираните стандарти, подкрепящи управлението на уязвимости, се очакват около 30 август 2026 г. Подгответе вътрешния си процес сега, вместо да чакате публикуваните механики; задължението се прилага от 11 септември 2026 г. независимо от това.

Продължете да четете

Свързани препратки

§CRA, обяснен

Обхват, класове, задължения и пълният времеви график на разбираем език.

§SBOM и анализатор на уязвимости

Съпоставяйте компонентите си с NVD и EUVD, за да спазите 24-часовия прозорец.

§Пълният регламент

Член 14 и 16 в обвързващия текст на Регламент (ЕС) 2024/2847.

§Често задавани въпроси

Кратки отговори на чести въпроси от заинтересованите страни, с препратки.