Nezávislý průvodce nařízením (EU) 2024/2847 · Stav: v platnosti
Tato stránka je automatickým (AI) překladem a nebyla zkontrolována člověkem.
Porozumění CRA · Hlášení

Hlášení incidentů a zranitelností podle CRA

Od 11. září 2026 musí výrobci hlásit aktivně zneužívané zranitelnosti a závažné incidenty podle článku 14; co hlásit, lhůty 24 hodin, 72 hodin a 14 dní a komu hlášení náleží.

Přibližně 8 minut čteníČlánek 14 · 16Použije se od 11. září 2026

01Co je nutné hlásit

Článek 14 Cyber Resilience Act vytváří dvě odlišné oznamovací povinnosti pro výrobce produktů s digitálními prvky. Jsou užší, než se na první pohled zdají: běžné chyby a standardní záplaty nejsou v rozsahu. Čl. 14

  • Aktivně zneužívané zranitelnosti; zranitelnost ve vašem produktu, která je aktivně využívána při útoku. Zranitelnost, kterou objevíte a opravíte před jejím zneužitím, je řešena prostřednictvím vašeho běžného proces správy zranitelností, nikoli tento oznamovací kanál.
  • Závažné incidenty; incident, který má závažný dopad na bezpečnost produktu, například incident, který narušuje důvěrnost, integritu nebo dostupnost pro uživatele.
Test

Pokud je bezpečnostní slabina vašeho produktu aktivně zneužívána nebo pokud závažný bezpečnostní incident vážně ovlivnil váš produkt, začíná běžet lhůta podle článku 14. Vše ostatní zůstává v rámci každodenní správy zranitelností.

02Tři lhůty

Každé hlášení se skládá ze tří fází, přičemž lhůty se počítají od okamžiku, kdy si uvědomíte zneužívané zranitelnosti nebo závažného incidentu. Lhůty jsou těsné, a proto je připravenost důležitější než samotný postup v den události. Čl. 14 odst. 2–4

  • Do 24 hVčasné varování. První oznámení o výskytu aktivně zneužívané zranitelnosti nebo závažného incidentu, včetně informace, zda je podezření, že byl způsoben protiprávním nebo škodlivým jednáním.
  • Do 72 hOznámení zranitelnosti / incidentu. Podrobnější zpráva zahrnující počáteční posouzení, závažnost a dopad a případně přijatá nápravná nebo zmírňující opatření.
  • Do 14 dníZávěrečná zpráva. Po dostupnosti nápravného opatření: popis zranitelnosti nebo incidentu, jeho závažnost a dopad a přijatá nápravná opatření. V případě incidentů lhůta běží od okamžiku vyřešení incidentu.

03Komu hlášení zasíláte

Hlášení se zasílají ENISA a příslušnému CSIRT určený jako koordinátor pro příslušný členský stát. Nekontaktujete každý orgán zvlášť: CRA zavádí jednotná platforma pro hlášení, provozovanou a spravovanou ENISA jako společný vstupní bod pro veškerá oznámení. Čl. 14 · 16

Platforma směřuje každé oznámení na příslušný národní CSIRT a v případě potřeby i na jiné orgány. V omezených případech — například pokud by zveřejnění vedlo k nepřiměřenému riziku v oblasti kybernetické bezpečnosti — umožňuje nařízení omezit rozsah oznámení, výchozím nastavením je však úplné a neprodlené hlášení prostřednictvím platformy.

Stav · polovina roku 2026

Jednotná platforma pro hlášení je zatím obecně nedostupná. ENISA ji stále buduje (vývoj byl zadán do výběrového řízení a smluvně zajištěn) a zveřejňuje materiály pro registraci, onboarding a testovací spuštění v přípravném období. Platforma má být provozuschopná ke dni zahájení 11. září 2026 s testovacím obdobím před tímto datem; v současnosti tedy neexistuje živá platforma, u níž by bylo možné se zaregistrovat.

04Kdy začíná

Oznamovací povinnosti jsou nejdřívější zásadní částí CRA, která vstupuje v platnost. Zatímco většina ustanovení se uplatňuje od 11. prosince 2027, článek 14 se uplatňuje od 11. září 2026; 21 měsíců po vstupu nařízení v platnost. Jednotná platforma pro hlášení má být do tohoto data provozuschopná. Čl. 71

Proč jde o první důležitý termín

Na rozdíl od Označení CE, které dokončíte jednou před uvedením produktu na trh, je hlášení živou, průběžnou povinností, která začíná v září 2026 a může být aktivována kdykoli poté. Připravenost není jednorázový projekt.

Stále se finalizuje

Přesný formát a postup pro oznámení může být dále upřesněn prováděcími akty Komise a harmonizované normy které podporují správu zranitelností, se očekávají kolem 30. srpna 2026. Obojí má být k dispozici teprve krátce před zahájením povinnosti. Praktický závěr: budujte si interní proces detekce a hlášení nyní; nečekejte na finální mechaniku platformy ani na zveřejněnou šablonu hlášení, protože povinnost se uplatňuje od 11. září 2026 bez ohledu na to.

05Jak být připraven

Splnění lhůty 24 hodin je provozní problém, nikoli problém papírování. Výrobci, kteří ji splní, jsou ti, kteří již vědí, co jejich produkty obsahují, a průběžně to sledují.

  • Udržujte přesný SBOM; nelze hlásit komponentu, o jejímž zahrnutí jste nevěděli. Udržujte SBOM a průběžně jej aktualizujte při změnách verzí.
  • Průběžně jej sledujte; porovnávejte své komponenty se zdroji informací o známých zranitelnostech, aby se aktivně zneužívaná chyba projevila v řádu hodin, nikoli týdnů.
  • Definujte postup předem; rozhodněte nyní, kdo rozhodne o nutnosti podat hlášení, kdo jej vypracuje a kdo jej podá, aby čas nebyl mařen interní eskalací.
  • Sledujte základní požadavky; k matice shody váže hlášení na širší povinnosti správy zranitelností podle Přílohy I, jejichž je součástí.

K SBOM a analyzátor zranitelností pokrývá první dvě: sleduje váš seznam materiálů oproti NVD a databázi zranitelností EU (EUVD), takže aktivně zneužívaná komponenta je označena v rámci 24hodinové lhůty.

Otevřít analyzátor zranitelností →CRA vysvětlený →

06Časté otázky

Co musím hlásit podle CRA a jak rychle?

Aktivně zneužívané zranitelnosti a závažné incidenty ovlivňující bezpečnost vašeho produktu. Musíte zaslat včasné varování do 24 hodin od okamžiku, kdy jste si věc uvědomili, podrobnější oznámení do 72 hodin a závěrečnou zprávu do 14 dní od dostupnosti nápravného opatření. Čl. 14

Kdy začínají oznamovací povinnosti?

11. září 2026; 21 měsíců po vstupu nařízení v platnost, a to s dostatečným předstihem před plným použitím dne 11. prosince 2027.

Komu mám hlášení zasílat?

ENISA a národnímu CSIRT určenému jako koordinátor prostřednictvím jednotné platformy pro hlášení, kterou ENISA zřizuje na základě článku 16. Jde o jediný vstupní bod, nikoli o oddělená podání.

Musím hlásit každou chybu nebo zranitelnost?

Ne. Hlásit je nutné pouze aktivně zneužívané zranitelnosti a závažné incidenty. Zranitelnosti, které odhalíte a opravíte před jejich zneužitím, jsou spravovány prostřednictvím vašeho běžného procesu správy zranitelností.

Je jednotná platforma ENISA pro hlášení již dostupná?

Zatím ne. K polovině roku 2026 je stále ve výstavbě podle článku 16; ENISA zveřejňuje registrační a testovací materiály v přípravném období a platforma má být provozuschopná do 11. září 2026 s testovacím obdobím před tímto datem.

Existuje již standardní formát nebo šablona pro hlášení?

Finální nikoli. Komise může formát a postup pro oznámení upřesnit prostřednictvím prováděcích aktů a harmonizované normy podporující správu zranitelností se očekávají kolem 30. srpna 2026. Připravte si interní postup nyní, a nečekejte na zveřejněnou mechaniku; povinnost se uplatňuje od 11. září 2026 bez ohledu na to.

Pokračovat ve čtení

Související odkazy

§CRA vysvětlený

Rozsah působnosti, třídy, povinnosti a úplný harmonogram v přístupném jazyce.

§SBOM a analyzátor zranitelností

Sledujte své komponenty v NVD a EUVD, abyste splnili lhůtu 24 hodin.

§Celé nařízení

Článek 14 a 16 v závazném znění Regulation (EU) 2024/2847.

§Často kladené otázky

Stručné odpovědi na časté otázky zúčastněných stran s odkazy na příslušná ustanovení.