Uafhængig vejledning til forordning (EU) 2024/2847 · Status: i kraft
Denne side er en automatisk (AI-)oversættelse og er ikke blevet gennemgået af en person.
Forståelse af CRA · Indberetning

CRA-hændelses- og sårbarhedsindberetning

Fra den 11. september 2026 skal fabrikanter indberette aktivt udnyttede sårbarheder og alvorlige hændelser i henhold til artikel 14; hvad der skal indberettes, fristerne på 24 timer, 72 timer og 14 dage, og hvem der modtager indberetningen.

Ca. 8 min. læsningArtikel 14 · 16Gælder fra 11. sep. 2026

01Hvad skal indberettes

Artikel 14 i Cyber Resilience Act skaber to separate indberetningspligter for fabrikanter af produkter med digitale elementer. De er smallere, end de umiddelbart fremstår: rutinefejl og almindelige programrettelser er ikke omfattet. Art. 14

  • Aktivt udnyttede sårbarheder; en sårbarhed i dit produkt, der udnyttes i et angreb. En sårbarhed, du opdager og afhjælper, inden den udnyttes, håndteres via din normale sårbarhedshåndteringsproces, ikke denne indberetningskanal.
  • Alvorlige hændelser; en hændelse med alvorlig indvirkning på produktets sikkerhed, f.eks. en hændelse der kompromitterer fortrolighed, integritet eller tilgængelighed for brugerne.
Testen

Hvis en sikkerhedssvagheden i dit produkt aktivt udnyttes, eller en sikkerhedshændelse har påvirket det alvorligt, starter fristen i artikel 14. Alt andet forbliver inden for din daglige sårbarhedshåndtering.

02De tre frister

Hver rapport udfolder sig i tre faser, målt fra det øjeblik du bliver opmærksom for den udnyttede sårbarhed eller alvorlige hændelse. Fristerne er stramme, hvilket er grunden til, at beredskab er vigtigere end processen på dagen. Art. 14(2)–(4)

  • Inden for 24 timerTidlig varsling. En første underretning om, at en aktivt udnyttet sårbarhed eller en alvorlig hændelse har fundet sted, herunder om den mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger.
  • Inden for 72 timerSårbarhed / hændelsesunderretning. En mere udførlig redegørelse, herunder en indledende vurdering, alvorlighed og konsekvenser, og, hvor det er tilgængeligt, de trufne korrigerende eller afbødende foranstaltninger.
  • Inden for 14 dageEndelig rapport. Når en korrigerende foranstaltning er tilgængelig: en beskrivelse af sårbarheden eller hændelsen, dens alvorlighed og konsekvenser, og den anvendte afhjælpning. For hændelser løber fristen fra det tidspunkt, hændelsen er håndteret.

03Hvem du indberetter til

Rapporter sendes til ENISA og til den CSIRT udpeget som koordinator for den berørte medlemsstat. Du kontakter ikke hver myndighed separat: CRA etablerer en fælles indberetningsplatform, der er bygget og drives af ENISA, som det fælles indgangspunkt for alle underretninger. Art. 14 · 16

Platformen videresender hver underretning til den relevante nationale CSIRT og, hvor det er nødvendigt, til andre myndigheder. I snævre tilfælde – f.eks. hvor videregivelse ville skabe en uforholdsmæssig cybersikkerhedsrisiko – giver forordningen mulighed for at begrænse en underretning, men standarden er fuld og hurtig indberetning via platformen.

Status · midten af 2026

Den fælles indberetningsplatform er endnu ikke generelt tilgængelig. ENISA er stadig ved at bygge platformen (udviklingen er sendt i udbud og kontraheret), og offentliggør registrerings-, onboarding- og øvelsesmateriale i optakten. Den tilsigtes at være operationel inden startdatoen den 11. september 2026, med en testperiode forinden; der er derfor ingen aktiv platform at registrere sig på i dag.

04Hvornår det begynder

Indberetningsforpligtelserne er den første større del af CRA, der træder i kraft. Mens de fleste bestemmelser gælder fra den 11. december 2027, gælder artikel 14 fra 11. september 2026; 21 måneder efter, at forordningen trådte i kraft. Den fælles indberetningsplatform tilsigtes at være operationel inden denne dato. Art. 71

Hvorfor dette er den første frist, der er afgørende

I modsætning til CE-mærkning, som du gennemfører én gang, inden du bringer et produkt i omsætning på markedet, er indberetning en løbende, aktiv pligt, der begynder i september 2026 og kan udløses til enhver tid derefter. At være klar er ikke et engangsprojekt.

Er stadig under færdiggørelse

Den nøjagtige format og procedure for underretninger kan specificeres yderligere ved Kommissionens gennemførelsesretsakter, og de harmoniserede standarder der understøtter sårbarhedshåndtering, forventes omkring 30. august 2026. Begge forventes først at foreligge kort før forpligtelsen træder i kraft. Den praktiske konklusion: opbyg din interne proces til opdagelse og indberetning nu; vent ikke på de endelige platformsmekanikker eller en offentliggjort indberetningsskabelon, da pligten gælder fra den 11. september 2026 uanset hvad.

05Sådan gør du dig klar

At overholde en 24-timers frist er et operationelt problem, ikke et papirproblem. De fabrikanter, der vil opfylde det, er dem, der allerede ved, hvad der er i deres produkter, og overvåger dem løbende.

  • Vedligehold en nøjagtig SBOM; du kan ikke indberette om en komponent, du ikke vidste, du leverede. Vedligehold en softwarestykliste og hold den opdateret, efterhånden som versioner ændrer sig.
  • Overvåg det løbende; afstem dine komponenter mod kendte sårbarhedskilder, så en aktivt udnyttet fejl opdages inden for timer, ikke uger.
  • Definer processen på forhånd; beslut nu, hvem der afgør, om en rapport er påkrævet, hvem der udformer den, og hvem der indsender den, så tidsfristen ikke bruges på intern eskalering.
  • Spor de underliggende krav; den overensstemmelsesmatrix knytter indberetning til de bredere sårbarhedshåndteringsforpligtelser i Bilag I, som den er en del af.

Den SBOM og sårbarhedsanalysator dækker de første to: den afstemmer din stykliste mod NVD og EU's sårbarhedsdatabase (EUVD), så en aktivt udnyttet komponent markeres inden for 24-timers fristen.

Åbn sårbarhedsanalysatoren →CRA forklaret →

06Hyppige spørgsmål

Hvad skal jeg indberette i henhold til CRA, og hvor hurtigt?

Aktivt udnyttede sårbarheder og alvorlige hændelser, der berører dit produkts sikkerhed. Du skal sende en tidlig varsling inden for 24 timer efter, at du er blevet opmærksom på dem, en mere udførlig underretning inden for 72 timer, og en endelig rapport inden for 14 dage efter, at en korrigerende foranstaltning er tilgængelig. Art. 14

Hvornår begynder indberetningsforpligtelserne?

11. september 2026; 21 måneder efter, at forordningen trådte i kraft, og godt forud for fuld anvendelse den 11. december 2027.

Hvem indberetter jeg til?

ENISA og den nationale CSIRT udpeget som koordinator, via den fælles indberetningsplatform, som ENISA etablerer i henhold til artikel 16. Det er et enkelt indgangspunkt frem for separate indberetninger.

Skal jeg indberette enhver fejl eller sårbarhed?

Nej. Kun aktivt udnyttede sårbarheder og alvorlige hændelser er indberetningspligtige. Sårbarheder, du finder og afhjælper inden udnyttelse, håndteres via din sædvanlige sårbarhedshåndteringsproces.

Er ENISA's fælles indberetningsplatform tilgængelig endnu?

Ikke endnu. Pr. midten af 2026 er den stadig under opbygning i henhold til artikel 16; ENISA offentliggør registrerings- og øvelsesmateriale i optakten, og platformen tilsigtes at være operationel inden den 11. september 2026, med en testperiode forinden.

Findes der allerede et standardformat eller en skabelon til indberetning?

Ikke et endeligt. Kommissionen kan specificere formatet og proceduren for underretninger ved hjælp af gennemførelsesretsakter, og de harmoniserede standarder, der understøtter sårbarhedshåndtering, forventes omkring den 30. august 2026. Forbered din interne proces nu frem for at vente på de offentliggjorte mekanikker; forpligtelsen gælder fra den 11. september 2026 uanset hvad.

Fortsæt læsningen

Tilknyttede referencer

§CRA forklaret

Anvendelsesområde, klasser, forpligtelser og den fulde tidslinje i klart sprog.

§SBOM og sårbarhedsanalysator

Afstem dine komponenter mod NVD og EUVD for at overholde 24-timers fristen.

§Hele forordningen

Artikel 14 og 16 i den bindende tekst i Forordning (EU) 2024/2847.

§Ofte stillede spørgsmål

Kortfattede svar på hyppige interessentspørgsmål med referencer.