CRA Reporting: 24h, 72h & 14-Day Deadlines (Article 14)

01Τι πρέπει να αναφέρεται

Άρθρο 14 του Πράξη για την Κυβερνοανθεκτικότητα δημιουργεί δύο διακριτές υποχρεώσεις αναφοράς για τους κατασκευαστές προϊόντων με ψηφιακά στοιχεία. Είναι στενότερες από ό,τι φαίνονται αρχικά: τα συνήθη σφάλματα και οι τακτικές διορθώσεις δεν εμπίπτουν στο πεδίο εφαρμογής. Άρθ. 14

Ενεργά εκμεταλλευόμενες ευπάθειες· μια ευπάθεια του προϊόντος σας που χρησιμοποιείται σε επίθεση. Μια ευπάθεια που ανακαλύπτετε και επιδιορθώνετε πριν αξιοποιηθεί διαχειρίζεται μέσω της συνήθους διαδικασία διαχείρισης ευπαθειών, όχι μέσω αυτού του καναλιού αναφοράς.
Σοβαρά συμβάντα· ένα συμβάν που έχει σοβαρό αντίκτυπο στην ασφάλεια του προϊόντος, για παράδειγμα ένα που θέτει σε κίνδυνο την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα για τους χρήστες.

Ο έλεγχος

Εάν μια αδυναμία ασφαλείας στο προϊόν σας εκμεταλλεύεται ενεργά, ή ένα συμβάν ασφαλείας το έχει επηρεάσει σοβαρά, αρχίζει η αντίστροφη μέτρηση του Άρθρου 14. Όλα τα υπόλοιπα παραμένουν στο πλαίσιο της καθημερινής διαχείρισης ευπαθειών.

02Οι τρεις προθεσμίες

Κάθε αναφορά αναπτύσσεται σε τρία στάδια, μετρούμενα από τη στιγμή που λάβετε γνώση της εκμεταλλευόμενης ευπάθειας ή του σοβαρού συμβάντος. Τα χρονικά παράθυρα είναι στενά, γι' αυτό και η ετοιμότητα έχει μεγαλύτερη σημασία από τη διαδικασία τη στιγμή που χρειαστεί. Άρθ. 14(2)–(4)

Εντός 24ωΈγκαιρη προειδοποίηση. Μια πρώτη κοινοποίηση ότι σημειώθηκε ενεργά εκμεταλλευόμενη ευπάθεια ή σοβαρό συμβάν, συμπεριλαμβανομένου του κατά πόσον υπάρχει υποψία ότι οφείλεται σε παράνομες ή κακόβουλες πράξεις.
Εντός 72ωΚοινοποίηση ευπάθειας / συμβάντος. Μια πληρέστερη έκθεση, που περιλαμβάνει αρχική εκτίμηση, σοβαρότητα και αντίκτυπο, και όπου διατίθενται, τα διορθωτικά ή μετριαστικά μέτρα που λήφθηκαν.
Εντός 14 ημερώνΤελική έκθεση. Μόλις διατίθεται διορθωτικό μέτρο: περιγραφή της ευπάθειας ή του συμβάντος, η σοβαρότητα και ο αντίκτυπός του, και η αποκατάσταση που εφαρμόστηκε. Για τα συμβάντα, η προθεσμία μετράται από τη στιγμή που αντιμετωπίστηκε το συμβάν.

03Σε ποιον υποβάλλετε αναφορά

Οι αναφορές αποστέλλονται στο ENISA και στο CSIRT που έχει οριστεί ως συντονιστής για το οικείο κράτος μέλος. Δεν επικοινωνείτε με κάθε αρχή χωριστά: ο CRA θεσπίζει ενιαία πλατφόρμα αναφοράς, που δημιουργείται και λειτουργεί από την ENISA, ως κοινό σημείο εισόδου για όλες τις κοινοποιήσεις. Άρθ. 14 · 16

Η πλατφόρμα διοχετεύει κάθε κοινοποίηση στο αρμόδιο εθνικό CSIRT και, όπου χρειάζεται, σε άλλες αρχές. Σε περιορισμένες περιπτώσεις· για παράδειγμα όταν η αποκάλυψη θα δημιουργούσε δυσανάλογο κίνδυνο κυβερνοασφάλειας· ο Κανονισμός επιτρέπει την περιορισμένη κοινοποίηση, αλλά ο κανόνας είναι η πλήρης και έγκαιρη υποβολή αναφοράς μέσω της πλατφόρμας.

Κατάσταση · μέσα 2026

Η ενιαία πλατφόρμα αναφοράς είναι δεν είναι ακόμη γενικά διαθέσιμη. Η ENISA βρίσκεται ακόμη στη διαδικασία κατασκευής της (η ανάπτυξη ανατέθηκε μέσω διαγωνισμού και συνάφθηκε σύμβαση), και δημοσιεύει υλικό εγγραφής, ενσωμάτωσης και δοκιμαστικής λειτουργίας στο διάστημα που προηγείται. Σκοπός είναι να τεθεί σε λειτουργία έως τις 11 Σεπτεμβρίου 2026, με περίοδο δοκιμών πριν από αυτή την ημερομηνία· επομένως δεν υπάρχει σήμερα ενεργή πλατφόρμα για εγγραφή.

04Πότε αρχίζει

Οι υποχρεώσεις αναφοράς είναι το πρώτο κύριο τμήμα του CRA που τίθεται σε ισχύ. Ενώ οι περισσότερες διατάξεις ισχύουν από τις 11 Δεκεμβρίου 2027, το Άρθρο 14 ισχύει από 11 Σεπτεμβρίου 2026· 21 μήνες μετά την έναρξη ισχύος της Πράξης. Η ενιαία πλατφόρμα αναφοράς σκοπεύεται να τεθεί σε λειτουργία έως την ημερομηνία αυτή. Άρθ. 71

Γιατί αυτή είναι η πρώτη προθεσμία που έχει σημασία

Σε αντίθεση με τη Σήμανση CE, την οποία ολοκληρώνετε μία φορά πριν από τη διάθεση του προϊόντος στην αγορά, η αναφορά είναι ζωντανή, συνεχής υποχρέωση που αρχίζει τον Σεπτέμβριο 2026 και μπορεί να ενεργοποιηθεί οποιαδήποτε στιγμή εκτοτε. Το να είστε έτοιμοι δεν είναι μεμονωμένο έργο.

Ακόμη υπό οριστικοποίηση

Η ακριβής μορφή και διαδικασία για τις κοινοποιήσεις μπορεί να εξειδικευτεί περαιτέρω με εκτελεστικές πράξεις της Επιτροπής, και το εναρμονισμένα πρότυπα που υποστηρίζουν τη διαχείριση ευπαθειών αναμένονται περίπου 30 Αυγούστου 2026. Και τα δύο αναμένεται να είναι διαθέσιμα λίγο πριν από την έναρξη της υποχρέωσης. Το πρακτικό συμπέρασμα: αναπτύξτε τώρα την εσωτερική διαδικασία εντοπισμού και αναφοράς· μην περιμένετε τους τελικούς μηχανισμούς της πλατφόρμας ή ένα δημοσιευμένο πρότυπο αναφοράς, διότι η υποχρέωση ισχύει από τις 11 Σεπτεμβρίου 2026 ανεξαρτήτως.

05Πώς να είστε έτοιμοι

Η τήρηση προθεσμίας 24 ωρών είναι επιχειρησιακό ζήτημα και όχι γραφειοκρατικό. Οι κατασκευαστές που θα την τηρήσουν είναι αυτοί που ήδη γνωρίζουν τι περιέχουν τα προϊόντα τους και τα παρακολουθούν συνεχώς.

Τηρείτε ακριβές SBOM· δεν μπορείτε να αναφέρετε ένα εξάρτημα που δεν γνωρίζατε ότι συμπεριλαμβάνεται στο προϊόν σας. Τηρείτε κατάλογο εξαρτημάτων λογισμικού (SBOM) και ενημερώνετέ τον καθώς αλλάζουν οι εκδόσεις.
Παρακολουθήστε το συνεχώς· αντιπαραβάλλετε τα εξαρτήματά σας με τις γνωστές πηγές ευπαθειών, ώστε ένα ενεργά εκμεταλλευόμενο ελάττωμα να εντοπιστεί εντός ωρών και όχι εβδομάδων.
Καθορίστε τη διαδικασία εκ των προτέρων· αποφασίστε τώρα ποιος κρίνει ότι απαιτείται αναφορά, ποιος τη συντάσσει και ποιος την υποβάλλει, ώστε ο χρόνος να μην αναλωθεί σε εσωτερικές κλιμακώσεις.
Παρακολουθήστε τις υποκείμενες απαιτήσεις· το μήτρα συμμόρφωσης συνδέει την αναφορά με τις ευρύτερες υποχρεώσεις διαχείρισης ευπαθειών του Παραρτήματος I στο οποίο εντάσσεται.

Το SBOM και αναλυτής ευπαθειών καλύπτει τα δύο πρώτα: παρακολουθεί τον κατάλογο υλικών σας έναντι των NVD και της βάσης δεδομένων ευπαθειών ΕΕ (EUVD), ώστε ένα ενεργά εκμεταλλευόμενο εξάρτημα να επισημανθεί εντός της προθεσμίας 24 ωρών.

Ανοίξτε τον αναλυτή ευπαθειών →Ο CRA, με απλά λόγια →

06Συνήθεις ερωτήσεις

Τι πρέπει να αναφέρω στο πλαίσιο του CRA και πόσο γρήγορα;

Ενεργά εκμεταλλευόμενες ευπάθειες και σοβαρά συμβάντα που επηρεάζουν την ασφάλεια του προϊόντος σας. Οφείλετε να αποστείλετε έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που λάβετε γνώση, πληρέστερη κοινοποίηση εντός 72 ωρών και τελική έκθεση εντός 14 ημερών από τη διαθεσιμότητα διορθωτικού μέτρου. Άρθ. 14

Πότε αρχίζουν οι υποχρεώσεις αναφοράς;

11 Σεπτεμβρίου 2026· 21 μήνες μετά την έναρξη ισχύος της Πράξης, και πολύ πριν από την πλήρη εφαρμογή στις 11 Δεκεμβρίου 2027.

Σε ποιον υποβάλλω αναφορά;

Στην ENISA και στο εθνικό CSIRT που έχει οριστεί ως συντονιστής, μέσω της ενιαίας πλατφόρμας αναφοράς που ιδρύει η ENISA βάσει του Άρθρου 16. Πρόκειται για ενιαίο σημείο εισόδου και όχι για χωριστές υποβολές.

Πρέπει να αναφέρω κάθε σφάλμα ή ευπάθεια;

Όχι. Μόνο οι ενεργά εκμεταλλευόμενες ευπάθειες και τα σοβαρά συμβάντα είναι αναφερτέα. Οι ευπάθειες που εντοπίζετε και επιδιορθώνετε πριν αξιοποιηθούν διαχειρίζονται μέσω της συνήθους διαδικασίας διαχείρισης ευπαθειών.

Είναι διαθέσιμη ακόμη η ενιαία πλατφόρμα αναφοράς της ENISA;

Όχι ακόμη. Από τα μέσα του 2026 εξακολουθεί να κατασκευάζεται βάσει του Άρθρου 16· η ENISA δημοσιεύει υλικό εγγραφής και δοκιμαστικής λειτουργίας στο διάστημα που προηγείται και η πλατφόρμα σκοπεύεται να τεθεί σε λειτουργία έως τις 11 Σεπτεμβρίου 2026, με περίοδο δοκιμών πριν από αυτή.

Υπάρχει ήδη τυποποιημένη μορφή ή πρότυπο για την αναφορά;

Όχι οριστικό. Η Επιτροπή μπορεί να εξειδικεύσει τη μορφή και τη διαδικασία των κοινοποιήσεων μέσω εκτελεστικών πράξεων, και τα εναρμονισμένα πρότυπα που υποστηρίζουν τη διαχείριση ευπαθειών αναμένονται περίπου στις 30 Αυγούστου 2026. Προετοιμάστε την εσωτερική σας διαδικασία τώρα, αντί να περιμένετε τους δημοσιευμένους μηχανισμούς· η υποχρέωση ισχύει από τις 11 Σεπτεμβρίου 2026 ανεξαρτήτως.

Αναφορά συμβάντων και ευπαθειών CRA