Sõltumatu juhend määruse (EL) 2024/2847 kohta · Staatus: jõustunud
See leht on automaatne (tehisintellekti) tõlge ja seda ei ole inimene üle vaadanud.
CRA mõistmine · Teavitamine

CRA intsidendi ja haavatavuse teavitamine

Alates 11. septembrist 2026 peavad tootjad artikli 14 alusel teatama aktiivselt ärakasutatavatest haavatavustest ja tõsistest intsidentidest; mida teatada, 24-tunnised, 72-tunnised ja 14-päevased tähtajad ning kes selle vastu võtab.

Ligikaudu 8 min lugemistArtikkel 14 · 16Kehtib alates 11. sept 2026

01Mida tuleb teatada

Artikli 14 Küberturvalisuse vastupidavuse seadus loob digitaalsete elementidega toodete tootjatele kaks eraldiseisvat teavitamiskohustust. Need on kitsamad, kui esmapilgul tundub: rutiinsed vead ja tavalised paigad ei kuulu reguleerimisalasse. Art. 14

  • Aktiivselt ärakasutatavad haavatavused; teie tootes esinev haavatavus, mida kasutatakse rünnakus. Haavatavus, mille avastate ja parandate enne selle ärakasutamist, käsitletakse teie tavapärase haavatavuste käsitlemise protsess, mitte seda teavituskanalit.
  • Tõsised intsidendid; intsident, millel on toote turvalisusele tõsine mõju, näiteks üks, mis kahjustab kasutajate jaoks konfidentsiaalsust, terviklikkust või kättesaadavust.
Test

Kui teie tootes olevat turvanõrkust kasutatakse aktiivselt ära või turvavahejuhtum on seda tõsiselt mõjutanud, algab artikli 14 kohane tähtaeg. Kõik muu jääb teie igapäevase haavatavuste käsitlemise raames.

02Kolm tähtaega

Iga aruanne koosneb kolmest etapist, mõõdetuna hetkest, mil te teadlikuks saate ärakasutatud haavatavuse või tõsise intsidendi kohta. Ajavahemikud on tihedad, mistõttu loeb valmisolek rohkem kui protsess sellel päeval. Art. 14(2)–(4)

  • 24 tunni jooksulVarajane hoiatus. Esmane teatis aktiivselt ärakasutatud haavatavuse või tõsise intsidendi toimumise kohta, sealhulgas teave selle kohta, kas selle põhjuseks peetakse ebaseaduslikke või pahatahtlikke tegusid.
  • 72 tunni jooksulHaavatavuse / intsidendi teatis. Täpsem ülevaade, sealhulgas esialgne hinnang, raskusaste ja mõju ning võimaluse korral võetud parandus- või leevendusmeetmed.
  • 14 päeva jooksulLõpparuanne. Pärast parandusmeetme kättesaadavust: haavatavuse või intsidendi kirjeldus, selle raskusaste ja mõju ning rakendatud parandus. Intsidentide puhul algab tähtaeg intsidendi lahendamise hetkest.

03Kellele teatate

Aruanded esitatakse ENISA ja Koordinaatoriks määratud CSIRT asjaomase liikmesriigi jaoks. Te ei võta ühendust iga asutusega eraldi: CRA loob ühtne teavitamisplatvorm, mida ENISA haldab ja käitab ühise sisenemispunktina kõikide teatiste jaoks. Art. 14 · 16

Platvorm suunab iga teatise asjakohasele riiklikule CSIRT-ile ja vajaduse korral teistele asutustele. Kitsastel juhtudel, näiteks kui avalikustamine looks ebaproportsionaalse küberturvalisuse riski, lubab määrus teatist piirata, kuid vaikimisi on tegemist täieliku ja kiire teavitamisega platvormi kaudu.

Seis · 2026. aasta keskpaik

Ühtne teavitamisplatvorm on üldiselt veel saadaval. ENISA on seda endiselt ehitamas (arendus lasti hankekorras ja lepiti kokku) ning avaldab ettevalmistusperioodil registreerimis-, kasutuselevõtu- ja proovimaterjale. Platvorm on kavas käivitada 11. septembri 2026. aasta alguskuupäevaks, millele eelneb katseperiood; seega ei ole täna ühtegi toimivat platvormi, kuhu registreeruda.

04Millal see algab

Teavitamiskohustused on CRA kõige varasem jõustuv peamine osa. Kuigi enamik sätteid kehtib alates 11. detsembrist 2027, kehtib artikkel 14 alates 11. september 2026; 21 kuud pärast seaduse jõustumist. Ühtne teavitamisplatvorm on kavas selleks kuupäevaks käivitada. Art. 71

Miks see on esimene tähtaeg, mis loeb

Erinevalt CE-märgisest, mille täidate ühe korra enne toote turule viimist, on teavitamine elav, jätkuv kohustus, mis algab 2026. aasta septembris ja mida võidakse igal hetkel seejärel käivitada. Valmisolek ei ole ühekordne projekt.

Endiselt viimistlemisel

Täpne vorm ja kord teatiste jaoks võib komisjoni rakendusaktidega täpsemalt täpsustada ning the ühtlustatud standardid mis toetavad haavatavuste käsitlemist, oodatakse umbes 30. august 2026. Mõlemad peaksid saabuma vahetult enne kohustuse jõustumist. Praktiline järeldus: looge oma sisemine tuvastus- ja teavitamisprotsess juba praegu; ärge oodake lõpliku platvormi tööpõhimõtete ega avaldatud teavitamismalli ilmumist, kuna kohustus kehtib alates 11. septembrist 2026 olenemata sellest.

05Kuidas olla valmis

24-tunnise ajavahemiku täitmine on operatiivne probleem, mitte paberiteküsimus. Tootjad, kes selle saavutavad, on need, kes teavad juba, mis nende toodetes on, ja jälgivad seda pidevalt.

  • Säilitage täpne SBOM; te ei saa teatada komponendist, mille saatmisest te ei teadnud. Säilitage tarkvara komponentide loend ja hoidke seda ajakohasena, kui versioonid muutuvad.
  • Jälgige seda pidevalt; kontrollige oma komponente teadaolevate haavatavuste allikate suhtes, et aktiivselt ära kasutatud viga tuleks ilmsiks tundide, mitte nädalate jooksul.
  • Määrake protsess ette; otsustage juba praegu, kes otsustab, et aruanne on vaja esitada, kes selle koostab ja kes selle esitab, et kellaaega ei kulutaks sisemisele eskalatsioonile.
  • Jälgige aluseks olevaid nõudeid; the vastavusmaatriks seob teavitamise laiema I lisa haavatavuste käsitlemise kohustuste raamistikuga, mille raames see asub.

The SBOM ja haavatavuse analüsaator katab esimesed kaks: see jälgib teie komponentide loendit NVD ja ELi haavatavuste andmebaasi (EUVD) suhtes, nii et aktiivselt ärakasutatav komponent märgistatakse 24-tunnise ajavahemiku jooksul.

Ava haavatavuse analüsaator →CRA, selgitatuna →

06Levinud küsimused

Mida pean CRA alusel teatama ja kui kiiresti?

Aktiivselt ärakasutatavad haavatavused ja tõsised intsidendid, mis mõjutavad teie toote turvalisust. Peate saatma varajase hoiatuse 24 tunni jooksul pärast teadlikuks saamist, täpsema teatise 72 tunni jooksul ja lõpparuande 14 päeva jooksul pärast parandusmeetme kättesaadavust. Art. 14

Millal algavad teavitamiskohustused?

11. september 2026; 21 kuud pärast seaduse jõustumist, kaugelt enne täielikku kohaldamist 11. detsembril 2027.

Kellele pean teatama?

ENISA ja koordinaatoriks määratud riiklik CSIRT ühtsesse teavitamisplatvormi kaudu, mille ENISA loob artikli 16 alusel. See on ühtne sisenemispunkt, mitte eraldi esitamised.

Kas pean teatama igast veast või haavatavusest?

Ei. Teatatavad on ainult aktiivselt ärakasutatavad haavatavused ja tõsised intsidendid. Haavatavusi, mille leiate ja parandate enne nende ärakasutamist, hallatakse teie tavapärase haavatavuste käsitlemise protsessi kaudu.

Kas ENISA ühtne teavitamisplatvorm on juba saadaval?

Mitte veel. 2026. aasta keskseisuga ehitatakse seda endiselt artikli 16 alusel; ENISA avaldab ettevalmistusperioodil registreerimis- ja proovijooksu materjale ning platvorm on kavas käivitada 11. septembriks 2026, millele eelneb katseperiood.

Kas teatamiseks on juba standardvorm või mall?

Mitte lõplikku. Komisjon võib rakendusaktidega täpsustada teatiste vormi ja korda ning haavatavuste käsitlemise aluseks olevaid ühtlustatud standardeid oodatakse umbes 30. augustiks 2026. Valmistage oma sisemine protsess ette juba praegu, mitte ärge oodake avaldatud mehhanisme; kohustus kehtib alates 11. septembrist 2026 olenemata sellest.

Jätka lugemist

Seotud viited

§CRA, selgitatuna

Reguleerimisala, klassid, kohustused ja täielik ajakava lihtsas keeles.

§SBOM ja haavatavuse analüsaator

Jälgige oma komponente NVD ja EUVD suhtes, et täita 24-tunnine ajavahemik.

§Täielik määrus

Artiklid 14 ja 16 määruse (EL) 2024/2847 siduvas tekstis.

§Korduma kippuvad küsimused

Lühikesed vastused sidusrühmade levinud küsimustele koos viidetega.