Riippumaton opas asetukseen (EU) 2024/2847 · Tila: voimassa
Tämä sivu on automaattinen (tekoälyn tekemä) käännös, eikä sitä ole tarkistanut ihminen.
CRA:n ymmärtäminen · Ilmoittaminen

CRA:n poikkeama- ja haavoittuvuusilmoittaminen

11. syyskuuta 2026 alkaen valmistajien on ilmoitettava aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista poikkeamista artiklan 14 nojalla; mitä ilmoitetaan, 24 tunnin, 72 tunnin ja 14 päivän määräajat sekä kenelle ilmoitetaan.

Noin 8 min lukemisaikaArtikla 14 · 16Sovelletaan 11. syyskuuta 2026 alkaen

01Mitä on ilmoitettava

Asetuksen artikla 14 Cyber Resilience Act luo kaksi erillistä ilmoittamisvelvollisuutta digitaalisia elementtejä sisältävien tuotteiden valmistajille. Ne ovat kapeampia kuin miltä ensin vaikuttaa: rutiinivirheet ja tavalliset korjaustiedostot eivät kuulu soveltamisalaan. Art. 14

  • Aktiivisesti hyväksikäytetyt haavoittuvuudet; haavoittuvuus tuotteessasi, jota käytetään hyökkäyksessä. Haavoittuvuus, jonka löydät ja korjaat ennen sen hyväksikäyttöä, käsitellään normaalin haavoittuvuuksien hallintaprosessi, ei tätä ilmoituskanavaa.
  • Vakavat poikkeamat; poikkeama, jolla on vakava vaikutus tuotteen tietoturvaan, esimerkiksi sellainen, joka vaarantaa luottamuksellisuuden, eheyden tai saatavuuden käyttäjille.
Testi

Jos tuotteesi tietoturvaheikkous on aktiivisessa hyväksikäytössä tai tietoturvapoikkeama on vakavasti vaikuttanut siihen, artiklan 14 kello alkaa käydä. Kaikki muu pysyy päivittäisen haavoittuvuuksien hallinnan piirissä.

02Kolme määräaikaa

Jokainen ilmoitus etenee kolmessa vaiheessa, laskettuna hetkestä, jolloin tulet tietoiseksi hyväksikäytetystä haavoittuvuudesta tai vakavasta poikkeamasta. Ikkunat ovat tiukat, minkä vuoksi valmiudella on enemmän merkitystä kuin prosessilla tapahtumahetkellä. Art. 14(2)–(4)

  • 24 tunnin kuluessaEnnakkovaroitus. Ensimmäinen ilmoitus siitä, että aktiivisesti hyväksikäytetty haavoittuvuus tai vakava poikkeama on tapahtunut, mukaan lukien tieto siitä, epäilläänkö sen johtuvan laittomista tai pahantahtoisista teoista.
  • 72 tunnin kuluessaHaavoittuvuus- / poikkeamailmoitus. Täydellisempi selvitys, joka sisältää alustavan arvion, vakavuuden ja vaikutuksen sekä tarvittaessa toteutetut korjaavat tai lieventävät toimenpiteet.
  • 14 päivän kuluessaLoppuraportti. Kun korjaava toimenpide on saatavilla: kuvaus haavoittuvuudesta tai poikkeamasta, sen vakavuudesta ja vaikutuksesta sekä sovelletusta korjausmenettelystä. Poikkeamien osalta määräaika lasketaan siitä, kun poikkeama on käsitelty.

03Kenelle ilmoitat

Ilmoitukset toimitetaan ENISA ja koordinaattoriksi nimetty CSIRT asianomaiselle jäsenvaltiolle. Et ota yhteyttä kuhunkin viranomaiseen erikseen: CRA perustaa yhden ilmoituspisteen alusta, jonka ENISA on rakentanut ja ylläpitää, kaikkien ilmoitusten yhteisenä sisääntulopisteenä. Art. 14 · 16

Alusta ohjaa jokaisen ilmoituksen asianomaiselle kansalliselle CSIRT:lle ja tarvittaessa muille viranomaisille. Rajallisissa tapauksissa, esimerkiksi silloin kun julkistaminen loisi suhteettoman kyberturvallisuusriskin, asetus sallii ilmoituksen rajoittamisen, mutta oletuksena on täydellinen ja nopea ilmoittaminen alustan kautta.

Tilanne · vuoden 2026 puoliväli

Yhden ilmoituspisteen alusta on ei vielä yleisesti saatavilla. ENISA on edelleen rakentamassa sitä (kehitystyö on kilpailutettu ja sopimus solmittu) ja julkaisee rekisteröinti-, käyttöönotto- ja harjoitusmateriaalia valmistautumisvaiheessa. Sen on tarkoitus olla toiminnassa 11. syyskuuta 2026 mennessä, sitä ennen on testausjakso; joten tänään ei ole olemassa live-alustaa, johon rekisteröityä.

04Milloin se alkaa

Ilmoittamisvelvollisuudet ovat CRA:n aikaisimmin voimaan tuleva merkittävä osa. Vaikka suurin osa säännöksistä soveltuu 11. joulukuuta 2027 alkaen, artikla 14 soveltuu alkaen 11. syyskuuta 2026; 21 kuukautta lain voimaantulon jälkeen. Yhden ilmoituspisteen alustan on tarkoitus olla toiminnassa tuohon päivämäärään mennessä. Art. 71

Miksi tämä on ensimmäinen tärkeä määräaika

Toisin kuin CE-merkintä, jonka suoritat kerran ennen tuotteen markkinoille saattamista, ilmoittaminen on jatkuva, elävä velvollisuus, joka alkaa syyskuussa 2026 ja voi käynnistyä millä hetkellä tahansa sen jälkeen. Valmiina oleminen ei ole kertaluonteinen projekti.

Vielä viimeistellään

Tarkka muoto ja menettely ilmoituksia varten voidaan määritellä tarkemmin komission täytäntöönpanosäädöksillä, ja yhdenmukaistetut standardit jotka tukevat haavoittuvuuksien hallintaa, odotetaan noin 30. elokuuta 2026. Molemmat valmistuvat vasta hieman ennen velvollisuuden alkamista. Käytännön johtopäätös: rakenna sisäinen havaitsemis- ja raportointiprosessisi nyt; älä odota alustan lopullista toimintalogiikkaa tai julkaistua raportointimallia, sillä velvollisuus koskee 11. syyskuuta 2026 alkaen joka tapauksessa.

05Miten olla valmis

24 tunnin ikkunan saavuttaminen on operatiivinen ongelma, ei paperityöongelma. Valmistajat, jotka sen saavuttavat, ovat niitä, jotka jo tietävät, mitä heidän tuotteissaan on, ja seuraavat sitä jatkuvasti.

  • Ylläpidä tarkkaa SBOM-luetteloa; et voi ilmoittaa komponentista, jonka toimittamisesta et ollut tietoinen. Ylläpidä SBOM-ohjelmistokomponenttiluetteloa ja pidä se ajan tasalla versioiden muuttuessa.
  • Seuraa sitä jatkuvasti; vertaa komponenttejasi tunnettujen haavoittuvuuksien lähteisiin, jotta aktiivisesti hyväksikäytetty puute ilmenee tunneissa eikä viikoissa.
  • Määrittele prosessi etukäteen; päätä nyt, kuka päättää ilmoituksen tarpeellisuudesta, kuka sen laatii ja kuka sen toimittaa, jotta aikaa ei kulu sisäiseen eskalaatioon.
  • Seuraa taustalla olevia vaatimuksia; the vaatimustenmukaisuusmatriisi sitoo ilmoittamisen laajempiin liite I:n haavoittuvuuksien hallintavelvollisuuksiin, joiden piiriin se kuuluu.

The SBOM- ja haavoittuvuusanalysaattori kattaa kaksi ensimmäistä: se vertaa ohjelmistokomponenttiluetteloasi NVD:tä ja EU:n haavoittuvuustietokantaa (EUVD) vastaan, joten aktiivisesti hyväksikäytetty komponentti merkitään 24 tunnin ikkunan sisällä.

Avaa haavoittuvuusanalysaattori →CRA selitettynä →

06Yleisiä kysymyksiä

Mitä minun on ilmoitettava CRA:n nojalla ja kuinka nopeasti?

Aktiivisesti hyväksikäytetyt haavoittuvuudet ja vakavat poikkeamat, jotka vaikuttavat tuotteesi tietoturvaan. Sinun on lähetettävä ennakkovaroitus 24 tunnin kuluessa tietoiseksi tulemisesta, täydellisempi ilmoitus 72 tunnin kuluessa ja loppuraportti 14 päivän kuluessa korjaavan toimenpiteen saatavuudesta. Art. 14

Milloin ilmoittamisvelvollisuudet alkavat?

11. syyskuuta 2026; 21 kuukautta lain voimaantulon jälkeen, ja hyvissä ajoin ennen täyttä soveltamista 11. joulukuuta 2027.

Kenelle ilmoitan?

ENISAlle ja koordinaattoriksi nimetylle kansalliselle CSIRT:lle ENISA:n artiklan 16 nojalla perustaman yhden ilmoituspisteen alustan kautta. Se on yksi sisääntulopiste erillisten ilmoitusten sijaan.

Onko minun ilmoitettava jokaisesta virheestä tai haavoittuvuudesta?

Ei. Ainoastaan aktiivisesti hyväksikäytetyt haavoittuvuudet ja vakavat poikkeamat ovat ilmoitettavia. Haavoittuvuudet, jotka löydät ja korjaat ennen hyväksikäyttöä, hallitaan tavanomaisen haavoittuvuuksien hallintaprosessisi kautta.

Onko ENISA:n yhden ilmoituspisteen alusta jo saatavilla?

Ei vielä. Vuoden 2026 puolivälissä sitä rakennetaan edelleen artiklan 16 nojalla; ENISA julkaisee rekisteröinti- ja harjoitusmateriaalia valmistautumisvaiheessa ja alustan on tarkoitus olla toiminnassa 11. syyskuuta 2026 mennessä, sitä ennen on testausjakso.

Onko ilmoittamista varten jo vakiomuotoa tai mallia?

Ei lopullista. Komissio voi määritellä ilmoitusten muodon ja menettelyn täytäntöönpanosäädöksillä, ja haavoittuvuuksien hallintaa tukevien yhdenmukaistettujen standardeja odotetaan noin 30. elokuuta 2026. Valmistele sisäinen prosessisi nyt sen sijaan, että odotat julkaistua mekaniikkaa; velvollisuus soveltuu 11. syyskuuta 2026 alkaen joka tapauksessa.

Jatka lukemista

Liittyvät viitteet

§CRA selitettynä

Soveltamisala, luokat, velvollisuudet ja koko aikataulu selkeällä kielellä.

§SBOM- ja haavoittuvuusanalysaattori

Vertaa komponenttejasi NVD:tä ja EUVD:tä vastaan täyttääksesi 24 tunnin ikkunan.

§Koko asetus

Regulation (EU) 2024/2847:n sitovasta tekstistä artiklat 14 ja 16.

§Usein kysytyt kysymykset

Ytimekkäät vastaukset yleisiin sidosryhmäkysymyksiin viitteineen.