Neovisan vodič kroz Uredbu (EU) 2024/2847 · Status: na snazi
Ova je stranica automatski (UI) prijevod i nije je pregledala osoba.
Razumijevanje CRA-e · Izvješćivanje

CRA izvješćivanje o incidentima i ranjivostima

Od 11. rujna 2026. proizvođači moraju prijavljivati aktivno iskorištene ranjivosti i ozbiljne incidente prema članku 14.; što prijaviti, rokovi od 24 sata, 72 sata i 14 dana te tko ih prima.

Otprilike 8 min čitanjaČlanak 14. · 16.Primjenjuje se od 11. rujna 2026.

01Što se mora prijaviti

Članka 14. od Akt o kibernetičkoj otpornosti stvara dvije različite obveze izvješćivanja za proizvođače proizvoda s digitalnim elementima. Uže su nego što se na prvi pogled čini: rutinske pogreške i uobičajeni zakrpi nisu u opsegu. Čl. 14.

  • Aktivno iskorištene ranjivosti; ranjivost u vašem proizvodu koja se koristi u napadu. Ranjivost koju otkrijete i zakrpate prije iskorištavanja obrađuje se kroz vaš uobičajeni proces upravljanja ranjivostima, a ne ovim kanalom izvješćivanja.
  • Ozbiljni incidenti; incident koji ozbiljno utječe na sigurnost proizvoda, primjerice onaj koji ugrožava povjerljivost, integritet ili dostupnost za korisnike.
Test

Ako se sigurnosna slabost u vašem proizvodu aktivno iskorištava ili je sigurnosni incident ozbiljno utjecao na njega, počinje teći rok iz članka 14. Sve ostalo ostaje u okviru svakodnevnog upravljanja ranjivostima.

02Tri roka

Svako izvješće odvija se u tri faze, mjereno od trenutka kada postanete svjesni iskorištene ranjivosti ili ozbiljnog incidenta. Rokovi su kratki, zbog čega je pripremljenost važnija od procesa na sam dan. Čl. 14(2)–(4)

  • Unutar 24hRano upozorenje. Prva obavijest da je došlo do aktivno iskorištene ranjivosti ili ozbiljnog incidenta, uključujući sumnju je li uzrokovan nezakonitim ili zlonamjernim radnjama.
  • Unutar 72hObavijest o ranjivosti / incidentu. Potpuniji izvještaj, uključujući početnu procjenu, ozbiljnost i utjecaj te, gdje je dostupno, poduzete korektivne ili ublažavajuće mjere.
  • Unutar 14 danaZavršno izvješće. Nakon što je dostupna korektivna mjera: opis ranjivosti ili incidenta, njegova ozbiljnost i utjecaj te primijenjena sanacija. Za incidente, rok teče od trenutka kada je incident riješen.

03Kome se prijavljujete

Izvješća se šalju ENISA i relevantnom CSIRT određen kao koordinator za dotičnu državu članicu. Ne kontaktirate svako tijelo posebno: CRA uspostavlja jedinstvene platforme za izvješćivanje, koju gradi i kojom upravlja ENISA, kao zajedničku ulaznu točku za sve obavijesti. Čl. 14. · 16.

Platforma usmjerava svaku obavijest relevantnom nacionalnom CSIRT-u i, gdje je potrebno, drugim tijelima. U uskim slučajevima; primjerice gdje bi otkrivanje stvorilo nerazmjerni rizik kibernetičke sigurnosti; Uredba dopušta ograničavanje obavijesti, ali zadano je potpuno i pravovremeno izvješćivanje putem platforme.

Status · sredina 2026.

Jedinstvena platforma za izvješćivanje je još nije općenito dostupna. ENISA je i dalje gradi (razvoj je rasisan i ugovoren) te objavljuje materijale za registraciju, uvođenje i probne aktivnosti u pripremnom razdoblju. Platforma treba biti operativna do datuma početka 11. rujna 2026., s testnim razdobljem prije toga; stoga danas ne postoji aktivna platforma za registraciju.

04Kada počinje

Obveze izvješćivanja najraniji su veliki dio CRA-e koji stupa na snagu. Dok se većina odredaba primjenjuje od 11. prosinca 2027., članak 14. primjenjuje se od 11. rujna 2026.; 21 mjesec nakon stupanja Akta na snagu. Jedinstvena platforma za izvješćivanje treba biti operativna do tog datuma. Čl. 71.

Zašto je ovo prvi rok koji je važan

Za razliku od Oznake CE, koju dovršavate jednom prije stavljanja proizvoda na tržište, izvješćivanje je živa, stalna dužnost koja počinje u rujnu 2026. i može se aktivirati u bilo kojem trenutku nakon toga. Biti spreman nije jednokratni projekt.

Još se finalizira

Točan format i postupak za obavijesti može biti dalje određen provedbenim aktima Komisije, a harmonizirane norme koje podupiru upravljanje ranjivostima očekuju se oko 30. kolovoza 2026.. Oboje se očekuje tek neposredno prije početka obveze. Praktični zaključak: izgradite interni proces otkrivanja i izvješćivanja sada; ne čekajte konačnu mehaniku platforme ni objavljeni predložak izvješća, jer obveza se primjenjuje od 11. rujna 2026. bez obzira na sve.

05Kako biti spreman

Ispunjavanje vremenskog prozora od 24 sata operativni je problem, a ne administrativni. Proizvođači koji će ga zadovoljiti su oni koji već znaju što se nalazi u njihovim proizvodima i prate to kontinuirano.

  • Održavajte točan SBOM; ne možete izvještavati o komponenti za koju niste znali da ste isporučili. Održavajte SBOM i ažurirajte ga kako se izdanja mijenjaju.
  • Pratite ga kontinuirano; usporedite svoje komponente s izvorima poznatih ranjivosti kako bi se aktivno iskorišteni nedostatak otkrio u satima, a ne tjednima.
  • Definirajte proces unaprijed; odlučite sada tko donosi odluku o potrebi izvješća, tko ga sastavlja i tko ga podnosi, kako se dragocjeno vrijeme ne bi trošilo na internu eskalaciju.
  • Pratite temeljne zahtjeve; the matricu sukladnosti izvješćivanje veže uz šire dužnosti upravljanja ranjivostima iz Priloga I. unutar kojih se nalazi.

The SBOM i analizator ranjivosti pokriva prva dva: prati vaš popis materijala prema NVD-u i europskoj bazi podataka ranjivosti (EUVD), tako da je aktivno iskorištena komponenta označena unutar vremenskog prozora od 24 sata.

Otvori analizator ranjivosti →CRA, objašnjen →

06Česta pitanja

Što moram prijaviti prema CRA-i i koliko brzo?

Aktivno iskorištene ranjivosti i ozbiljni incidenti koji utječu na sigurnost vašeg proizvoda. Morate poslati rano upozorenje unutar 24 sata od saznanja, potpuniju obavijest unutar 72 sata i završno izvješće unutar 14 dana od dostupnosti korektivne mjere. Čl. 14.

Kada počinju obveze izvješćivanja?

11. rujna 2026.; 21 mjesec nakon stupanja Akta na snagu i znatno prije potpune primjene 11. prosinca 2027.

Kome se prijavljujem?

ENISA-i i nacionalnom CSIRT-u određenom kao koordinator, putem jedinstvene platforme za izvješćivanje koju ENISA uspostavlja prema članku 16. To je jedinstvena ulazna točka, a ne odvojena podnošenja.

Moram li prijaviti svaku pogrešku ili ranjivost?

Ne. Samo aktivno iskorištene ranjivosti i ozbiljni incidenti podliježu obvezi izvješćivanja. Ranjivosti koje pronađete i ispravite prije iskorištavanja upravljaju se kroz vaš uobičajeni proces upravljanja ranjivostima.

Je li ENISA-ina jedinstvena platforma za izvješćivanje već dostupna?

Još ne. Od sredine 2026. još se gradi prema članku 16.; ENISA objavljuje materijale za registraciju i probne aktivnosti u pripremnom razdoblju, a platforma treba biti operativna do 11. rujna 2026., s testnim razdobljem prije toga.

Postoji li već standardni format ili predložak za izvješćivanje?

Ne, konačan. Komisija može odrediti format i postupak obavijesti putem provedbenih akata, a harmonizirane norme koje podupiru upravljanje ranjivostima očekuju se oko 30. kolovoza 2026. Pripremite interni proces sada, a ne čekajte objavljenu mehaniku; obveza se primjenjuje od 11. rujna 2026. bez obzira na sve.

Nastavite čitati

Povezana upućivanja

§CRA, objašnjen

Opseg, razredi, obveze i cijeli vremenski okvir na razumljivom jeziku.

§SBOM i analizator ranjivosti

Pratite svoje komponente prema NVD-u i EUVD-u kako biste ispunili vremenski prozor od 24 sata.

§Cijela uredba

Članci 14. i 16. u obvezujućem tekstu Uredbe (EU) 2024/2847.

§Često postavljana pitanja

Sažeti odgovori na uobičajena pitanja dionika, s referencama.