Független útmutató az (EU) 2024/2847 rendelethez · Állapot: hatályban
Ez az oldal automatikus (mesterséges intelligenciával készült) fordítás, amelyet ember nem ellenőrzött.
A CRA megértése · Bejelentés

CRA-incidensek és sebezhetőségek bejelentése

2026. szeptember 11-től a gyártóknak a 14. cikk alapján be kell jelenteniük az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket; mit kell bejelenteni, a 24 órás, 72 órás és 14 napos határidők, és ki kapja meg.

Olvasási idő: kb. 8 perc14. cikk · 16. cikk2026. szeptember 11-től alkalmazandó

01Mit kell bejelenteni

A vonatkozó rendelet 14. cikkében Kiberreziliencia-rendelet két különálló bejelentési kötelezettséget hoz létre a digitális elemeket tartalmazó termékek gyártói számára. Ezek szűkebbek, mint elsőre tűnnek: a rutinhibák és a szokásos javítások nem tartoznak a hatályuk alá. 14. cikk

  • Aktívan kihasznált sebezhetőségek; egy, a termékében lévő, aktívan kihasználás alatt álló sebezhetőség. Az olyan sebezhetőség, amelyet Ön fedez fel és javít ki a kihasználás előtt, a szokásos sebezhetőség-kezelési folyamat, nem pedig ezen a bejelentési csatornán.
  • Súlyos incidensek; olyan incidens, amely súlyos hatással van a termék biztonságára, például amely veszélyezteti a felhasználók számára a bizalmasságot, az integritást vagy a rendelkezésre állást.
Az ellenőrzés

Ha termékének biztonsági gyengeségét aktívan kihasználják, vagy egy biztonsági incidens súlyosan érintette, megkezdődik a 14. cikk szerinti időszámlálás. Minden más a napi sebezhetőség-kezelés keretében marad.

02A három határidő

Minden bejelentés három szakaszban zajlik, attól a pillanattól mérve, amikor Ön tudomást szerez a kihasznált sebezhetőségről vagy súlyos incidensről. Az időablakok szűkek, ezért a felkészültség fontosabb az adott napon a folyamatnál. 14. cikk (2)–(4) bek.

  • 24 órán belülKorai figyelmeztetés. Első bejelentés arról, hogy aktívan kihasznált sebezhetőség vagy súlyos incidens következett be, beleértve azt is, hogy gyanítható-e, hogy azt jogellenes vagy rosszindulatú cselekmény okozta.
  • 72 órán belülSebezhetőség / incidens bejelentése. Részletesebb tájékoztató, amely tartalmazza a kezdeti értékelést, a súlyosságot és a hatást, valamint ahol rendelkezésre áll, a meghozott korrekciós vagy mérséklő intézkedéseket.
  • 14 napon belülZárójelentés. Amint korrekciós intézkedés áll rendelkezésre: a sebezhetőség vagy incidens leírása, súlyossága és hatása, valamint az alkalmazott orvoslás. Incidensek esetén a határidő az incidens kezelésének időpontjától fut.

03Kinek jelent

A bejelentések címzettje ENISA és a koordinátorként kijelölt CSIRT az érintett tagállam vonatkozásában. Nem kell külön-külön felvenni a kapcsolatot minden hatósággal: a CRA létrehozza a egységes bejelentési platform, amelyet az ENISA épít és üzemeltet, az összes bejelentés egységes belépési pontjaként. 14. cikk · 16. cikk

A platform minden bejelentést az illetékes nemzeti CSIRT-hez, és szükség esetén más hatóságokhoz irányít. Szűk körű esetekben – például ahol a közzététel aránytalanul nagy kiberbiztonsági kockázatot jelentene – a rendelet lehetővé teszi a bejelentés korlátozását, de az alapértelmezés a teljes és azonnali bejelentés a platformon keresztül.

Állapot · 2026 közepe

Az egységes bejelentési platform még nem általánosan elérhető. Az ENISA még épiti (a fejlesztést közbeszerzési eljárás keretében megbízták), és a felkészülési időszakban regisztrációs, bevezetési és próbaüzemi anyagokat tesz közzé. A cél az, hogy 2026. szeptember 11-i kezdési időpontra működőképes legyen, előtte tesztelési időszakkal; tehát jelenleg nincs élő platform, ahol regisztrálni lehetne.

04Mikor kezdődik

A bejelentési kötelezettségek a CRA legkorábbi hatályba lépő fő része. Míg a legtöbb rendelkezés 2027. december 11-től alkalmazandó, a 14. cikk a következőtől alkalmazandó: 2026. szeptember 11.; 21 hónappal a rendelet hatálybalépése után. Az egységes bejelentési platformnak erre az időpontra kell működőképessé válnia. 71. cikk

Miért ez az első fontos határidő

A CE-jelöléssel ellentétben, amelyet a termék forgalomba hozatala előtt egyszer kell elvégezni, a bejelentés egy élő, folyamatos kötelezettség, amely 2026 szeptemberében kezdődik, és azután bármikor aktiválódhat. A felkészültség nem egyszeri projekt.

Még véglegesítés alatt

A pontos formátum és eljárás a bejelentések esetében a Bizottság végrehajtási aktusai tovább pontosíthatják, és a harmonizált szabványok amelyek a sebezhetőség-kezelést alátámasztják, várhatóan 2026. augusztus 30.. Mindkettő várhatóan csak közvetlenül a kötelezettség hatálybalépése előtt jelenik meg. A gyakorlati következtetés: most hozza létre a belső észlelési és bejelentési folyamatot; ne várja meg a végleges platformmechanizmust vagy egy közzétett bejelentési sablont, mert a kötelezettség 2026. szeptember 11-től alkalmazandó, függetlenül ettől.

05Hogyan legyen felkészülve

A 24 órás határidő betartása működési kérdés, nem adminisztratív. Azok a gyártók teljesítik, akik már tudják, mi van a termékeikben, és folyamatosan figyelik azokat.

  • Tartson fenn pontos SBOM-ot; nem tud bejelentést tenni egy olyan összetevőről, amelyről nem tudta, hogy szállítja. Tartson fenn egy szoftverkomponens-listát (SBOM), és tartsa naprakészen a kiadások változásával.
  • Folyamatosan figyelje; egyeztesse összetevőit az ismert sebezhetőségi forrásokkal, hogy az aktívan kihasznált hiba órákon belül felszínre kerüljön, ne hetekig tartson.
  • Határozza meg előre a folyamatot; döntse el most, hogy ki dönti el, hogy bejelentés szükséges, ki készíti el és ki nyújtja be, hogy az idő ne belső eszkalációra menjen el.
  • Kövesse nyomon az alapvető követelményeket; a megfelelőségi mátrix a bejelentést az I. melléklet tágabb sebezhetőség-kezelési kötelezettségeihez köti, amelyen belül elhelyezkedik.

A SBOM és sebezhetőség-elemző az első kettőt fedi le: a komponenslista nyomon követése az NVD-vel és az EU sebezhetőségi adatbázisával (EUVD) szemben, így az aktívan kihasznált összetevő 24 órán belül megjelenik.

A sebezhetőség-elemző megnyitása →A CRA magyarázata →

06Gyakori kérdések

Mit kell bejelenteni a CRA alapján, és milyen gyorsan?

A termék biztonságát érintő aktívan kihasznált sebezhetőségek és súlyos incidensek. Az észleléstől számított 24 órán belül korai figyelmeztetést, 72 órán belül részletesebb bejelentést, és a korrekciós intézkedés elérhetőségét követő 14 napon belül zárójelentést kell küldeni. 14. cikk

Mikor kezdődnek a bejelentési kötelezettségek?

2026. szeptember 11.; 21 hónappal a rendelet hatálybalépése után, és jóval a 2027. december 11-i teljes alkalmazás előtt.

Kinek kell bejelentést tenni?

Az ENISA-nak és a koordinátorként kijelölt nemzeti CSIRT-nek, a 16. cikk alapján az ENISA által létrehozott egységes bejelentési platformon keresztül. Ez egyetlen belépési pont, nem különálló bejelentések.

Minden hibát vagy sebezhetőséget be kell jelenteni?

Nem. Csak az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket kell bejelenteni. A kihasználás előtt feltárt és kijavított sebezhetőségeket a szokásos sebezhetőség-kezelési folyamaton keresztül kezelik.

Az ENISA egységes bejelentési platformja már elérhető?

Még nem. 2026 közepéig még a 16. cikk alapján épül; az ENISA a felkészülési időszakban regisztrációs és próbaüzemi anyagokat tesz közzé, és a platform célja, hogy 2026. szeptember 11-re működőképes legyen, előtte tesztelési időszakkal.

Van már szabványos formátum vagy sablon a bejelentéshez?

Nem végleges. A Bizottság végrehajtási aktusok útján meghatározhatja a bejelentések formátumát és eljárását, és a sebezhetőség-kezelést alátámasztó harmonizált szabványok várhatóan 2026. augusztus 30. körül jelennek meg. Most készítse elő a belső folyamatot, ne várja meg a közzétett mechanizmust; a kötelezettség 2026. szeptember 11-től alkalmazandó, függetlenül ettől.

Olvasás folytatása

Kapcsolódó hivatkozások

§A CRA magyarázata

Hatókör, osztályok, kötelezettségek és a teljes ütemterv közérthetően.

§SBOM és sebezhetőség-elemző

Egyeztesse összetevőit az NVD-vel és az EUVD-vel a 24 órás határidő teljesítéséhez.

§A teljes rendelet

A Regulation (EU) 2024/2847 kötelező szövegének 14. és 16. cikkében.

§Gyakran ismételt kérdések

Tömör válaszok az érdekelt felek gyakori kérdéseire, hivatkozásokkal.