01報告しなければならないもの
次の文書の Art. 14 Cyber Resilience Act デジタル要素を持つ製品の製造者に対して2つの明確な報告義務を生じさせます。最初に見えるよりも範囲は狭く、日常的なバグや通常のパッチは対象外です。 Art. 14
- 積極的に悪用されている脆弱性;攻撃に使用されている自社製品の脆弱性。悪用される前に発見・修正した脆弱性は通常の 脆弱性対応プロセス、この報告チャネルではありません。
- 重大なインシデント;製品のセキュリティに重大な影響を与えるインシデント。例えば、ユーザーの機密性、完全性または可用性を損なうもの。
製品のセキュリティ上の弱点が積極的に悪用されている場合、またはセキュリティインシデントが製品に重大な影響を与えた場合、Art. 14の時計が動き始めます。それ以外はすべて日常的な脆弱性対応の範囲内です。
023つの期限
各報告は3つの段階で展開され、 認識した時点から 悪用された脆弱性または重大なインシデントの。期限は厳しく、だからこそ当日のプロセスよりも事前の準備が重要です。 Art. 14(2)–(4)
- 24時間以内早期警告。 積極的に悪用されている脆弱性または重大なインシデントが発生したことの最初の通知。違法または悪意のある行為によって引き起こされたと疑われるかどうかを含みます。
- 72時間以内脆弱性・インシデントの通知。 初期評価、重大度および影響、および入手可能な場合は講じられた是正または軽減措置を含む詳細な報告。
- 14日以内最終報告。 是正措置が利用可能になった時点:脆弱性またはインシデントの説明、その重大度と影響、および適用された修正措置。インシデントの場合、期限はインシデントが対応された時点から起算されます。
03報告先
報告の提出先: ENISA および次に対して コーディネーターとして指定されたCSIRT 関係加盟国のために。各当局に個別に連絡する必要はありません。CRAは次を設立します: 単一報告プラットフォーム、ENISAが構築・運営し、すべての通知の共通窓口となります。 Art. 14 · 16
プラットフォームは各通知を関連する各国CSIRTに、必要に応じて他の当局にも転送します。開示が不均衡なサイバーセキュリティリスクを生じさせる場合など、限られた状況において規則は通知を制限することを認めていますが、デフォルトはプラットフォームを通じた完全かつ迅速な報告です。
単一報告プラットフォームは まだ一般に利用可能ではありません。ENISAはまだ構築中(開発は入札・契約済み)であり、開始に向けて登録・オンボーディング・試験運用資料を公開しています。2026年9月11日の開始日までに運用開始する予定で、それ以前にテスト期間が設けられます。現在、登録可能なライブプラットフォームは存在しません。
04開始時期
報告義務はCRAの中で最も早く発効する主要な部分です。大部分の規定は2027年12月11日から適用されますが、Art. 14は 2026年9月11日;法律の発効から21か月後。単一報告プラットフォームはその日までに運用開始する予定です。 Art. 71
製品を市場に出す前に一度完了するCEマーキングとは異なり、報告は2026年9月に始まり、その後いつでも発動しうるリアルタイムの継続的な義務です。準備は一度限りのプロジェクトではありません。
正確な フォーマットと手続き 通知のフォーマットは欧州委員会の実施行為によってさらに規定される可能性があり、また 整合規格 脆弱性対応を支えるものは約 2026年8月30日。いずれも義務開始の直前にのみ提供される見込みです。実際的な結論:今すぐ内部の検知・報告プロセスを構築してください。最終的なプラットフォームの仕組みや公表された報告テンプレートを待つ必要はありません。義務は2026年9月11日から適用されます。
05準備する方法
24時間の期限を守ることは運用上の問題であり、書類上の問題ではありません。これを達成できる製造者は、製品に何が含まれているかをすでに把握し、継続的に監視している者です。
- 正確なSBOMを維持する;出荷したことを知らなかったコンポーネントについては報告できません。ソフトウェア部品表(SBOM)を維持し、リリースの変更に合わせて最新の状態に保ってください。
- 継続的に監視する;コンポーネントを既知の脆弱性情報源と照合し、悪用されている欠陥が数週間ではなく数時間以内に検出されるようにしてください。
- プロセスを事前に定義する;報告が必要と判断する担当者、草案を作成する担当者、提出する担当者を今すぐ決定し、時間を内部エスカレーションで無駄にしないようにしてください。
- 根拠となる要件を追跡する; コンプライアンスマトリクス 報告をAnnex Iの脆弱性対応義務全体の中に位置付けます。
次の SBOMと脆弱性アナライザー 最初の2つをカバーします。部品表をNVDおよびEU脆弱性データベース(EUVD)と照合して追跡し、積極的に悪用されているコンポーネントを24時間以内にフラグを立てます。
06よくある質問
CRAに基づいて何を、どのくらい迅速に報告しなければなりませんか?
製品のセキュリティに影響する積極的に悪用されている脆弱性および重大なインシデント。認識から24時間以内に早期警告を送付し、72時間以内に詳細な通知を送付し、是正措置が利用可能になってから14日以内に最終報告を送付しなければなりません。 Art. 14
報告義務はいつから始まりますか?
2026年9月11日。法律の発効から21か月後であり、2027年12月11日の完全適用よりも大幅に先行します。
誰に報告しますか?
ENISAおよびコーディネーターとして指定された各国CSIRTに対し、ENISAがArt. 16に基づいて設置する単一報告プラットフォームを通じて。個別の申請ではなく、単一の窓口です。
すべてのバグや脆弱性を報告しなければなりませんか?
いいえ。報告が必要なのは積極的に悪用されている脆弱性および重大なインシデントのみです。悪用される前に発見・修正した脆弱性は通常の脆弱性対応プロセスで管理されます。
ENISAの単一報告プラットフォームはすでに利用可能ですか?
まだです。2026年半ば時点ではArt. 16に基づいてまだ構築中です。ENISAは開始に向けて登録および試験運用資料を公開しており、プラットフォームは2026年9月11日までに運用開始する予定で、それ以前にテスト期間が設けられます。
報告のための標準フォーマットやテンプレートはすでにありますか?
最終的なものはまだありません。欧州委員会は実施行為によって通知のフォーマットと手続きを規定する可能性があり、脆弱性対応を支える整合規格は2026年8月30日頃に予定されています。公表された仕組みを待つのではなく、今すぐ内部プロセスを準備してください。義務は2026年9月11日から適用されます。