Nepriklausomas Reglamento (ES) 2024/2847 vadovas · Būsena: galioja
Šis puslapis yra automatinis (DI) vertimas ir nebuvo peržiūrėtas žmogaus.
CRA supratimas · Pranešimai

CRA incidentų ir pažeidžiamumų pranešimai

Nuo 2026 m. rugsėjo 11 d. gamintojai privalo pagal 14 straipsnį pranešti apie aktyviai išnaudojamus pažeidžiamumus ir sunkius incidentus; kas pranešama, 24 valandų, 72 valandų ir 14 dienų terminai bei kam teikiama.

Apytiksl. 8 min. skaitymas14 straipsnis · 16 straipsnisTaikoma nuo 2026 m. rugsėjo 11 d.

01Kas turi būti pranešta

14 straipsnyje Kibernetinio atsparumo aktas sukuria dvi atskiras pranešimų teikimo prievoles skaitmeninių elementų turinčių produktų gamintojams. Jos yra siauresnės, nei atrodo iš pirmo žvilgsnio: įprastos klaidos ir paprasti pataisymai nepatenka į taikymo sritį. Art. 14

  • Aktyviai išnaudojami pažeidžiamumai; jūsų produkte esanti pažeidžiamumas, naudojamas atakoje. Pažeidžiamumas, kurį aptinkate ir pašalinate prieš tai, kai jis išnaudojamas, tvarkomas per jūsų įprastą pažeidžiamumų tvarkymo procesas, o ne šiuo pranešimų kanalu.
  • Sunkūs incidentai; incidentas, turintis didelį poveikį produkto saugumui, pavyzdžiui, toks, kuris kenkia naudotojų konfidencialumui, vientisumui ar pasiekiamumui.
Patikrinimas

Jei jūsų produkto saugumo silpnoji vieta aktyviai išnaudojama arba saugumo incidentas smarkiai paveikė jį, pradeda eiti 14 straipsnio laikrodis. Visa kita lieka jūsų kasdienio pažeidžiamumų tvarkymo srityje.

02Trys terminai

Kiekvienas pranešimas teikiamas trimis etapais, skaičiuojant nuo momento, kai sužinote išnaudoto pažeidžiamumo arba sunkaus incidento. Terminai yra trumpi, todėl pasirengimas svarbiau už procesą tą dieną. Art. 14(2)–(4)

  • Per 24 val.Išankstinis įspėjimas. Pirminis pranešimas apie aktyviai išnaudojamo pažeidžiamumo arba sunkaus incidento įvykį, įskaitant tai, ar įtariama, kad jį sukėlė neteisėti ar kenkėjiški veiksmai.
  • Per 72 val.Pažeidžiamumo / incidento pranešimas. Išsamesnis pranešimas, apimantis pirminį vertinimą, rimtumą ir poveikį, o ten, kur įmanoma, – taikytų korekcinių ar svelninančių priemonių aprašymą.
  • Per 14 dienųGalutinė ataskaita. Kai bus prieinama korekcinė priemonė: pažeidžiamumo arba incidento aprašymas, jo rimtumas ir poveikis bei pritaikytas taisymas. Incidentų atveju terminas skaičiuojamas nuo incidento sutvarkymo momento.

03Kam teikiate pranešimus

Pranešimai teikiami ENISA ir koordinatoriumi paskirtas CSIRT atitinkamai valstybei narei. Jūs nekontaktuojate su kiekviena institucija atskirai: CRA nustato viena pranešimų pateikimo platforma, sukurta ir valdoma ENISA, kaip bendras visų pranešimų pateikimo punktas. Art. 14 · 16

Platforma kiekvieną pranešimą nukreipia atitinkamam nacionaliniam CSIRT ir, kai reikia, kitoms institucijoms. Siaurai apibrėžtais atvejais – pavyzdžiui, kai atskleidimas sukeltų neproporcingą kibernetinio saugumo riziką – Reglamentas leidžia apriboti pranešimą, tačiau numatytoji tvarka yra išsamus ir greitas pranešimų teikimas per platformą.

Būsena · 2026 m. vidurys

Vienintelė pranešimų pateikimo platforma yra dar nėra visuotinai prieinama. ENISA vis dar ją kuria (plėtra buvo paskelbta konkurso tvarka ir pagal sutartį), o pasirengimo etapu skelbia registracijos, integravimo ir bandomojo pranešimų teikimo medžiagą. Numatoma, kad ji pradės veikti iki 2026 m. rugsėjo 11 d., prieš tai bus bandymų laikotarpis; taigi šiuo metu nėra jokios veikiančios platformos, kurioje galima būtų registruotis.

04Kada tai prasideda

Pranešimų teikimo prievolės yra ankstyviausia pagrindinė CRA dalis, įsigaliojanti. Nors dauguma nuostatų taikomos nuo 2027 m. gruodžio 11 d., 14 straipsnis taikomas nuo 2026 m. rugsėjo 11 d.; praėjus 21 mėnesiui nuo Akto įsigaliojimo. Numatoma, kad vienintelė pranešimų pateikimo platforma pradės veikti iki tos datos. Art. 71

Kodėl šis terminas yra pirmasis svarbus

Skirtingai nuo CE ženklinimo, kurį atliekate vieną kartą prieš pateikdami produktą rinkai, pranešimų teikimas yra nuolatinė, vykdoma pareiga, prasidedanti 2026 m. rugsėjį ir galinti būti suaktyvinta bet kuriuo momentu po to. Pasirengimas nėra vienkartinis projektas.

Dar baigiama

Tikslus formatas ir procedūra pranešimams gali būti tiksliau nustatytas Komisijos įgyvendinimo aktais, o suderinti standartai kuriais grindžiamas pažeidžiamumų tvarkymas, tikimasi apie 2026 m. rugpjūčio 30 d.. Abu turėtų pasirodyti tik prieš pat prievolės įsigaliojimą. Praktinė išvada: kurkite savo vidaus aptikimo ir pranešimų teikimo procesą dabar; nelaukite galutinės platformos mechanikos ar paskelbto pranešimų šablono, nes pareiga taikoma nuo 2026 m. rugsėjo 11 d. nepriklausomai nuo to.

05Kaip pasirengti

24 valandų termino laikymasis yra operacinis, o ne popierizminis uždavinys. Terminą įvykdys tie gamintojai, kurie jau žino, kas yra jų produktuose, ir tai nuolat stebi.

  • Tvarkykite tikslų SBOM; negalite pranešti apie komponentą, apie kurį nežinojote, kad jį tiekiate. Tvarkykite programinės įrangos sudedamųjų dalių sąrašą ir nuolat jį atnaujinkite keičiantis leidimams.
  • Stebėkite nuolat; tikrinkite savo komponentus pagal žinomus pažeidžiamumų šaltinius, kad aktyviai išnaudojamas trūkumas paaiškėtų per valandas, o ne savaites.
  • Iš anksto apibrėžkite procesą; iš anksto nuspręskite, kas priima sprendimą dėl pranešimo poreikio, kas jį rengia ir kas teikia, kad laikas nebūtų švaistomas vidinei eskalacijai.
  • Stebėkite pagrindinius reikalavimus; the atitikties matrica susieja pranešimų teikimą su platesne I priedo pažeidžiamumų tvarkymo prievolių sistema, kuriai jis priklauso.

The SBOM ir pažeidžiamumų analizatorius apima pirmuosius du: jis tikrina jūsų sudedamųjų dalių sąrašą pagal NVD ir ES pažeidžiamumų duomenų bazę (EUVD), kad aktyviai išnaudojamas komponentas būtų pažymėtas per 24 valandų langą.

Atverti pažeidžiamumų analizatorių →CRA paaiškintas →

06Dažni klausimai

Ką privalau pranešti pagal CRA ir kaip greitai?

Aktyviai išnaudojami pažeidžiamumai ir sunkūs incidentai, darantys poveikį jūsų produkto saugumui. Turite išsiųsti išankstinį įspėjimą per 24 valandas nuo sužinojimo, išsamesnį pranešimą per 72 valandas ir galutinę ataskaitą per 14 dienų nuo korekcinės priemonės prieinamumo. Art. 14

Kada prasideda pranešimų teikimo prievolės?

2026 m. rugsėjo 11 d.; praėjus 21 mėnesiui nuo Akto įsigaliojimo ir gerokai anksčiau nei visiškas taikymas 2027 m. gruodžio 11 d.

Kam pranešu?

ENISA ir nacionaliniam CSIRT, paskirtam koordinatoriumi, per vieną pranešimų pateikimo platformą, kurią ENISA sukuria pagal 16 straipsnį. Tai vienas įrašo punktas, o ne atskiri teikimai.

Ar privalau pranešti apie kiekvieną klaidą ar pažeidžiamumą?

Ne. Pranešama tik apie aktyviai išnaudojamus pažeidžiamumus ir sunkius incidentus. Pažeidžiamumai, kuriuos aptinkate ir pašalinate prieš išnaudojimą, tvarkomi per jūsų įprastą pažeidžiamumų tvarkymo procesą.

Ar ENISA vienintelė pranešimų pateikimo platforma jau prieinama?

Ne dar. 2026 m. viduryje ji vis dar kuriama pagal 16 straipsnį; ENISA pasirengimo etapu skelbia registracijos ir bandomojo pranešimų teikimo medžiagą, o platforma turėtų būti parengta iki 2026 m. rugsėjo 11 d., prieš tai bus bandymų laikotarpis.

Ar jau yra standartinis pranešimų pateikimo formatas ar šablonas?

Ne galutinis. Komisija gali nustatyti pranešimų formatą ir procedūrą įgyvendinimo aktais, o suderinti standartai, kuriais grindžiamas pažeidžiamumų tvarkymas, tikimasi apie 2026 m. rugpjūčio 30 d. Paruoškite savo vidaus procesą dabar, o ne laukite paskelbtų mechanizmų; prievolė taikoma nuo 2026 m. rugsėjo 11 d. nepriklausomai nuo to.

Skaityti toliau

Susijusios nuorodos

§CRA paaiškintas

Taikymo sritis, klasės, prievolės ir visas tvarkaraštis paprastais žodžiais.

§SBOM ir pažeidžiamumų analizatorius

Tikrinkite savo komponentus pagal NVD ir EUVD, kad laikytumėtės 24 valandų termino.

§Visas reglamentas

Reglamento (ES) 2024/2847 privalomame tekste – 14 ir 16 straipsniuose.

§Dažnai užduodami klausimai

Glaustų atsakymų į dažnus suinteresuotųjų šalių klausimus su nuorodomis rinkinys.