Neatkarīga rokasgrāmata par Regulu (ES) 2024/2847 · Statuss: spēkā
Šī lapa ir automātisks (MI) tulkojums, un to nav pārskatījusi persona.
CRA izpratne · Ziņošana

CRA incidentu un ievainojamību ziņošana

No 2026. gada 11. septembra ražotājiem saskaņā ar 14. pantu jāziņo par aktīvi izmantotajām ievainojamībām un nopietniem incidentiem; kas jāziņo, 24 stundu, 72 stundu un 14 dienu termiņi un kurš to saņem.

Aptuveni 8 min. lasāmais14. pants · 16. pantsPiemērojams no 2026. gada 11. septembra

01Kas jāziņo

14. pants Kiberstabilitātes akts rada divus atšķirīgus ziņošanas pienākumus produktu ar digitāliem elementiem ražotājiem. Tie ir šaurāki, nekā sākotnēji šķiet: parastās kļūdas un parastie ielāpi nav ietverti. Art. 14

  • Aktīvi izmantotās ievainojamības; ievainojamība jūsu produktā, kas tiek izmantota uzbrukumā. Ievainojamību, ko atklājat un novēršat pirms tās izmantošanas, apstrādā izmantojot parasto ievainojamību apstrādes process, nevis šis paziņošanas kanāls.
  • Nopietni incidenti; incidents, kuram ir nopietna ietekme uz produkta drošību, piemēram, tāds, kas apdraud konfidencialitāti, integritāti vai pieejamību lietotājiem.
Pārbaude

Ja drošības vājuma vieta jūsu produktā tiek aktīvi izmantota vai drošības incidents to ir nopietni ietekmējis, 14. panta termiņš sākas. Viss pārējais paliek jūsu ikdienas ievainojamību apstrādes ietvaros.

02Trīs termiņi

Katrs ziņojums tiek sagatavots trīs posmos, skaitot no brīža, kad jūs uzziniet par izmantoto ievainojamību vai nopietno incidentu. Termiņi ir stingri, tāpēc gatavība ir svarīgāka nekā process tajā dienā. Art. 14(2)–(4)

  • 24 stundu laikāAgrīns brīdinājums. Pirmais paziņojums par aktīvi izmantotu ievainojamību vai nopietnu incidentu, tostarp par to, vai ir aizdomas, ka to izraisījušas nelikumīgas vai ļaunprātīgas darbības.
  • 72 stundu laikāIevainojamības / incidenta paziņojums. Pilnīgāks ziņojums, tostarp sākotnējais novērtējums, smaguma pakāpe un ietekme, kā arī, ja pieejams, veiktie koriģējošie vai mazinošie pasākumi.
  • 14 dienu laikāGalīgais ziņojums. Tiklīdz pieejams koriģējošs pasākums: ievainojamības vai incidenta apraksts, tā smaguma pakāpe un ietekme, kā arī piemērotie tiesiskās aizsardzības pasākumi. Incidentiem termiņš sākas no incidenta apstrādes brīža.

03Kam jūs ziņojat

Ziņojumi nosūtāmi ENISA un uz koordinatora statusā iecelts CSIRT attiecīgajai dalībvalstij. Jūs nevēršaties pie katras iestādes atsevišķi: CRA izveido vienotā ziņošanas platforma, ko izveido un uztur ENISA kā vienoto ieejas punktu visiem paziņojumiem. Art. 14 · 16

Platforma virza katru paziņojumu uz attiecīgo valsts CSIRT un, ja nepieciešams, uz citām iestādēm. Šauros gadījumos, piemēram, ja izpaušana radītu nesamērīgu kiberdrošības risku, Regula atļauj ierobežot paziņojumu, taču noklusējums ir pilnīga un tūlītēja ziņošana caur platformu.

Statuss · 2026. gada vidus

Vienotā ziņošanas platforma ir vēl nav vispārīgi pieejama. ENISA to joprojām veido (izstrāde ir nodota izsludinātajā konkursā un noslēgtā līgumā), un tā publicē reģistrācijas, ievadmācību un izmēģinājuma materiālus gaidāmajā periodā. Platformai ir paredzēts darboties līdz 2026. gada 11. septembra sākuma datumam ar testēšanas periodu pirms tam; tādēļ šobrīd nav darbojošās platformas, kurā reģistrēties.

04Kad tas sākas

Ziņošanas pienākumi ir pirmā nozīmīgā CRA daļa, kas stājas spēkā. Lai gan lielākā daļa noteikumu piemērojami no 2027. gada 11. decembra, 14. pants piemērojams no 2026. gada 11. septembris; 21 mēnesis pēc Akta spēkā stāšanās. Vienotajai ziņošanas platformai ir paredzēts darboties līdz minētajam datumam. Art. 71

Kāpēc šis ir pirmais svarīgais termiņš

Atšķirībā no CE marķējuma, ko jūs veicat vienreiz pirms produkta laišanas tirgū, ziņošana ir aktuāls, nepārtraukts pienākums, kas sākas 2026. gada septembrī un var tikt aktivizēts jebkurā brīdī pēc tam. Gatavībai jābūt nav vienreizējs projekts.

Joprojām tiek pabeigts

Precīzais formāts un procedūra paziņojumiem var tikt sīkāk precizēts ar Komisijas īstenošanas aktiem, un saskaņotie standarti kas pamato ievainojamību apstrādi, tiek gaidīti ap 2026. gada 30. augusts. Abas tiek gaidītas tikai īsi pirms pienākuma sākuma. Praktiskais secinājums: veidojiet savu iekšējo atklāšanas un ziņošanas procesu jau tagad; negaidiet galīgo platformas mehāniku vai publicētu ziņošanas veidni, jo pienākums ir spēkā no 2026. gada 11. septembra neatkarīgi no tā.

05Kā būt gatavam

24 stundu termiņa izpilde ir operacionāla problēma, nevis papīru kārtošanas problēma. Ražotāji, kas to izpildīs, ir tie, kas jau zina, kas ir viņu produktos, un to nepārtraukti uzrauga.

  • Uzturiet precīzu SBOM; jūs nevarat ziņot par komponentu, par kuru nezinājāt, ka to piegādājāt. Uzturiet programmatūras komponentu sarakstu un atjauniniet to, mainoties laidieniem.
  • Uzraugiet to nepārtraukti; salīdziniet savus komponentus ar zināmo ievainojamību avotiem, lai aktīvi izmantots trūkums tiktu atklāts stundās, nevis nedēļās.
  • Definējiet procesu iepriekš; izlemiet tagad, kurš pieņem lēmumu par ziņojuma nepieciešamību, kurš to sagatavo un kurš iesniedz, lai laiks netiktu tērēts iekšējai eskalācijai.
  • Sekojiet pamatprasībām; šis atbilstības matrica saista ziņošanu ar plašākiem I pielikuma ievainojamību apstrādes pienākumiem, kuros tā ietilpst.

Šis SBOM un ievainojamību analizators aptver pirmos divus: tas sekot jūsu komponentu sarakstam salīdzinājumā ar NVD un ES ievainojamību datubāzi (EUVD), lai aktīvi izmantots komponents tiktu atzīmēts 24 stundu termiņa ietvaros.

Atvērt ievainojamību analizatoru →CRA, izskaidrots →

06Biežākie jautājumi

Kas man jāziņo saskaņā ar CRA un cik ātri?

Aktīvi izmantotās ievainojamības un nopietni incidenti, kas ietekmē jūsu produkta drošību. Jums jānosūta agrīns brīdinājums 24 stundu laikā pēc informācijas iegūšanas, pilnīgāks paziņojums 72 stundu laikā un galīgais ziņojums 14 dienu laikā no koriģējoša pasākuma pieejamības. Art. 14

Kad sākas ziņošanas pienākumi?

2026. gada 11. septembris; 21 mēnesis pēc Akta spēkā stāšanās un krietni pirms pilnīgas piemērošanas 2027. gada 11. decembrī.

Kam es ziņoju?

ENISA un koordinatora statusā iecelts valsts CSIRT, izmantojot vienoto ziņošanas platformu, ko ENISA izveido saskaņā ar 16. pantu. Tas ir vienots ieejas punkts, nevis atsevišķi iesniegumi.

Vai man jāziņo par katru kļūdu vai ievainojamību?

Nē. Ziņojami ir tikai aktīvi izmantotās ievainojamības un nopietni incidenti. Ievainojamības, ko atklājat un novēršat pirms izmantošanas, tiek pārvaldītas izmantojot parasto ievainojamību apstrādes procesu.

Vai ENISA vienotā ziņošanas platforma jau ir pieejama?

Vēl ne. Uz 2026. gada vidu tā joprojām tiek veidota saskaņā ar 16. pantu; ENISA publicē reģistrācijas un izmēģinājuma materiālus gaidāmajā periodā, un platformai ir paredzēts darboties līdz 2026. gada 11. septembrim ar testēšanas periodu pirms tam.

Vai ziņošanai jau ir standarta formāts vai veidne?

Nē, galīgā nav. Komisija var precizēt paziņojumu formātu un procedūru ar īstenošanas aktiem, un saskaņotie standarti, kas pamato ievainojamību apstrādi, tiek gaidīti ap 2026. gada 30. augustu. Sagatavojiet savu iekšējo procesu tagad, nevis gaidiet publicēto mehāniku; pienākums piemērojams no 2026. gada 11. septembra neatkarīgi no tā.

Turpināt lasīt

Saistītās atsauces

§CRA, izskaidrots

Darbības joma, klases, pienākumi un pilns laika grafiks vienkāršā valodā.

§SBOM un ievainojamību analizators

Sekojiet saviem komponentiem salīdzinājumā ar NVD un EUVD, lai izpildītu 24 stundu termiņu.

§Pilna regula

14. un 16. pants Regulas (ES) 2024/2847 saistošajā tekstā.

§Biežāk uzdotie jautājumi

Kodolīgas atbildes uz ieinteresēto pušu biežākajiem jautājumiem ar atsaucēm.