Niezależny przewodnik po rozporządzeniu (UE) 2024/2847 · Status: obowiązuje
Niniejsza strona stanowi tłumaczenie automatyczne (AI) i nie została sprawdzona przez człowieka.
Zrozumieć CRA · Zgłaszanie

Zgłaszanie incydentów i podatności w ramach CRA

Od 11 września 2026 r. producenci muszą zgłaszać aktywnie wykorzystywane podatności i poważne incydenty na podstawie Artykułu 14; co zgłaszać, terminy 24-godzinny, 72-godzinny i 14-dniowy oraz kto jest adresatem zgłoszeń.

Ok. 8 min czytaniaArtykuł 14 · 16Obowiązuje od 11 września 2026 r.

01Co podlega zgłoszeniu

Artykuł 14 Cyber Resilience Act tworzy dwa odrębne obowiązki zgłoszeniowe dla producentów produktów z elementami cyfrowymi. Są one węższe, niż początkowo się wydaje: rutynowe błędy i zwykłe łatki nie wchodzą w zakres. Art. 14

  • Aktywnie wykorzystywane podatności; podatność w produkcie, która jest wykorzystywana w ataku. Podatność, którą wykryjesz i załatasz przed jej wykorzystaniem, obsługiwana jest w ramach zwykłego proces zarządzania podatnościami, a nie za pośrednictwem niniejszego kanału zgłoszeń.
  • Poważne incydenty; incydent, który ma poważny wpływ na bezpieczeństwo produktu, na przykład taki, który narusza poufność, integralność lub dostępność dla użytkowników.
Test

Jeżeli luka w zabezpieczeniach produktu jest aktywnie wykorzystywana lub poważny incydent bezpieczeństwa dotknął produkt w poważnym stopniu, bieg terminu z Artykułu 14 rozpoczyna się. Wszystko inne pozostaje w ramach codziennej obsługi podatności.

02Trzy terminy

Każde zgłoszenie przebiega w trzech etapach, liczonych od momentu, gdy uzyska wiedzę dotyczące wykorzystanej podatności lub poważnego incydentu. Terminy są krótkie, dlatego gotowość ma większe znaczenie niż procedura w dniu zdarzenia. Art. 14(2)–(4)

  • W ciągu 24 godzinWczesne ostrzeżenie. Pierwsze zgłoszenie o wystąpieniu aktywnie wykorzystywanej podatności lub poważnego incydentu, w tym informacja, czy podejrzewa się, że zostało spowodowane działaniami bezprawnymi lub złośliwymi.
  • W ciągu 72 godzinZgłoszenie podatności / incydentu. Pełniejszy opis, obejmujący wstępną ocenę, stopień powagi i wpływ oraz, jeśli są dostępne, podjęte środki naprawcze lub łagodzące.
  • W ciągu 14 dniSprawozdanie końcowe. Po udostępnieniu środka naprawczego: opis podatności lub incydentu, jego stopień powagi i wpływ oraz zastosowane działanie naprawcze. W przypadku incydentów termin biegnie od momentu obsłużenia incydentu.

03Do kogo składasz zgłoszenie

Zgłoszenia trafiają do ENISA i do CSIRT wyznaczony jako koordynator dla zainteresowanego państwa członkowskiego. Nie kontaktujesz się z każdym organem osobno: CRA ustanawia jednolita platforma zgłoszeniowa, zbudowana i obsługiwana przez ENISA, jako wspólny punkt wejścia dla wszystkich zgłoszeń. Art. 14 · 16

Platforma kieruje każde zgłoszenie do właściwego krajowego CSIRT i, w razie potrzeby, do innych organów. W wąsko określonych przypadkach — na przykład gdy ujawnienie stworzyłoby nieproporcjonalne ryzyko dla cyberbezpieczeństwa — rozporządzenie dopuszcza ograniczenie zgłoszenia, jednak domyślnie obowiązuje pełne i niezwłoczne zgłaszanie za pośrednictwem platformy.

Status · połowa 2026 r.

Jednolita platforma zgłoszeniowa jest jeszcze niedostępna powszechnie. ENISA nadal ją buduje (postępowanie przetargowe zostało przeprowadzone i umowa zawarta) i publikuje materiały dotyczące rejestracji, wdrożenia oraz testów przed uruchomieniem. Platforma ma być gotowa do 11 września 2026 r., z wcześniejszym okresem testowym; aktualnie nie istnieje więc żadna działająca platforma, w której można się zarejestrować.

04Kiedy zaczyna obowiązywać

Obowiązki zgłoszeniowe są najwcześniejszą wchodzącą w życie główną częścią CRA. Podczas gdy większość przepisów obowiązuje od 11 grudnia 2027 r., Artykuł 14 obowiązuje od 11 września 2026 r.; 21 miesięcy po wejściu aktu w życie. Jednolita platforma zgłoszeniowa ma być gotowa do działania do tej daty. Art. 71

Dlaczego ten termin jest najważniejszy

W odróżnieniu od Oznakowania CE, które realizuje się jednorazowo przed wprowadzeniem produktu do obrotu, zgłaszanie jest bieżącym, ciągłym obowiązkiem, który zaczyna obowiązywać we wrześniu 2026 r. i może zostać wywołany w każdej chwili po tym terminie. Gotowość to nie jednorazowy projekt.

W trakcie finalizacji

Dokładny format i procedura dla zgłoszeń może być dalej określony w aktach wykonawczych Komisji, a normy zharmonizowane stanowiące podstawę obsługi podatności są oczekiwane około 30 sierpnia 2026 r.. Oba dokumenty mają zostać opublikowane dopiero na krótko przed wejściem obowiązku w życie. Praktyczny wniosek: zbuduj wewnętrzny proces wykrywania i zgłaszania już teraz; nie czekaj na ostateczną mechanikę platformy ani na opublikowany szablon zgłoszenia, ponieważ obowiązek ma zastosowanie od 11 września 2026 r. niezależnie od tego.

05Jak być gotowym

Dotrzymanie 24-godzinnego terminu to problem operacyjny, nie administracyjny. Producenci, którzy temu sprostają, to ci, którzy już teraz wiedzą, co zawierają ich produkty, i monitorują to na bieżąco.

  • Prowadź dokładny SBOM; nie możesz zgłosić podatności w komponencie, o którego obecności w produkcie nie wiedziałeś. Prowadź SBOM i aktualizuj go wraz ze zmianami wersji.
  • Monitoruj je na bieżąco; porównuj swoje komponenty ze źródłami znanych podatności, aby aktywnie wykorzystywana luka ujawniła się w ciągu godzin, a nie tygodni.
  • Zdefiniuj proces z wyprzedzeniem; zdecyduj teraz, kto decyduje o konieczności zgłoszenia, kto je sporządza i kto je przekazuje, aby czas nie był tracony na wewnętrzną eskalację.
  • Śledź leżące u podstaw wymagania; the macierz zgodności łączy zgłaszanie z szerszymi obowiązkami w zakresie obsługi podatności z Annex I, w ramach których się mieści.

The SBOM i analizator podatności obejmuje pierwsze dwa: śledzi zestawienie materiałów względem NVD i unijnej bazy danych podatności (EUVD), dzięki czemu aktywnie wykorzystywany komponent jest oznaczany w ciągu 24-godzinnego okna.

Otwórz analizator podatności →CRA w przystępnym ujęciu →

06Najczęstsze pytania

Co muszę zgłaszać w ramach CRA i jak szybko?

Aktywnie wykorzystywane podatności i poważne incydenty wpływające na bezpieczeństwo produktu. Należy wysłać wczesne ostrzeżenie w ciągu 24 godzin od uzyskania wiedzy, pełniejsze zgłoszenie w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 14 dni od dostępności środka naprawczego. Art. 14

Kiedy zaczynają obowiązywać obowiązki zgłoszeniowe?

11 września 2026 r.; 21 miesięcy po wejściu aktu w życie, na długo przed pełnym stosowaniem od 11 grudnia 2027 r.

Do kogo zgłaszam?

ENISA oraz krajowy CSIRT wyznaczony jako koordynator, za pośrednictwem jednolitej platformy zgłoszeniowej ustanawianej przez ENISA na mocy Artykułu 16. Jest to jedno wspólne miejsce zgłoszeń, a nie oddzielne powiadomienia.

Czy muszę zgłaszać każdy błąd lub podatność?

Nie. Zgłoszeniu podlegają wyłącznie aktywnie wykorzystywane podatności i poważne incydenty. Podatności, które wykryjesz i usuniesz przed ich wykorzystaniem, są obsługiwane w ramach zwykłego procesu zarządzania podatnościami.

Czy jednolita platforma zgłoszeniowa ENISA jest już dostępna?

Jeszcze nie. Według stanu na połowę 2026 r. platforma jest nadal budowana na mocy Artykułu 16; ENISA publikuje materiały dotyczące rejestracji i testów, a platforma ma być gotowa do 11 września 2026 r., z wcześniejszym okresem testowym.

Czy istnieje już standardowy format lub szablon zgłoszenia?

Nie ostatecznego. Komisja może określić format i procedurę zgłoszeń w aktach wykonawczych, a normy zharmonizowane stanowiące podstawę obsługi podatności są oczekiwane około 30 sierpnia 2026 r. Przygotuj wewnętrzny proces już teraz, zamiast czekać na opublikowane mechanizmy; obowiązek obowiązuje od 11 września 2026 r. niezależnie od tego.

Czytaj dalej

Powiązane odniesienia

§CRA w przystępnym ujęciu

Zakres, klasy, obowiązki i pełna oś czasu w przystępnym języku.

§SBOM i analizator podatności

Monitoruj swoje komponenty względem NVD i EUVD, aby dotrzymać 24-godzinnego terminu.

§Pełny tekst rozporządzenia

Artykuły 14 i 16 wiążącego tekstu Regulation (EU) 2024/2847.

§Najczęściej zadawane pytania

Zwięzłe odpowiedzi na najczęstsze pytania zainteresowanych stron, z odniesieniami do przepisów.