01Ce trebuie raportat
Articolul 14 din Actul privind reziliența cibernetică creează două obligații distincte de raportare pentru fabricanții de produse cu elemente digitale. Acestea sunt mai limitate decât par la prima vedere: erorile de rutină și patch-urile obișnuite nu se află în domeniul de aplicare. Art. 14
- Vulnerabilități exploatate activ; o vulnerabilitate din produsul dumneavoastră care este utilizată într-un atac. O vulnerabilitate pe care o descoperiți și o remediați înainte de a fi exploatată este gestionată prin procesul dumneavoastră normal procesul de gestionare a vulnerabilităților, nu prin acest canal de raportare.
- Incidente grave; un incident care are un impact sever asupra securității produsului, de exemplu unul care compromite confidențialitatea, integritatea sau disponibilitatea pentru utilizatori.
Dacă o slăbiciune de securitate din produsul dumneavoastră este exploatată activ sau un incident de securitate l-a afectat grav, cronometrul Articolului 14 pornește. Tot restul rămâne în cadrul gestionării zilnice a vulnerabilităților.
02Cele trei termene
Fiecare raport se desfășoară în trei etape, măsurate din momentul în care luați cunoștință a vulnerabilității exploatate sau a incidentului grav. Ferestrele sunt scurte, motiv pentru care pregătirea contează mai mult decât procesul în ziua respectivă. Art. 14(2)–(4)
- În termen de 24 hAvertisment timpuriu. O primă notificare că a apărut o vulnerabilitate exploatată activ sau un incident grav, inclusiv dacă se suspectează că este cauzată de acte ilegale sau malițioase.
- În termen de 72 hNotificare privind vulnerabilitatea / incidentul. Un raport mai complet, care include o evaluare inițială, severitatea și impactul, și, unde este disponibil, măsurile corective sau de atenuare luate.
- În termen de 14 zileRaport final. Odată ce o măsură corectivă este disponibilă: o descriere a vulnerabilității sau incidentului, severitatea și impactul acestora și remedierea aplicată. În cazul incidentelor, termenul curge din momentul în care incidentul este soluționat.
03Cui raportați
Rapoartele se transmit la ENISA și la CSIRT desemnat ca coordonator pentru statul membru în cauză. Nu contactați fiecare autoritate separat: CRA stabilește o platformă unică de raportare, construită și operată de ENISA, ca punct comun de intrare pentru toate notificările. Art. 14 · 16
Platforma direcționează fiecare notificare către CSIRT-ul național relevant și, dacă este necesar, către alte autorități. În cazuri limitate — de exemplu, în care divulgarea ar crea un risc disproporționat de securitate cibernetică — Regulamentul permite limitarea unei notificări, dar procedura implicită este raportarea completă și promptă prin intermediul platformei.
Platforma unică de raportare este nu este încă disponibil în mod general. ENISA o construiește în continuare (dezvoltarea a fost scoasă la licitație și contractată) și publică materiale de înregistrare, integrare și simulare în perioada de pregătire. Se intenționează ca aceasta să fie operațională până la data de începere din 11 septembrie 2026, cu o perioadă de testare înainte de aceasta; prin urmare, nu există o platformă activă la care să vă înregistrați astăzi.
04Când începe
Obligațiile de raportare reprezintă cea mai timpurie parte majoră a CRA care intră în vigoare. În timp ce majoritatea dispozițiilor se aplică de la 11 decembrie 2027, Articolul 14 se aplică de la 11 septembrie 2026; 21 de luni după intrarea în vigoare a Actului. Platforma unică de raportare se intenționează să fie operațională până la acea dată. Art. 71
Spre deosebire de Marcajul CE, pe care îl finalizați o singură dată înainte de a introduce un produs pe piață, raportarea este o obligație continuă și activă care începe în septembrie 2026 și poate fi declanșată în orice moment ulterior. A fi pregătit nu este un proiect punctual.
Formatul și procedura exacte format și procedură pentru notificări poate fi specificat suplimentar prin acte de punere în aplicare ale Comisiei, iar standarde armonizate care stau la baza gestionării vulnerabilităților sunt preconizate pentru aproximativ 30 august 2026. Ambele urmează să fie disponibile doar puțin înainte de intrarea în vigoare a obligației. Concluzia practică: construiți acum procesul intern de detectare și raportare; nu așteptați mecanismele finale ale platformei sau un model de raportare publicat, deoarece obligația se aplică de la 11 septembrie 2026 indiferent de circumstanțe.
05Cum să fiți pregătit
Respectarea ferestrei de 24 de ore este o problemă operațională, nu una birocratică. Fabricanții care o vor respecta sunt cei care știu deja ce se află în produsele lor și o monitorizează continuu.
- Mențineți un SBOM precis; nu puteți raporta cu privire la o componentă pe care nu știați că ați livrat-o. Mențineți un SBOM și păstrați-l actualizat pe măsură ce versiunile se schimbă.
- Monitorizați-l continuu; comparați componentele dumneavoastră cu sursele de vulnerabilități cunoscute, astfel încât o deficiență exploatată activ să fie detectată în ore, nu în săptămâni.
- Definiți procesul în avans; decideți acum cine stabilește că un raport este necesar, cine îl redactează și cine îl depune, astfel încât timpul să nu fie pierdut cu escaladarea internă.
- Urmăriți cerințele de bază; the matricea de conformitate leagă raportarea de obligațiile mai ample de gestionare a vulnerabilităților din anexa I în cadrul cărora se înscrie.
The SBOM și analizator de vulnerabilități acoperă primele două: urmărește lista dumneavoastră de materiale față de NVD și baza de date a UE privind vulnerabilitățile (EUVD), astfel încât o componentă exploatată activ este semnalată în fereastra de 24 de ore.
06Întrebări frecvente
Ce trebuie să raportez în temeiul CRA și cât de repede?
Vulnerabilitățile exploatate activ și incidentele grave care afectează securitatea produsului dumneavoastră. Trebuie să trimiteți un avertisment timpuriu în termen de 24 de ore de la momentul în care ați luat cunoștință, o notificare mai completă în termen de 72 de ore și un raport final în termen de 14 zile de la disponibilitatea unei măsuri corective. Art. 14
Când încep obligațiile de raportare?
11 septembrie 2026; 21 de luni după intrarea în vigoare a Actului și cu mult înainte de aplicarea deplină de la 11 decembrie 2027.
Cui raportez?
ENISA și CSIRT-ul național desemnat ca coordonator, prin intermediul platformei unice de raportare pe care ENISA o stabilește în temeiul Articolului 16. Aceasta reprezintă un punct unic de intrare, și nu depuneri separate.
Trebuie să raportez fiecare eroare sau vulnerabilitate?
Nu. Numai vulnerabilitățile exploatate activ și incidentele grave sunt raportabile. Vulnerabilitățile pe care le găsiți și le remediați înainte de exploatare sunt gestionate prin procesul dumneavoastră obișnuit de gestionare a vulnerabilităților.
Platforma unică de raportare a ENISA este disponibilă?
Nu încă. Începând cu mijlocul anului 2026, aceasta este în continuare în curs de construire în temeiul Articolului 16; ENISA publică materiale de înregistrare și simulare în perioada de pregătire, iar platforma se intenționează să fie operațională până la 11 septembrie 2026, cu o perioadă de testare înainte de aceasta.
Există deja un format sau model standard pentru raportare?
Nu un format final. Comisia poate specifica formatul și procedura de notificare prin acte de punere în aplicare, iar standardele armonizate care stau la baza gestionării vulnerabilităților sunt preconizate pentru aproximativ 30 august 2026. Pregătiți-vă procesul intern acum, mai degrabă decât să așteptați mecanismele publicate; obligația se aplică de la 11 septembrie 2026 indiferent de circumstanțe.