Nezávislý sprievodca nariadením (EÚ) 2024/2847 · Stav: účinné
Táto stránka je automatický (AI) preklad a nebola skontrolovaná osobou.
Porozumenie CRA · Hlásenie

Hlásenie incidentov a zraniteľností podľa CRA

Od 11. septembra 2026 musia výrobcovia hlásiť aktívne zneužívané zraniteľnosti a závažné incidenty podľa článku 14; čo hlásiť, lehoty 24 hodín, 72 hodín a 14 dní a kto hlásenie dostáva.

Cca 8 min čítaniaČlánok 14 · 16Platí od 11. sep. 2026

01Čo sa musí hlásiť

Článok 14 nariadenia Cyber Resilience Act vytvára dve odlišné povinnosti hlásenia pre výrobcov produktov s digitálnymi prvkami. Sú užšie, ako sa na prvý pohľad zdá: bežné chyby a štandardné záplaty nepatria do rozsahu. Art. 14

  • Aktívne zneužívané zraniteľnosti; zraniteľnosť vo vašom produkte, ktorá sa využíva pri útoku. Zraniteľnosť, ktorú objavíte a opravíte pred jej zneužitím, sa rieši prostredníctvom vášho bežného postup správy zraniteľností, nie prostredníctvom tohto kanála hlásenia.
  • Závažné incidenty; incident, ktorý má závažný vplyv na bezpečnosť produktu, napríklad incident, ktorý narušuje dôvernosť, integritu alebo dostupnosť pre používateľov.
Test

Ak je bezpečnostná slabina vo vašom produkte aktívne zneužívaná alebo bezpečnostný incident ho vážne ovplyvnil, začína bežať lehota podľa článku 14. Všetko ostatné zostáva v rámci bežnej správy zraniteľností.

02Tri lehoty

Každé hlásenie prebieha v troch fázach, meraných od okamihu, keď dozviete zneužívanej zraniteľnosti alebo závažného incidentu. Lehoty sú tesné, a preto je pripravenosť dôležitejšia ako samotný postup v daný deň. Art. 14(2)–(4)

  • Do 24 hVčasné varovanie. Prvé oznámenie o výskyte aktívne zneužívanej zraniteľnosti alebo závažného incidentu vrátane informácie o tom, či sa predpokladá, že bol spôsobený nezákonnými alebo škodlivými konaniami.
  • Do 72 hOznámenie o zraniteľnosti / incidente. Podrobnejšie hlásenie vrátane prvotného posúdenia, závažnosti a dopadu, a pokiaľ sú dostupné, aj prijatých nápravných alebo zmierňujúcich opatrení.
  • Do 14 dníZáverečná správa. Keď je k dispozícii nápravné opatrenie: opis zraniteľnosti alebo incidentu, jeho závažnosť a dopad a uplatnenánáprava. Pri incidentoch lehota plynie od okamihu, keď je incident vyriešený.

03Komu hlásite

Hlásenia smerujú na ENISA a príslušnému CSIRT určený ako koordinátor pre príslušný členský štát. Každý orgán nekontaktujete samostatne: CRA zriaďuje jednotná platforma pre hlásenie, vybudovanú a prevádzkovanú organizáciou ENISA, ako spoločný vstupný bod pre všetky oznámenia. Art. 14 · 16

Platforma smeruje každé oznámenie príslušnému národnému CSIRT a v prípade potreby aj iným orgánom. V úzko vymedzených prípadoch, napríklad keď by zverejnenie vytvorilo neprimerané riziko kybernetickej bezpečnosti, nariadenie umožňuje obmedzenie oznámenia, avšak predvoleným nastavením je úplné a promptné hlásenie prostredníctvom platformy.

Stav · polovica roka 2026

Jednotná platforma pre hlásenie je zatiaľ nie je všeobecne dostupná. ENISA ho stále buduje (vývoj bol vyhlásený vo výberovom konaní a zazmluvnený) a v priebehu príprav zverejňuje materiály k registrácii, zapojeniu a skúšobným prevádzkovým testom. Platforma má byť funkčná k dátumu spustenia 11. septembra 2026, pričom pred týmto dátumom prebehne testovacie obdobie; dnes teda neexistuje živá platforma, na ktorej by ste sa mohli registrovať.

04Kedy to začína

Povinnosti hlásenia sú najskoršou hlavnou časťou CRA, ktorá nadobúda účinnosť. Kým väčšina ustanovení platí od 11. decembra 2027, článok 14 platí od 11. septembra 2026; 21 mesiacov po nadobudnutí účinnosti zákona. Jednotná platforma pre hlásenie má byť k tomuto dátumu funkčná. Art. 71

Prečo je toto prvý termín, na ktorom záleží

Na rozdiel od Označenia CE, ktoré sa vykoná jednorazovo pred uvedením produktu na trh, hlásenie je živou, priebežnou povinnosťou, ktorá začína v septembri 2026 a môže byť spustená kedykoľvek potom. Pripravenosť nie je jednorazový projekt.

Stále sa finalizuje

Presný formát a postup pre oznámenia môže byť ďalej upresrená vykonávacími aktmi Komisie a harmonizované normy ktoré sú základom správy zraniteľností, sa očakávajú okolo 30. augusta 2026. Oba by mali byť k dispozícii len krátko pred začatím platnosti povinnosti. Praktický záver: vytvorte si interný proces zisťovania a hlásenia teraz; nečakajte na konečnú techniku platformy ani na zverejnený formulár hlásenia, pretože povinnosť platí od 11. septembra 2026 bez ohľadu na to.

05Ako byť pripravený

Dodržanie 24-hodinového okna je operačný problém, nie administratívny. Výrobcovia, ktorí ho splnia, sú tí, ktorí už vedia, čo je v ich produktoch, a priebežne to sledujú.

  • Udržiavajte presný SBOM; nemôžete hlásiť komponent, o ktorom ste nevedeli, že ste ho dodali. Udržiavajte SBOM a aktualizujte ho pri každej novej verzii.
  • Priebežne ho monitorujte; porovnávajte svoje komponenty so zdrojmi známych zraniteľností, aby aktívne zneužívaná chyba vyšla najavo v priebehu hodín, nie týždňov.
  • Vopred definujte postup; rozhodnite teraz, kto rozhodne o potrebe hlásenia, kto ho vypracuje a kto ho podá, aby čas nevypršal pri internej eskalácii.
  • Sledujte základné požiadavky; the matica zhody viaže hlásenie na širšie povinnosti správy zraniteľností podľa Annex I, ktorých je súčasťou.

The SBOM a analyzátor zraniteľností pokrýva prvé dve: sleduje váš SBOM oproti NVD a databáze zraniteľností EÚ (EUVD), takže aktívne zneužívaný komponent je označený v rámci 24-hodinového okna.

Otvoriť analyzátor zraniteľností →CRA vysvetlený →

06Časté otázky

Čo musím hlásiť podľa CRA a ako rýchlo?

Aktívne zneužívané zraniteľnosti a závažné incidenty ovplyvňujúce bezpečnosť vášho produktu. Musíte zaslať včasné varovanie do 24 hodín od zistenia, podrobnejšie oznámenie do 72 hodín a záverečnú správu do 14 dní od dostupnosti nápravného opatrenia. Art. 14

Kedy začínajú platiť povinnosti hlásenia?

11. septembra 2026; 21 mesiacov po nadobudnutí účinnosti zákona a výrazne pred plnou uplatňovaním 11. decembra 2027.

Komu hlásiť?

ENISA a národný CSIRT určený ako koordinátor prostredníctvom jednotnej platformy pre hlásenie, ktorú ENISA zriaďuje podľa článku 16. Ide o jediný vstupný bod namiesto samostatných podaní.

Musím hlásiť každú chybu alebo zraniteľnosť?

Nie. Hlásiť sa musia iba aktívne zneužívané zraniteľnosti a závažné incidenty. Zraniteľnosti, ktoré objavíte a opravíte pred zneužitím, sa spravujú prostredníctvom bežného procesu správy zraniteľností.

Je jednotná platforma ENISA pre hlásenie už dostupná?

Zatiaľ nie. V polovici roka 2026 sa stále buduje podľa článku 16; ENISA zverejňuje materiály k registrácii a skúšobným testom a platforma má byť funkčná do 11. septembra 2026, pričom pred týmto dátumom prebehne testovacie obdobie.

Existuje už štandardný formát alebo vzor pre hlásenie?

Zatiaľ nie definitívny. Komisia môže formát a postup pre oznámenia upresniť prostredníctvom vykonávacích aktov a harmonizované normy pre správu zraniteľností sa očakávajú okolo 30. augusta 2026. Pripravte si interný postup teraz a nečakajte na zverejnenie finálnych mechanizmov; povinnosť platí od 11. septembra 2026 bez ohľadu na to.

Pokračovať v čítaní

Súvisiace referencie

§CRA vysvetlený

Rozsah pôsobnosti, triedy, povinnosti a celý harmonogram v zrozumiteľnom jazyku.

§SBOM a analyzátor zraniteľností

Sledujte svoje komponenty oproti NVD a EUVD, aby ste splnili 24-hodinové okno.

§Úplné nariadenie

Článok 14 a 16 v záväznom texte nariadenia Regulation (EU) 2024/2847.

§Často kladené otázky

Stručné odpovede na bežné otázky zainteresovaných strán s odkazmi.