Neodvisni vodnik po Uredbi (EU) 2024/2847 · Status: v veljavi
Ta stran je samodejni (UI) prevod in je oseba ni pregledala.
Razumevanje CRA · Poročanje

Poročanje o incidentih in ranljivostih po CRA

Od 11. septembra 2026 morajo proizvajalci v skladu s členom 14 poročati o aktivno izkoriščenih ranljivostih in hudih incidentih; kaj poročati, roki 24 ur, 72 ur in 14 dni ter kdo prejme poročilo.

Pribl. 8 min branjaČlen 14 · 16Velja od 11. sep. 2026

01Kaj je treba poročati

člena 14 Akt o kibernetski odpornosti ustvari dve ločeni obveznosti poročanja za proizvajalce izdelkov z digitalnimi elementi. Sta ožji, kot se na prvi pogled zdita: rutinske napake in navadni popravki niso zajeti. čl. 14

  • Aktivno izkoriščene ranljivosti; ranljivost v vašem izdelku, ki je aktivno izkoriščena v napadu. Ranljivost, ki jo odkrijete in odpravite, preden je izkoriščena, se obravnava prek vašega rednega postopek obravnavanja ranljivosti, ne prek tega poročevalnega kanala.
  • Hudi incidenti; incident, ki ima hud vpliv na varnost izdelka, na primer tak, ki ogroža zaupnost, celovitost ali razpoložljivost za uporabnike.
Preizkus

Če je varnostna pomanjkljivost v vašem izdelku aktivno izkoriščana ali je varnostni incident resno vplival nanj, začne teči rok iz člena 14. Vse ostalo ostane v okviru vašega vsakodnevnega obravnavanja ranljivosti.

02Trije roki

Vsako poročilo poteka v treh fazah, merjenih od trenutka, ko se seznanite izkoriščene ranljivosti ali hudega incidenta. Roki so kratki, zato je pripravljenost pomembnejša od postopka na dan. čl. 14(2)–(4)

  • V 24 urahZgodnje opozorilo. Prvo obvestilo, da se je pojavila aktivno izkoriščena ranljivost ali hud incident, vključno s tem, ali je sum, da je posledica nezakonitih ali zlonamernih dejanj.
  • V 72 urahObvestilo o ranljivosti / incidentu. Podrobnejše poročilo, vključno z začetno oceno, resnostjo in vplivom ter, kjer je na voljo, sprejetimi korektivnimi ali blažilnimi ukrepi.
  • V 14 dnehKončno poročilo. Ko je na voljo korektivni ukrep: opis ranljivosti ali incidenta, njegova resnost in vpliv ter izvedena sanacija. Za incidente rok teče od takrat, ko je incident obravnavan.

03Komu poročate

Poročila se pošljejo ENISA in k CSIRT, določen kot koordinator za zadevno državo članico. Vsake oblasti ne kontaktirate posebej: CRA vzpostavi enotna platforma za poročanje, ki jo je vzpostavila in jo upravlja ENISA, kot skupno vstopno točko za vsa obvestila. čl. 14 · 16

Platforma usmeri vsako obvestilo k pristojnemu nacionalnemu CSIRT in, kjer je potrebno, k drugim organom. V posebnih primerih – na primer kadar bi razkritje povzročilo nesorazmerno tveganje za kibernetsko varnost – uredba dovoljuje omejitev obvestila, privzeto pa velja popolno in pravočasno poročanje prek platforme.

Stanje · sredina leta 2026

Enotna platforma za poročanje je še ni splošno dostopna. ENISA jo še gradi (razvoj je bil razpisan in sklenjen po pogodbi) ter objavlja gradivo za registracijo, uvajanje in testne vaje. Namenjena je zagotovitvi delovanja do začetnega datuma 11. septembra 2026, pred tem pa je predvideno preizkusno obdobje; zato danes ni žive platforme, pri kateri bi se bilo mogoče registrirati.

04Ko se začne

Obveznosti poročanja so najzgodnejši večji del CRA, ki začne veljati. Medtem ko se večina določb začne uporabljati od 11. decembra 2027, se člen 14 začne uporabljati od 11. september 2026; 21 mesecev po začetku veljavnosti akta. Enotna platforma za poročanje naj bi bila operativna do tega datuma. čl. 71

Zakaj je to prvi rok, ki šteje

Za razliko od oznake CE, ki jo opravite enkrat pred dajanjem izdelka na trg, je poročanje trajna, stalna obveznost, ki se začne septembra 2026 in se lahko sproži kadar koli pozneje. Pripravljenost ni enkratni projekt.

Se še dokončuje

Natančna oblika in postopek za obvestila se lahko natančneje določi z izvedbenimi akti Komisije, in harmonizirani standardi ki podpirajo obravnavanje ranljivosti, so pričakovani okrog 30. avgust 2026. Oba sta pričakovana šele tik pred začetkom veljavnosti obveznosti. Praktičen zaključek: vzpostavite notranji postopek odkrivanja in poročanja že zdaj; ne čakajte na dokončno delovanje platforme ali objavljeno predlogo za poročanje, saj obveznost velja od 11. septembra 2026 ne glede na to.

05Kako biti pripravljen

Upoštevanje 24-urnega roka je operativna težava, ne birokratska. Proizvajalci, ki ga bodo dosegli, so tisti, ki že vedo, kaj vsebujejo njihovi izdelki, in to nepretrgoma spremljajo.

  • Vzdržujte natančen SBOM; ne morete poročati o komponenti, za katero niste vedeli, da jo dostavljate. Vzdržujte seznam sestavnih delov programske opreme (SBOM) in ga sproti posodabljajte ob vsakem novem izdajanju.
  • Nepretrgano ga spremljajte; primerjajte svoje komponente z viri znanih ranljivosti, da se aktivno izkoriščena pomanjkljivost odkrije v urah, ne tednih.
  • Postopek opredelite vnaprej; odločite se že zdaj, kdo ugotavlja, da je poročilo potrebno, kdo ga pripravi in kdo ga odda, da čas ne bo porabljen za interno stopnjevanje.
  • Sledite osnovnim zahtevam; the matrika skladnosti poročanje veže na širše obveznosti obravnavanja ranljivosti iz Priloge I, znotraj katerih se nahaja.

The SBOM in analizator ranljivosti zajema prvi dve: vaš seznam sestavnih delov primerja z NVD in bazo ranljivosti EU (EUVD), tako da je aktivno izkoriščena komponenta označena v 24-urnem roku.

Odpri analizator ranljivosti →CRA, pojasnjen →

06Pogosta vprašanja

Kaj moram poročati v skladu s CRA in kako hitro?

Aktivno izkoriščene ranljivosti in hudi incidenti, ki vplivajo na varnost vašega izdelka. V 24 urah po seznanitvi morate poslati zgodnje opozorilo, v 72 urah podrobnejše obvestilo in v 14 dneh po razpoložljivosti korektivnega ukrepa končno poročilo. čl. 14

Kdaj se začnejo obveznosti poročanja?

11. september 2026; 21 mesecev po začetku veljavnosti akta in bistveno pred polno uporabo 11. decembra 2027.

Komu poročam?

ENISA in nacionalni CSIRT, določen kot koordinator, prek enotne platforme za poročanje, ki jo ENISA vzpostavi v skladu s členom 16. Gre za enotno vstopno točko in ne za ločena poročila.

Ali moram poročati o vsaki napaki ali ranljivosti?

Ne. Poročati je treba samo o aktivno izkoriščenih ranljivostih in hudih incidentih. Ranljivosti, ki jih odkrijete in odpravite pred izkoriščanjem, se upravljajo prek vašega rednega postopka obravnavanja ranljivosti.

Ali je enotna platforma za poročanje ENISA že na voljo?

Še ne. V sredini leta 2026 je platforma še v gradnji v skladu s členom 16; ENISA objavlja gradivo za registracijo in testne vaje, platforma pa naj bi bila operativna do 11. septembra 2026, pred tem pa je predvideno preizkusno obdobje.

Ali obstaja že standardna oblika ali predloga za poročanje?

Še ne dokončne. Komisija lahko obliko in postopek za obvestila določi z izvedbenimi akti, harmonizirani standardi, ki podpirajo obravnavanje ranljivosti, pa so pričakovani okrog 30. avgusta 2026. Pripravite notranji postopek zdaj in ne čakajte na objavljene mehanizme; obveznost se uporablja od 11. septembra 2026 ne glede na to.

Nadaljujte z branjem

Povezani sklici

§CRA, pojasnjen

Področje uporabe, razredi, obveznosti in celoten časovni okvir v razumljivem jeziku.

§SBOM in analizator ranljivosti

Primerjajte svoje komponente z NVD in EUVD, da izpolnite 24-urni rok.

§Celotna uredba

člena 14 in 16 v zavezujočem besedilu Uredbe (EU) 2024/2847.

§Pogosta vprašanja

Jedrnati odgovori na pogosta vprašanja deležnikov s sklici.