Oberoende vägledning till förordning (EU) 2024/2847 · Status: i kraft
Denna sida är en automatisk (AI-)översättning och har inte granskats av en person.
Förstå CRA · Rapportering

CRA-rapportering av incidenter och sårbarheter

Från den 11 september 2026 måste tillverkare rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter enligt artikel 14; vad som ska rapporteras, tidsfristerna på 24 timmar, 72 timmar och 14 dagar, samt vem som tar emot det.

Ca 8 min läsningArtikel 14 · 16Gäller från 11 sep 2026

01Vad som måste rapporteras

Artikel 14 i Cyber Resilience Act skapar två distinkta rapporteringsskyldigheter för tillverkare av produkter med digitala element. De är snävare än de först verkar: rutinfel och vanliga patchar omfattas inte. Art. 14

  • Aktivt utnyttjade sårbarheter; en sårbarhet i din produkt som utnyttjas i ett angrepp. En sårbarhet som du upptäcker och åtgärdar innan den utnyttjas hanteras via din normala process för hantering av sårbarheter, inte denna rapporteringskanal.
  • Allvarliga incidenter; en incident som har en allvarlig inverkan på produktens säkerhet, till exempel en incident som äventyrar konfidentialitet, integritet eller tillgänglighet för användarna.
Testet

Om en säkerhetssvaghet i din produkt aktivt utnyttjas, eller om en säkerhetsincident har drabbat den allvarligt, börjar klockan enligt artikel 14 ticka. Allt annat stannar inom din dagliga hantering av sårbarheter.

02De tre tidsfristerna

Varje rapport genomförs i tre steg, mätt från det ögonblick du får kännedom för den utnyttjade sårbarheten eller allvarliga incidenten. Tidsfönstren är snäva, varför beredskap spelar större roll än processen den dag det sker. Art. 14(2)–(4)

  • Inom 24 timmarTidig varning. En första anmälan om att en aktivt utnyttjad sårbarhet eller allvarlig incident har inträffat, inklusive huruvida den misstänks ha orsakats av olagliga eller skadliga handlingar.
  • Inom 72 timmarAnmälan om sårbarhet / incident. En mer fullständig redogörelse, inklusive en inledande bedömning, allvarlighetsgrad och påverkan, samt i förekommande fall vidtagna korrigerande eller begränsande åtgärder.
  • Inom 14 dagarSlutrapport. När en korrigerande åtgärd är tillgänglig: en beskrivning av sårbarheten eller incidenten, dess allvarlighetsgrad och påverkan samt vidtagen åtgärd. För incidenter löper fristen från det att incidenten är hanterad.

03Vem du rapporterar till

Rapporter skickas till ENISA och till CSIRT utsedd som samordnare för den berörda medlemsstaten. Du kontaktar inte varje myndighet separat: CRA inrättar en gemensam rapporteringsplattform, byggd och driftsatt av ENISA, som gemensam ingångspunkt för alla anmälningar. Art. 14 · 16

Plattformen vidarebefordrar varje anmälan till relevant nationell CSIRT och vid behov till andra myndigheter. I snäva fall – till exempel när ett offentliggörande skulle skapa en oproportionerlig cybersäkerhetsrisk – tillåter förordningen att en anmälan begränsas, men standardförfarandet är fullständig och skyndsam rapportering via plattformen.

Status · mitten av 2026

Den gemensamma rapporteringsplattformen är ännu inte allmänt tillgänglig. ENISA håller fortfarande på att bygga den (utvecklingen har upphandlats och kontrakterats) och publicerar material om registrering, introduktion och provkörning inför starten. Den är avsedd att vara i drift den 11 september 2026, med en testperiod dessförinnan; det finns därför ingen aktiv plattform att registrera sig på i dag.

04När det börjar

Rapporteringsskyldigheterna är den tidigaste stora delen av CRA som träder i kraft. Medan de flesta bestämmelser gäller från den 11 december 2027 gäller artikel 14 från 11 september 2026; 21 månader efter att akten trädde i kraft. Den gemensamma rapporteringsplattformen är avsedd att vara i drift vid detta datum. Art. 71

Varför detta är den första fristen som spelar roll

Till skillnad från CE-märkning, som du genomför en gång innan produkten släpps ut på marknaden, är rapportering en aktiv, fortlöpande skyldighet som börjar i september 2026 och kan utlösas när som helst därefter. Att vara förberedd är inte ett engångsprojekt.

Håller fortfarande på att färdigställas

Det exakta format och förfarande för anmälningar kan specificeras ytterligare av kommissionens genomförandeakter, och de harmoniserade standarder som utgör grunden för hantering av sårbarheter väntas runt 30 augusti 2026. Båda väntas komma in strax innan skyldigheten börjar gälla. Det praktiska rådet: bygg din interna process för att upptäcka och rapportera nu; vänta inte på de slutliga plattformsmekanismerna eller en publicerad rapporteringsmall, eftersom skyldigheten gäller från den 11 september 2026 oavsett.

05Hur du förbereder dig

Att klara ett 24-timmarsfönster är ett operativt problem, inte ett pappersarbetsproblem. De tillverkare som kommer att klara det är de som redan vet vad som finns i deras produkter och bevakar det kontinuerligt.

  • Håll en korrekt SBOM; du kan inte rapportera om en komponent du inte visste att du levererade. Upprätthåll en SBOM och håll den aktuell allteftersom versioner ändras.
  • Övervaka det kontinuerligt; matcha dina komponenter mot kända sårbarhetskällor så att ett aktivt utnyttjat fel framkommer inom timmar, inte veckor.
  • Definiera processen i förväg; bestäm nu vem som avgör om en rapport ska skickas, vem som utarbetar den och vem som lämnar in den, så att klockan inte tickar undan på intern upptrappning.
  • Spåra de underliggande kraven; den efterlevnadsmatris kopplar rapportering till de bredare skyldigheterna för hantering av sårbarheter i Bilaga I som den ingår i.

Den SBOM och sårbarhetsanalysverktyg täcker de två första: det spårar din komponentförteckning mot NVD och EU:s sårbarhetsdatabas (EUVD), så att en aktivt utnyttjad komponent flaggas inom 24-timmarsfönstret.

Öppna sårbarhetsanalysverktyget →CRA, förklarad →

06Vanliga frågor

Vad måste jag rapportera enligt CRA och hur snabbt?

Aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar din produkts säkerhet. Du måste skicka en tidig varning inom 24 timmar efter att du fått kännedom, en mer fullständig anmälan inom 72 timmar och en slutrapport inom 14 dagar från det att en korrigerande åtgärd är tillgänglig. Art. 14

När börjar rapporteringsskyldigheterna gälla?

11 september 2026; 21 månader efter att akten trädde i kraft och långt före full tillämpning den 11 december 2027.

Vem rapporterar jag till?

ENISA och den nationella CSIRT som utsetts som samordnare, via den gemensamma rapporteringsplattform som ENISA inrättar enligt artikel 16. Det är en gemensam ingångspunkt snarare än separata inlämningar.

Måste jag rapportera varje fel eller sårbarhet?

Nej. Endast aktivt utnyttjade sårbarheter och allvarliga incidenter är anmälningspliktiga. Sårbarheter som du hittar och åtgärdar innan de utnyttjas hanteras via din ordinarie process för hantering av sårbarheter.

Är ENISA:s gemensamma rapporteringsplattform tillgänglig ännu?

Inte ännu. I mitten av 2026 är den fortfarande under uppbyggnad enligt artikel 16; ENISA publicerar material om registrering och provkörning inför starten och plattformen är avsedd att vara i drift den 11 september 2026, med en testperiod dessförinnan.

Finns det ett standardformat eller en mall för rapportering ännu?

Inte ett slutligt sådant. Kommissionen kan specificera format och förfarande för anmälningar genom genomförandeakter, och de harmoniserade standarder som utgör grunden för hantering av sårbarheter väntas komma in runt den 30 augusti 2026. Förbered din interna process nu snarare än att vänta på de publicerade mekanismerna; skyldigheten gäller från den 11 september 2026 oavsett.

Fortsätt läsa

Närliggande hänvisningar

§CRA, förklarad

Tillämpningsområde, klasser, skyldigheter och hela tidslinjen i klartext.

§SBOM och sårbarhetsanalysverktyg

Matcha dina komponenter mot NVD och EUVD för att klara 24-timmarsfönstret.

§Hela förordningen

Artikel 14 och 16 i den bindande texten i Förordning (EU) 2024/2847.

§Vanliga frågor

Kortfattade svar på vanliga intressentfrågor med hänvisningar.