Akt o cyberodporności: zgłoszenia 24h, ENISA SRP, wrz 2026

Akt o cyberodporności (Cyber Resilience Act, rozporządzenie (UE) 2024/2847) wprowadza obowiązkowe i ograniczone czasowo zgłaszanie podatności i incydentów dla producentów. Od 11 września 2026 r. Artykuł 14 zobowiązuje producenta do zgłoszenia aktywnie wykorzystywanej podatności oraz poważnego incydentu w ciągu 24 godzin, a następnie do złożenia szczegółowego powiadomienia w ciągu 72 godzin, raportu końcowego dotyczącego podatności w ciągu 14 dni od udostępnienia środka naprawczego lub łagodzącego (art. 14 ust. 2 lit. c) oraz raportu końcowego dla poważnych incydentów w ciągu jednego miesiąca od 72-godzinnego powiadomienia o incydencie. Kanałem zgłoszenia jest platforma ENISA Single Reporting Platform (SRP), której planowane uruchomienie przewidziane jest do 11 września 2026 r. i która jednocześnie kieruje zgłoszenie do wyznaczonego CSIRT-koordynatora oraz do ENISA. Niedotrzymanie terminu oznacza narażenie na kary z Artykułu 64 CRA do 15 000 000 EUR lub 2,5% globalnego obrotu rocznego, w zależności od tego, która kwota jest wyższa (art. 64).

Czym jest ENISA SRP w kontekście CRA?

CRA wymagał jednego kanału, ponieważ Artykuł 14 ust. 1 zobowiązuje producenta do powiadamiania „jednocześnie wyznaczonego CSIRT-koordynatora, zgodnie z ustępem 7 tego artykułu, oraz ENISA". Przed powstaniem SRP oznaczało to potencjalnie składanie tego samego zgłoszenia do wielu krajowych CSIRTs. Artykuł 16 rozwiązuje to napięcie: ENISA ustanawia i prowadzi platformę, a „bieżące działanie tej jednolitej platformy zgłaszania jest zarządzane i obsługiwane przez ENISA" (art. 16 ust. 1).

Architektura jest prosta. Producent składa zgłoszenie raz do SRP przez elektroniczny punkt zgłoszeń swojego CSIRT-koordynatora. Zarówno CSIRT, jak i ENISA otrzymują powiadomienie jednocześnie. Na mocy Artykułu 16 CSIRT-koordynator jest następnie odpowiedzialny za przekazanie powiadomienia do CSIRTs w innych państwach członkowskich, w których produkt jest wprowadzony do obrotu. Dalsze przekazywanie leży po stronie CSIRT, a nie producenta.

Platforma SRP ma zostać uruchomiona do 11 września 2026 r. zgodnie z FAQ ENISA. Przed tym terminem przewidziany jest okres testowy; żadne konkretne daty nie zostały podane. ENISA prowadziła postępowanie przetargowe ENISA/2025/OP/0001 (umowa 4-letnia), z terminem składania ofert w marcu 2025 r. Dostawcy nie ujawniono publicznie. Żaden adres URL do rejestracji nie został opublikowany. Aktualizacje dostępne są na stronie ENISA SRP.

Co Uruchamia Zgłaszanie CRA?

Akt o cyberodporności definiuje dwie kategorie wymagające obowiązkowego powiadomienia:

1. Aktywnie Wykorzystywane Podatności

Podatność w produkcie, która:

• Jest znana producentowi (odkryta wewnętrznie lub zgłoszona zewnętrznie)
• Została wykorzystana przez złośliwego aktora
• Wpływa lub może wpływać na użytkowników produktu

2. Poważne Incydenty

Incydenty bezpieczeństwa, które:

• Wpływają na bezpieczeństwo produktu
• Naruszają środowisko deweloperskie w sposób wpływający na bezpieczeństwo produktu
• Powodują rozległe zakłócenia usług dla użytkowników
• Skutkują rozległym naruszeniem

Obie kategorie uruchamiają ten sam wymóg wczesnego ostrzeżenia, lecz mają różne okna raportu końcowego.

Co Oznacza „Aktywnie Wykorzystywana" w Rozumieniu CRA?

CRA definiuje aktywnie wykorzystywaną podatność jako taką, w której „złośliwy aktor wykorzystuje lukę".

To nie jest to samo, co:

• Podatność ujawniona publicznie
• Opublikowany proof-of-concept
• Badacz demonstrujący możliwość wykorzystania

Oznacza to rzeczywiste złośliwe użycie.

Scenariusze Zgłaszalne i Niezgłaszalne

Standard „Uzasadnionego Przekonania"

Producent nie potrzebuje dowodu forensycznego. Standard to uzasadnione przekonanie na podstawie dostępnych dowodów:

• Nietypowe wzorce dostępu zgodne ze znanymi technikami exploitów
• Raporty klientów o kompromitacji
• Wywiad o zagrożeniach wskazujący, że produkt jest celem
• Wykrycie kodu exploitu zaprojektowanego dla produktu

W przypadku niepewności: błąd należy popełnić po stronie zgłoszenia. Przedwczesne wczesne ostrzeżenie, które okaże się nieuzasadnione, jest znacznie lepsze niż przegapiony termin dla rzeczywistego wykorzystania.

Terminy Zgłaszania

Zarówno podatności, jak i incydenty podlegają etapowemu modelowi zgłaszania:

Oś Czasu Aktywnie Wykorzystywanej Podatności

ODKRYCIE -> 24 GODZINY -> 72 GODZINY -> PATCH DOSTEPNY -> 14 DNI
    |           |              |               |               |
    |           |              |               |               -- Raport Koncowy
    |           |              |               -- Zegar restartuje
    |           |              -- Szczegolowe Powiadomienie
    |           -- Wczesne Ostrzezenie
    -- Zegar startuje

Oś Czasu Poważnego Incydentu

ODKRYCIE -> 24 GODZINY -> 72 GODZINY -> 1 MIESIAC
    |           |              |              |
    |           |              |              -- Raport Koncowy
    |           |              -- Powiadomienie o Incydencie
    |           -- Wczesne Ostrzezenie
    -- Zegar startuje

Dla poważnych incydentów zegar jednomiesięczny liczy się od 72-godzinnego powiadomienia o incydencie, a nie od chwili odkrycia (art. 14 ust. 4 lit. c).

Co Zawiera Każdy Raport

Wczesne Ostrzeżenie (24 godziny)

Minimalne informacje do zaalarmowania organów:

• Tożsamość producenta
• Identyfikacja dotkniętego produktu/produktów
• Krótki opis podatności lub incydentu
• Wstępna ocena powagi
• Czy wykorzystanie jest potwierdzone czy podejrzewane
• Wskazanie potencjalnego zakresu wpływu

To nie jest pełna analiza. To alert, że dzieje się coś poważnego.

Szczegółowe Powiadomienie (72 godziny)

Dwa odrębne obowiązki obowiązują po 72 godzinach. 72-godzinne powiadomienie o podatności (art. 14 ust. 2 lit. b) dotyczy aktywnie wykorzystywanych podatności; 72-godzinne powiadomienie o incydencie (art. 14 ust. 4 lit. b) dotyczy poważnych incydentów. Rozszerzone informacje do oceny:

• Szczegóły techniczne podatności
• Dotknięte wersje i konfiguracje
• Metoda wykorzystania (jeśli znana)
• Obecny status łagodzenia
• Szacowany harmonogram naprawy
• Znani dotknięci użytkownicy lub zakres
• Koordynacja z innymi stronami (innymi dostawcami, CSIRT-ami)

Raport Końcowy (14 dni dla podatności / miesiąc dla incydentów)

Dla aktywnie wykorzystywanych podatności 14-dniowy termin liczy się „nie później niż 14 dni od udostępnienia środka naprawczego lub łagodzącego" (art. 14 ust. 2 lit. c), a nie od odkrycia podatności ani od 72-godzinnego powiadomienia. Pełna analiza po naprawie:

• Analiza przyczyn źródłowych
• Pełny opis techniczny
• Podjęte działania naprawcze
• Wyciągnięte wnioski
• Wdrożone środki zapobiegawcze
• Ocena wpływu (potwierdzeni dotknięci użytkownicy, ekspozycja danych itp.)

Podstawa Prawna CRA: Artykuły 14, 16, 64

Artykuł 14 CRA: Obowiązek Zgłaszania

Artykuł 14 ustanawia obowiązek i harmonogram zgłaszania dla wszystkich producentów produktów z elementami cyfrowymi. Stanowi on m.in.: „Producent powiadamia o każdej aktywnie wykorzystywanej podatności zawartej w produkcie z elementami cyfrowymi, o której powziął wiedzę, jednocześnie CSIRT-a wyznaczonego na koordynatora, zgodnie z ustępem 7 niniejszego artykułu, i ENISA" (art. 14 ust. 1).

Artykuł 14 ust. 7 określa zasadę kierowania. Producent składa zgłoszenie do CSIRT państwa członkowskiego, w którym ma miejsce głównej działalności, czyli gdzie podejmowane są decyzje dotyczące cyberbezpieczeństwa produktu. Dla producentów spoza UE kaskada przebiega następująco: państwo upoważnionego przedstawiciela, następnie importera, następnie dystrybutora, a na końcu kraj o największej koncentracji użytkowników. W przypadku producentów posiadających więcej niż jednego upoważnionego przedstawiciela, kaskada wskazuje państwo, w którym przedstawiciel obejmuje największą liczbę produktów.

Artykuł 16 CRA: Mandat dla Platformy

Artykuł 16 ust. 1 zobowiązuje ENISA do ustanowienia SRP i zarządzania jej bieżącym działaniem. Państwa członkowskie mogą również tworzyć krajowe punkty zgłoszeń łączące się z SRP (art. 16 ust. 1). Na mocy Artykułu 16 ust. 2 CSIRT-ami mogą opóźniać przekazywanie powiadomień do innych państw w wyjątkowych okolicznościach w celu ochrony trwających działań bezpieczeństwa, jednak jest to uprawnienie CSIRT, a nie producenta. Artykuł 16 ust. 5 zobowiązuje ENISA i Sieć CSIRT do wspólnego opracowania specyfikacji technicznych SRP. Artykuł 16 ust. 6 dotyczy interakcji z CVD: dla podatności objętej skoordynowanym ujawnieniem możliwe jest opóźnienie przekazywania za zgodą producenta.

Gdzie Złożyć Zgłoszenie z Artykułu 14 CRA?

Platforma ENISA Single Reporting Platform (SRP)

Platforma SRP nie jest operacyjna (kwiecień 2026 r.). Planowane uruchomienie przewidziane jest do 11 września 2026 r. zgodnie z FAQ ENISA. Przed tym terminem przewidziany jest okres testowy; żadne konkretne daty nie zostały ogłoszone. Żaden adres URL do rejestracji nie został opublikowany. Aktualizacje dostępne są na stronie ENISA SRP.

Co jest potwierdzone:

• Platforma internetowa do zgłoszeń
• Standaryzowane formularze zgłaszania
• Jedno zgłoszenie przez SRP jednocześnie kieruje do wyznaczonego CSIRT-koordynatora i do ENISA (art. 14 ust. 1)

Co producenci mogą zrobić teraz:

• Przygotować szablony raportów na podstawie struktury poniżej
• Zidentyfikować właściwy CSIRT-koordynator (patrz niżej)
• Zdefiniować wewnętrzne ścieżki eskalacji i autoryzowanych zgłaszających

Krajowe CSIRT-y

Na mocy Artykułu 14 ust. 7 Rozporządzenia (UE) 2024/2847 producent składa zgłoszenie raz przez SRP do CSIRT państwa członkowskiego, w którym ma miejsce głównej działalności. Miejsce głównej działalności to miejsce, w którym podejmowane są decyzje dotyczące cyberbezpieczeństwa produktu.

Dla producentów zarejestrowanych w Polsce właściwym CSIRT-koordynatorem jest CERT Polska (NASK). Producent spoza UE składa zgłoszenie do CSIRT państwa, w którym mieści się jego unijny upoważniony przedstawiciel. W razie braku upoważnionego przedstawiciela odpowiedzialność przechodzi kolejno na importera, dystrybutora, a następnie na kraj o największej koncentracji użytkowników.

Producent nie ma obowiązku powiadamiać każdego CSIRT w każdym kraju sprzedaży. Na mocy Artykułu 16 ENISA kieruje powiadomienie do CSIRTs państw rynkowych po złożeniu zgłoszenia. Ten krok nie należy do obowiązków producenta.

Dla Produktów w Wielu Państwach Członkowskich

Jedno zgłoszenie do SRP pokrywa obowiązek sprawozdawczy. Producent może otrzymywać pytania od wielu krajowych organów, lecz ścieżka zgłaszania jest jedna.

Jak Przygotować Się na Zgłaszanie z Artykułu 14 CRA?

Nie czekaj do września 2026 r. Procesy należy zbudować już teraz.

1. Kanały Przyjmowania Podatności

Ustanów jasne ścieżki dla zgłoszeń podatności:

Plik security.txt:

# https://twojprodukt.com/.well-known/security.txt
Contact: mailto:security@twojafirma.com
Contact: https://twojafirma.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: pl
Canonical: https://twojafirma.com/.well-known/security.txt
Policy: https://twojafirma.com/security/policy

Formularz internetowy do ustrukturyzowanych zgłoszeń

Przeznaczony adres e-mail monitorowany 24/7 (lub z określonym SLA)

2. Wewnętrzny Proces Triażu

Zdefiniuj, jak zgłoszenia są oceniane:

TRIAŻ PRZYJĘCIA PODATNOŚCI

1. Wstępne Przyjęcie (< 4 godziny)
   - Potwierdź odbiór
   - Przypisz do członka zespołu bezpieczeństwa
   - Wstępna weryfikacja zasadności

2. Triaż Techniczny (< 24 godziny)
   - Potwierdź, że podatność istnieje
   - Określ dotknięte wersje
   - Oceń możliwość wykorzystania
   - Sprawdź dowody aktywnego wykorzystania

3. Ocena Powagi (< 24 godziny)
   - Punktacja CVSS (lub równoważna)
   - Ocena wpływu biznesowego
   - Prawdopodobieństwo wykorzystania

4. Decyzja o Zgłoszeniu (NATYCHMIAST jeśli wykorzystanie potwierdzone)
   - Czy to wymaga powiadomienia ENISA?
   - Jeśli tak, uruchom zegar 24-godzinny

3. Ścieżki Eskalacji

Zdefiniuj, kto może uruchomić zewnętrzne zgłoszenie:

Kluczowa zasada: osoba odkrywająca potencjalne wykorzystanie musi móc eskalować natychmiast, 24/7.

4. Pokrycie Poza Godzinami Pracy

Zegar 24-godzinny nie zatrzymuje się na weekendy ani święta.

Opcje:

• Rotacja dyżurów dla zespołu bezpieczeństwa
• Usługa monitorowania z uprawnieniem do eskalacji
• Jasny łańcuch kontaktów poza godzinami pracy
• Autoryzowani zgłaszający z prawem do wysyłania wczesnych ostrzeżeń

5. Szablony Raportów

Przygotuj szablony zanim zaistnieje potrzeba ich użycia:

Szablon Wczesnego Ostrzeżenia:

WCZESNE OSTRZEŻENIE CRA ENISA

Producent: [Nazwa Firmy]
Data Raportu: [Data/Czas UTC]
Typ Raportu: [ ] Aktywnie Wykorzystywana Podatność [ ] Poważny Incydent

DOTKNIĘTY PRODUKT/PRODUKTY:
- Nazwa Produktu:
- Wersja(e):
- Kategoria Produktu:

OPIS PODATNOŚCI/INCYDENTU:
[Krótki opis, 2-3 zdania]

STATUS WYKORZYSTANIA:
[ ] Wykorzystanie potwierdzone
[ ] Wykorzystanie podejrzewane
Dowody: [Krótki opis dowodów]

WSTĘPNA OCENA POWAGI:
[ ] Krytyczna [ ] Wysoka [ ] Średnia [ ] Niska
Podstawa: [Wynik CVSS lub inne uzasadnienie]

POTENCJALNY ZAKRES WPŁYWU:
- Szacowani dotknięci użytkownicy:
- Zakres geograficzny:
- Zagrożone dane:

OBECNY STATUS:
[ ] W trakcie dochodzenia
[ ] Łagodzenie w toku
[ ] Patch w opracowaniu

KONTAKT DO DALSZYCH PYTAŃ:
Imię i nazwisko:
E-mail:
Telefon:

To jest wczesne ostrzeżenie. Szczegółowe powiadomienie nastąpi w ciągu 72 godzin.

6. Przetestuj Swój Proces

Przeprowadź ćwiczenia tabelaryczne przed wrześniem 2026 r.:

Scenariusz 1: Piątek, godz. 17:00 - badacz bezpieczeństwa zgłasza krytyczną podatność z PoC

• Jak szybko można ocenić ryzyko wykorzystania?
• Kto podejmuje decyzję o zgłoszeniu w weekend?

Scenariusz 2: Klient zgłasza podejrzaną aktywność sugerującą, że produkt był punktem wejścia

• Jak zebrać dowody, by potwierdzić lub zaprzeczyć wykorzystaniu?
• Jaki jest próg dla „uzasadnionego przekonania"?

Scenariusz 3: Wywiad o zagrożeniach wskazuje, że produkt jest celem grupy APT

• Czy firma posiada widoczność rzeczywistego wykorzystania?
• Jak koordynować działania z zewnętrznymi dostawcami threat intelligence?

Najczęstsze Pułapki w Zgłaszaniu CRA

Czekanie na Pewność

Problem: oczekiwanie na dowód forensyczny przed złożeniem zgłoszenia.

Stan faktyczny: zegar 24-godzinny startuje w chwili posiadania uzasadnionego przekonania. Czekanie na pewność oznacza przegapiony termin.

Rozwiązanie: złóż zgłoszenie wcześniej. W szczegółowym powiadomieniu można zaktualizować informację „nie uważa się już za aktywnie wykorzystywane", jeśli dowody tego nie potwierdzą.

Mylenie CVD ze Zgłaszaniem CRA

Problem: traktowanie zgłoszeń badaczy jako powiadomień ENISA.

Stan faktyczny: skoordynowane ujawnianie podatności i zgłaszanie z Artykułu 14 CRA to odrębne procesy.

• CVD: sposób obsługi zgłoszeń badaczy i uzgadniania harmonogramów ujawniania
• Zgłaszanie CRA: obowiązkowe powiadomienie w chwili wystąpienia wykorzystania

Rozwiązanie: proces CVD powinien zawierać bramkę: „Czy są dowody wykorzystania?" Jeśli tak, uruchom zgłaszanie z Artykułu 14 CRA równolegle do CVD.

Pojedynczy Punkt Awarii

Problem: tylko jedna osoba może autoryzować zgłoszenia i jest nieosiągalna.

Stan faktyczny: wykorzystanie może zostać odkryte o każdej porze. W weekendy. W święta. O trzeciej w nocy.

Rozwiązanie: wielu autoryzowanych zgłaszających, jasna delegacja, łańcuch kontaktów awaryjnych.

Brak Relacji z CSIRT-ami

Problem: pierwszy kontakt z krajowym CSIRT następuje podczas incydentu.

Stan faktyczny: wcześniejsze budowanie relacji ułatwia reagowanie na incydenty.

Rozwiązanie: nawiąż kontakt z CERT Polska teraz. Zapoznaj się z ich procesami. Dołącz do ewentualnych programów outreach dla producentów.

Wyłączenia dla Mikro- i Małych Przedsiębiorstw

Mikroprzedsiębiorstwa i małe przedsiębiorstwa posiadają pewne ulgi na podstawie art. 64 ust. 10 CRA:

Wyłączenie z kar za terminy: zwolnienie dotyczy kar za przekroczenie 24-godzinnego terminu wczesnego ostrzeżenia z art. 14 ust. 2 lit. a i art. 14 ust. 4 lit. a. Termin 72-godzinnego szczegółowego powiadomienia (art. 14 ust. 2 lit. b i art. 14 ust. 4 lit. b) nie jest objęty. Jego przekroczenie może skutkować karami niezależnie od wielkości firmy.

Nadal wymagane:

• Zgłaszanie (tylko bez kary za 24-godzinne opóźnienie)
• Wszystkie inne obowiązki CRA
• Raporty końcowe

Definicja: dotyczy mikroprzedsiębiorstw (mniej niż 10 pracowników, roczny obrót lub suma bilansowa nieprzekraczająca 2 mln EUR) i małych przedsiębiorstw (mniej niż 50 pracowników, roczny obrót lub suma bilansowa nieprzekraczająca 10 mln EUR). Średnie przedsiębiorstwa (do 250 pracowników) nie są objęte tym wyłączeniem.

Wyłączenie obejmuje wyłącznie karę za 24-godzinne wczesne ostrzeżenie. Wszyscy producenci, w tym mikroprzedsiębiorstwa, muszą posiadać zdolności zgłaszania.

Integracja z Istniejącymi Procesami

Jeśli Istnieje Już Reagowanie na Incydenty

Zmapuj zgłaszanie CRA do istniejącego procesu:

ISTNIEJĄCY PROCES IR          INTEGRACJA CRA
---------------------------------------------------
Wykrycie
    |
Triaż --------------------> Sprawdź: Wykorzystanie produktu CRA?
    |                              |
Powstrzymanie                      +- TAK: Uruchom zegar 24h
    |                              |       Wyślij wczesne ostrzeżenie
Dochodzenie                        |
    |                              |
Naprawa -------------------> Szczegółowe powiadomienie 72h
    |
Odzyskiwanie
    |
Wnioski -------------------> Raport końcowy 14d/1 miesiąc

Jeśli Istnieją Obowiązki NIS 2

Niektóre organizacje posiadają zarówno obowiązki NIS 2, jak i CRA:

• NIS 2: incydenty na poziomie organizacji lub usługi
• CRA: podatności i incydenty na poziomie produktu

Te mogą się nakładać. Jeden incydent może wymagać:

• Powiadomienia NIS 2 do właściwego organu
• Powiadomienia CRA do ENISA/CSIRT przez SRP

Interakcja między kanałami zgłaszania NIS 2 i Artykułem 14 CRA nie została potwierdzona w ostatecznych wytycznych. Twierdzenia, że SRP obsługuje kierowanie dla obu reżimów, należy traktować jako niepotwierdzone do czasu publikacji przez ENISA lub Komisję wiążących wytycznych (patrz sekcja „Co jest nadal otwarte" poniżej).

Lista Kontrolna Gotowości do Zgłaszania ENISA

LISTA KONTROLNA GOTOWOŚCI DO ZGŁASZANIA ENISA

PRZED WRZEŚNIEM 2026 r.:

KANAŁY I KONTAKTY
[ ] security.txt opublikowany i aktualny
[ ] Formularz zgłaszania podatności dostępny
[ ] E-mail ds. bezpieczeństwa monitorowany (zdefiniuj SLA: ____ godzin)
[ ] Kontakt krajowego CSIRT zidentyfikowany (CERT Polska dla firm w Polsce)
[ ] Rejestracja ENISA SRP (gdy dostępna)

PROCES WEWNĘTRZNY
[ ] Kryteria triażu udokumentowane
[ ] Lista kontrolna oceny wykorzystania przygotowana
[ ] Ścieżka eskalacji zdefiniowana (nazwiska, kontakty)
[ ] Autoryzowani zgłaszający zidentyfikowani
[ ] Pokrycie poza godzinami pracy ustanowione

DOKUMENTACJA
[ ] Szablon wczesnego ostrzeżenia przygotowany
[ ] Szablon szczegółowego powiadomienia przygotowany
[ ] Szablon raportu końcowego przygotowany
[ ] Materiały informacyjne wewnętrzne gotowe

TESTOWANIE
[ ] Ćwiczenie tabelaryczne ukończone
[ ] Eskalacja poza godzinami pracy przetestowana
[ ] Przegląd szablonów ukończony

GDY WYKRYTO WYKORZYSTANIE:

NATYCHMIAST (w ciągu 4 godzin)
[ ] Wstępna ocena: czy to jest aktywnie wykorzystywane?
[ ] Czas startu zegara udokumentowany: ____________
[ ] Eskalacja do autoryzowanego zgłaszającego

W CIĄGU 24 GODZIN
[ ] Wczesne ostrzeżenie wysłane do ENISA SRP
[ ] Potwierdzenie zgłoszenia otrzymane
[ ] Wewnętrzni interesariusze powiadomieni

W CIĄGU 72 GODZIN
[ ] Szczegółowe powiadomienie złożone
[ ] Status łagodzenia zaktualizowany
[ ] Komunikacja z klientem zainicjowana (jeśli stosowne)

W CIĄGU 14 DNI OD UDOSTĘPNIENIA ŚRODKA NAPRAWCZEGO LUB ŁAGODZĄCEGO (podatność) / MIESIĄC (incydent)
[ ] Raport końcowy złożony
[ ] Wnioski udokumentowane
[ ] Ulepszenia procesu zidentyfikowane

Co Jest Nadal Otwarte

Kilka kwestii mających wpływ na praktyczne działanie zgłaszania z Artykułu 14 CRA pozostaje nierozstrzygniętych w chwili redakcji niniejszego artykułu:

Jak CRA Evidence Obsługuje Zgłaszanie z Artykułu 14 CRA?

CRA Evidence jest zbudowane wokół harmonogramu zgłaszania z Artykułu 14. Kluczowe dane wymagane przez zgłoszenia SRP są już ustrukturyzowane w platformie w chwili identyfikacji podatności lub incydentu.

• Znacznik czasu świadomości z Artykułu 14 CRA: każda podatność jest rejestrowana względem produktu ze znacznikiem czasu świadomości, który uruchamia 24-godzinny zegar z Artykułu 14. Pole discovered_at napędza pola terminów ENISA, dzięki czemu moment startu zegara jest rejestrowany natychmiast po wprowadzeniu podatności do systemu.
• Mapowanie wersji produktu powiązane z SBOM: przychodzące CVE i dowody na wykorzystanie są powiązane z konkretnymi wersjami produktu przez potok przyjmowania SBOM, dzięki czemu pole dotkniętych wersji w zgłoszeniu z Artykułu 14 CRA jest wstępnie wypełniane na podstawie komponentów już zawartych w SBOM.
• Wstępne przygotowanie pól raportu CRA: dokumentacja techniczna (Załącznik VII), dane producenta (nazwa prawna, adres, kontakt), klasa produktu (Domyślna / Istotna Klasa I i II / Krytyczna) oraz okres wsparcia są już ustrukturyzowane w systemie, gotowe do wypełnienia pól wczesnego ostrzeżenia i 72-godzinnego powiadomienia SRP.
• Ścieżka audytu CRA: każdy krok od wewnętrznego triażu do zewnętrznego powiadomienia CRA jest rejestrowany z aktorem i znacznikiem czasu, co jest tym, czego wymagają przeglądy egzekucyjne. Przejścia triażu i powiadomienia ENISA (wczesne ostrzeżenie, szczegółowe powiadomienie, raport końcowy) są w pełni pokryte.
• Dane wejściowe do kierowania CSIRT na profilu producenta: stan członkowski CSIRT i dane upoważnionego przedstawiciela (imię i nazwisko, adres, państwo członkowskie) są przechowywane na profilu producenta, dzięki czemu kluczowe dane wejściowe do kierowania CSIRT z Artykułu 14 CRA i reprezentacji producenta spoza UE są dostępne w chwili powiadamiania.

Sprawdź, jak platforma obsługuje terminy z Artykułu 14: CRA Evidence ENISA Reporting.

Następne Kroki

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym prawnikiem zaznajomionym z przepisami UE dotyczącymi produktów.