ENISA wdraża pierwsze CNAs: co to oznacza dla Artykułu 14 CRA

ENISA przyjmuje nowe europejskie CNA jako CVE Root. Dowiedz się, jak wzmacnia to zgłaszanie podatności zgodnie z Artykułem 14 CRA. Termin: 11 września 2026 r.

Zespół CRA Evidence Opublikowano 6 maja 2026
ENISA CVE Root i zgłaszanie podatności zgodnie z Artykułem 14 CRA: europejski łańcuch identyfikacji podatności
W tym artykule

Zegar 24 godzin przewidziany w Artykule 14 ust. 1 CRA startuje w chwili, gdy producent uzyska uzasadnione przekonanie o aktywnym wykorzystaniu podatności. Ten zegar zakłada sprawny łańcuch identyfikacji podatności. ENISA właśnie uczyniła ten łańcuch bardziej bezpośrednim.

6 maja 2026 r. ENISA ogłosiła, że cztery nowe organizacje dołączyły do Programu CVE jako Organy Numerujące CVE (CNA) pod ENISA Root. Siedem istniejących europejskich CNA przeniosło się z MITRE Root do ENISA Root. Dla każdego producenta przygotowującego się do zgodności z Artykułem 14 CRA to moment, w którym infrastruktura operacyjna staje się rzeczywistością.

To ogłoszenie ma większe znaczenie, niż mogłoby się wydawać. CRA nie istnieje w próżni. Rozporządzenie definiuje obowiązki prawne, lecz obowiązki te opierają się na infrastrukturze, która musi istnieć i działać przed 11 września 2026 r. ENISA, budując swoje CVE Root, tworzy część tej infrastruktury. Fakt, że dzieje się to teraz, przy tak bliskim terminie CRA, jest jednocześnie pozytywnym sygnałem i przypomnieniem, że UE wciąż składa maszynerię, podczas gdy zegar tyka.

Podsumowanie

  • ENISA jest CVE Root dla podmiotów europejskich. Status Root uzyskała w listopadzie 2025 r., a pierwsze CNA przyjęła w maju 2026 r.
  • 4 nowe CNA dołączyły do Programu CVE pod ENISA Root, wyszkolone i przyjęte bezpośrednio przez ENISA. 7 istniejących europejskich CNA przeniosło się z MITRE Root.
  • Ponad 90 europejskich CNA jest uprawnionych do dobrowolnego przeniesienia pod ENISA Root. Europa reprezentuje już prawie jedną piątą spośród 510 CNA z 42 krajów na całym świecie.
  • Artykuł 14 CRA nakłada na producentów obowiązek zgłaszania aktywnie wykorzystywanych podatności w ciągu 24 godzin za pośrednictwem Jednolitej Platformy Zgłaszania ENISA (SRP), aktywnej od 11 września 2026 r.
  • Identyfikatory CVE są wspólnym identyfikatorem dla tych zgłoszeń. ENISA jako CVE Root oznacza, że Europa przypisuje identyfikatory CVE bezpośrednio, bez pośrednictwa MITRE.
  • Akceleracja AI to wskazany czynnik napędowy. Hans de Vries z ENISA wskazał, że zaawansowane modele AI skracają czas między wykryciem podatności a jej wykorzystaniem.
  • Ustawa o cyberbezpieczeństwie 2 proponuje dodatkowe zasoby operacyjne ENISA odpowiadające rosnącemu wolumenowi zgłoszeń.
4
Nowe CNA pod ENISA Root
przyjęte w maju 2026 r.
7
Przeniesione z MITRE
istniejące CNA z UE, nowy root
90+
Uprawnione CNA z UE
dobrowolne przeniesienie otwarte
Lis. 2025
ENISA zostaje CVE Root
pierwsze CNA przyjęte w maju 2026 r.

Źródło: ogłoszenie ENISA, 6 maja 2026 r.

Dlaczego identyfikatory CVE mają znaczenie dla zgłoszenia z Artykułu 14

Gdy Artykuł 14 CRA wymaga zgłoszenia aktywnie wykorzystywanej podatności, zgłoszenie musi precyzyjnie ją identyfikować. Identyfikatory CVE są globalnym standardem tej identyfikacji. Stosuje je Europejska Baza Danych o Podatnościach ENISA (EUVD). Będzie ich oczekiwać Jednolita Platforma Zgłaszania ENISA.

Uzyskanie przypisania identyfikatora CVE wymaga CNA. Jeśli żadne europejskie CNA nie obejmowało danej kategorii oprogramowania, producent kierował wniosek do MITRE. MITRE ma siedzibę w USA. Koordynacja działała, lecz wprowadzała opóźnienia. Przy zegarze 24-godzinnym opóźnienie stanowi ryzyko zgodności.

ENISA jako CVE Root zmienia tę ścieżkę. Europejskie CNA koordynują teraz przypisywanie CVE bezpośrednio z ENISA. Dla większości producentów jest to niewidoczne na co dzień. Producent nie musi być CNA. Badacz bezpieczeństwa, który znajdzie błąd w produkcie, czy CSIRT obsługujący ujawnienie podatności, działa teraz pod organem nadrzędnym, który geograficznie pokrywa się z agencją, do której producent składa zgłoszenia na podstawie Artykułu 14.

To właśnie ta infrastruktura jest podstawą okna 24-godzinnego.

Łańcuch zgłaszania na podstawie Artykułu 14 CRA

Artykuł 14 ust. 1 CRA nakłada na producentów obowiązek jednoczesnego zgłaszania do koordynującego CSIRT i do ENISA za pośrednictwem Jednolitej Platformy Zgłaszania ENISA. Producent składa jedno zgłoszenie. Obie strony je otrzymują.

SRP potrzebuje jednak identyfikatora CVE, żeby zakotwić zgłoszenie. Rola ENISA jako CVE Root oznacza, że krok identyfikacji i krok zgłaszania podlegają teraz tej samej agencji. Organ, który nazywa podatność, jest tym samym organem, do którego producent zgłasza incydent. Zamyka to lukę koordynacyjną, która istniała, gdy te dwie funkcje były realizowane przez osobne organizacje na różnych kontynentach.

Jedna agencja, dwie role

ENISA przypisuje teraz identyfikatory CVE dla podmiotów europejskich i przyjmuje zgłoszenia z Artykułu 14 za pośrednictwem SRP. Organ, który nazywa podatność, jest tym samym organem, do którego producent zgłasza incydent na podstawie CRA.

Pełny cykl zgłaszania: 24 h, 72 h i 14 dni oraz zakres zgłoszenia do SRP opisuje przewodnik po zgłaszaniu z Artykułu 14.

Problem akceleracji przez AI

Hans de Vries, Chief Cybersecurity and Operations Officer w ENISA, był bezpośredni w kwestii tego, dlaczego ma to znaczenie właśnie teraz:

W czasach, gdy zaawansowane modele AI przyspieszają odkrywanie i wykorzystywanie podatności, europejska zdolność zarządzania podatnościami musi nadążać za tym tempem i zapewniać zaufane wsparcie operacyjne dla szerszej społeczności zajmującej się cyberbezpieczeństwem.

Hans de Vries, Chief Cybersecurity and Operations Officer, ENISA · 6 maja 2026 r.

Narzędzia AI skracają czas między wykryciem błędu a jego wykorzystaniem. Okno między „badacz to odkrywa" a „zegar 24-godzinny z Artykułu 14 startuje" staje się coraz krótsze. Z tego wynikają dwie konsekwencje. Po pierwsze, wewnętrzny proces triage'u musi odpowiadać szybszemu harmonogramowi zagrożeń. Po drugie, krok przypisywania CVE w łańcuchu musi działać równie szybko. ENISA buduje tę zdolność teraz. Ustawa o cyberbezpieczeństwie 2 proponuje dodatkowe zasoby operacyjne ENISA przeznaczone konkretnie do tej funkcji.

Czego producent robić nie musi

Producent nie musi zostać CNA. Status Organu Numerującego CVE jest przeznaczony dla organizacji, które odkrywają i publikują rekordy podatności. Większość producentów CNA-mi nie jest, a CRA tego nie wymaga.

Załącznik I, Część II CRA wymaga natomiast skoordynowanej polityki ujawniania podatności (CVD). Ta polityka opisuje, jak organizacja przyjmuje, obsługuje i ujawnia podatności. W jej ramach producent współpracuje z CNA lub CSIRT-ami, które obsługują przypisywanie CVE. ENISA jako CVE Root oznacza, że ci partnerzy działają teraz w ramach bardziej bezpośredniej struktury organów UE. W Polsce naturalnym punktem kontaktu jest CERT Polska, działający w ramach NASK.

Przed 11 września 2026 r. przegląd polityki CVD powinien obejmować trzy pytania:

  1. Czy polityka wskazuje ścieżkę zgłaszania? Polityka musi wskazywać SRP ENISA jako kanał składania zgłoszeń zgodnie z Artykułem 14.
  2. Czy polityka określa sposób obsługi zgłoszeń przychodzących? Gdy badacz zgłasza podatność do producenta, polityka musi opisywać harmonogram odpowiedzi i proces wnioskowania o CVE.
  3. Czy polityka wskazuje koordynujący CSIRT? Artykuł 14 ust. 7 CRA nakłada na producentów obowiązek wyznaczenia koordynującego CSIRT. To wyznaczenie powinno znaleźć się w polityce.

Punkt wyjścia do opracowania polityki CVD oferuje szablon polityki CVD.

Nasza ocena

Linia „wzmocnić, nie fragmentować" to właściwe podejście. Ryzyko związane z każdą infrastrukturą specyficzną dla UE polega na fragmentacji. Europejskie silo CVE, które rozchodziłoby się z MITRE, zaszkodzi wszystkim, w tym europejskim producentom próbującym funkcjonować w globalnych łańcuchach dostaw. Ogłoszenie jest jednoznaczne: ENISA współpracuje z CISA i MITRE jako część wspólnego zaangażowania w globalny program.

Ważniejszy przekaz dla producentów to kwestia harmonogramu. Infrastruktura jest składana w tym samym czasie, w którym producent ma już z niej korzystać. SRP jeszcze nie działa. Pod CVE Root działa 11 CNA z ponad 90 uprawnionych. Te elementy będą gotowe do września 2026 r., ale producent też musi być gotowy, a budowanie procesu wokół infrastruktury, która dopiero powstaje, jest trudniejsze niż budowanie go na stabilnym gruncie.

Często zadawane pytania

Czy fakt, że ENISA zostaje CVE Root, zmienia obowiązki producenta wynikające z Artykułu 14?

Nie. Obowiązki wynikające z Artykułu 14 pozostają bez zmian. Producent nadal zgłasza aktywnie wykorzystywane podatności w ciągu 24 godzin za pośrednictwem SRP ENISA od 11 września 2026 r. Zmienia się infrastruktura za platformą. ENISA obsługuje teraz przypisywanie identyfikatorów CVE bezpośrednio dla podmiotów europejskich, co zmniejsza opóźnienie koordynacyjne między identyfikacją podatności a krokiem zgłaszania. Pełne szczegóły obowiązków zawiera przewodnik po zgłaszaniu z Artykułu 14.

Czy producent musi zostać Organem Numerującym CVE, aby spełnić wymagania CRA?

Nie. Status CNA jest przeznaczony dla organizacji, które odkrywają i publikują rekordy podatności. CRA wymaga skoordynowanej polityki ujawniania podatności na podstawie Załącznika I, Część II, oraz zgłaszania za pośrednictwem SRP ENISA zgodnie z Artykułem 14. To są odrębne kwestie od członkostwa w CNA. Większość producentów spełnia wymagania, współpracując z istniejącymi CNA lub CSIRT-ami, a nie posiadając status CNA.

Kiedy ENISA uzyskała status CVE Root i co to oznacza w praktyce?

ENISA uzyskała status CVE Root dla podmiotów europejskich w listopadzie 2025 r. Jako Root rekrutuje, przyjmuje, szkoli i zarządza CNA w ramach swojego zakresu oraz ułatwia przypisywanie identyfikatorów CVE i publikację rekordów dla podmiotów europejskich. Pierwsze przyjęcia CNA pod ENISA Root ogłoszono 6 maja 2026 r.: cztery nowe CNA i siedem przenoszących się z MITRE Root. W praktyce oznacza to, że europejskie CNA koordynują teraz przypisywanie CVE z ENISA, zamiast kierować wnioski przez opartą w USA organizację MITRE.

Czym jest Europejska Baza Danych o Podatnościach i jak łączy się z ENISA Root?

ENISA prowadzi Europejską Bazę Danych o Podatnościach (EUVD), która kataloguje podatności przy użyciu identyfikatorów CVE jako wspólnego identyfikatora. Jako CVE Root ENISA kontroluje teraz przypisywanie tych identyfikatorów dla podmiotów europejskich. Baza danych i organ przypisujący identyfikatory działają pod jedną agencją. Producent może korzystać z EUVD, aby sprawdzić, czy podatność została zarejestrowana przed złożeniem zgłoszenia z Artykułu 14 za pośrednictwem SRP.

Dlaczego argument o akceleracji przez AI ma znaczenie dla przygotowania do CRA?

Chief Cybersecurity and Operations Officer ENISA wskazał, że zaawansowane modele AI skracają czas między wykryciem podatności a jej wykorzystaniem. Krótsze okno od wykrycia do exploita oznacza mniejszy bufor między momentem, gdy badacz znajdzie błąd, a startem 24-godzinnego zegara z Artykułu 14. Wewnętrzny proces triage'u musi być zbudowany na takie tempo. Przed 11 września 2026 r. przeprowadź ćwiczenie tabletop pod kątem okna 24-godzinnego, żeby sprawdzić, czy proces wytrzymuje.

Czym różni się MITRE Root od ENISA Root dla europejskich CNA?

MITRE to oparta w USA organizacja, która historycznie pełniła rolę globalnego CVE root. Europejskie CNA pod MITRE Root koordynowały przypisywanie CVE przez MITRE. Pod ENISA Root te CNA koordynują bezpośrednio z ENISA. Format identyfikatora CVE i zasady Programu CVE pozostają niezmienione. Różnica dotyczy organu nadrzędnego: zlokalizowanego w UE, umocowanego w prawie UE i zintegrowanego z SRP ENISA oraz EUVD, za pośrednictwem których producenci składają zgłoszenia zgodnie z CRA.

Co zrobić przed 11 września 2026 r.

  1. Przejrzyj skoordynowaną politykę ujawniania podatności. Sprawdź, czy wskazuje SRP ENISA jako kanał zgłaszania na podstawie Artykułu 14 i czy wyznacza koordynujący CSIRT. Punktem odniesienia jest szablon polityki CVD.
  2. Przeprowadź ćwiczenie tabletop na 24-godzinnym oknie z Artykułu 14. Wskaż, kto w organizacji uruchamia zegar, kto składa zgłoszenie i jak uzyskuje się identyfikator CVE. Pełny cykl zgłaszania opisuje przewodnik po zgłaszaniu z Artykułu 14.
  3. Wskaż CNA lub CSIRT-y, z którymi producent współpracuje przy wnioskach o identyfikator CVE. Jeśli są europejskie, sprawdź, czy działają pod ENISA Root. To określa pierwszy punkt kontaktu, gdy podatność wymaga identyfikatora przed zgłoszeniem. W Polsce takim punktem jest CERT Polska.
  4. Obserwuj SRP ENISA pod kątem okresu testowego i daty uruchomienia. Adres URL rejestracji nie został jeszcze opublikowany. Przed terminem wrześniowym śledź stronę SRP ENISA w poszukiwaniu aktualizacji.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA ENISA Zarządzanie podatnościami Bezpieczeństwo
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Klasyfikacja produktów

Jak CRA klasyfikuje produkty według poziomu ryzyka i co każda kategoria oznacza dla obowiązków.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide