Zgłaszanie Podatności do ENISA: Zegar 24 Godzin Startuje 11 Września 2026

11 września 2026 roku. Od tej daty producenci mają 24 godziny na zgłoszenie aktywnie wykorzystywanych podatności do ENISA. Przegapiony termin oznacza postępowanie egzekucyjne.

Ten przewodnik obejmuje, co uruchamia zgłaszanie, co naprawdę oznacza „aktywnie wykorzystywany" i jak zbudować wewnętrzny proces przed nadejściem terminu.

Co Uruchamia Zgłaszanie CRA?

CRA definiuje dwie kategorie wymagające obowiązkowego powiadomienia:

1. Aktywnie Wykorzystywane Podatności

Podatność w produkcie, która:

• Jest znana producentowi (odkryta wewnętrznie lub zgłoszona zewnętrznie)
• Została wykorzystana przez złośliwego aktora
• Wpływa lub może wpływać na użytkowników produktu

2. Poważne Incydenty

Incydenty bezpieczeństwa, które:

• Wpływają na bezpieczeństwo produktu
• Kompromitują środowisko deweloperskie w sposób wpływający na bezpieczeństwo produktu
• Powodują znaczące zakłócenia usług dla użytkowników
• Skutkują rozległym kompromitowaniem

Obie kategorie uruchamiają te same terminy zgłaszania, ale mają różne okna na raport końcowy.

Co oznacza „aktywne wykorzystanie" w rozumieniu CRA?

CRA definiuje aktywnie wykorzystywaną podatność jako taką, w której „złośliwy aktor wykorzystuje lukę".

To nie jest to samo, co:

• Podatność ujawniona publicznie
• Opublikowany proof-of-concept
• Badacz demonstrujący możliwość wykorzystania

Oznacza to rzeczywiste złośliwe użycie.

Scenariusze do Zgłoszenia vs Niezgłaszalne

Standard „Uzasadnionego Przekonania"

Producent nie potrzebuje dowodu forensycznego. Standard to uzasadnione przekonanie oparte na dostępnych dowodach:

• Nietypowe wzorce dostępu zgodne ze znanymi technikami exploitów
• Raporty klientów o kompromitacji
• Wywiad o zagrożeniach wskazujący, że produkt jest celem
• Wykrycie kodu exploitu zaprojektowanego dla produktu

W przypadku niepewności: Zgłoś wcześniej. Przedwczesne wczesne ostrzeżenie, które okaże się nieuzasadnione, jest znacznie lepsze niż przegapiony termin dla rzeczywistego wykorzystania.

Terminy Zgłaszania

Podatności i incydenty podążają za etapowym modelem zgłaszania:

Oś Czasu Aktywnie Wykorzystywanej Podatności

ODKRYCIE → 24 GODZINY → 72 GODZINY → PATCH DOSTĘPNY → 14 DNI
    │           │            │             │              │
    │           │            │             │              └── Raport Końcowy
    │           │            │             └── Zegar restartuje
    │           │            └── Szczegółowe Powiadomienie
    │           └── Wczesne Ostrzeżenie
    └── Zegar startuje

Oś Czasu Poważnego Incydentu

ODKRYCIE → 24 GODZINY → 72 GODZINY → 1 MIESIĄC
    │           │            │            │
    │           │            │            └── Raport Końcowy
    │           │            └── Szczegółowe Powiadomienie
    │           └── Wczesne Ostrzeżenie
    └── Zegar startuje

Co Zawiera Każdy Raport

Wczesne Ostrzeżenie (24 godziny)

Minimalne informacje do zaalarmowania organów:

• Tożsamość producenta
• Identyfikacja dotkniętego produktu
• Krótki opis podatności lub incydentu
• Wstępna ocena powagi
• Czy wykorzystanie jest potwierdzone czy podejrzewane
• Wskazanie potencjalnego zakresu wpływu

To nie jest pełna analiza. To alert, że dzieje się coś poważnego.

Szczegółowe Powiadomienie (72 godziny)

Rozszerzone informacje do oceny:

• Szczegóły techniczne podatności
• Dotknięte wersje i konfiguracje
• Metoda wykorzystania (jeśli znana)
• Obecny status mitigacji
• Szacowany harmonogram naprawy
• Znani dotknięci użytkownicy i zakres
• Koordynacja z innymi stronami (innymi dostawcami, CSIRTs)

Raport Końcowy (14 dni dla podatności / miesiąc dla incydentów)

Pełna analiza po naprawie:

• Analiza przyczyn źródłowych
• Pełny opis techniczny
• Podjęte działania naprawcze
• Wyciągnięte wnioski
• Wdrożone środki zapobiegawcze
• Ocena wpływu (potwierdzeni dotknięci użytkownicy, ekspozycja danych itp.)

Gdzie zgłosić podatność do ENISA?

Jednolita Platforma Zgłaszania ENISA (SRP)

Dziś (kwiecień 2026) SRP nie jest jeszcze operacyjna. ENISA wybrała dostawcę, a platforma ma zostać uruchomiona do 11 września 2026, kiedy obowiązki zgłaszania wejdą w życie. Przed tym terminem planowany jest okres testowy. Żaden adres URL do rejestracji nie został opublikowany. Śledź aktualizacje na stronie ENISA: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Co jest potwierdzone:

• Platforma internetowa do zgłoszeń
• Standaryzowane formularze zgłaszania
• Jedno zgłoszenie kierowane do odpowiedniego krajowego CSIRT

Co producenci mogą zrobić teraz:

• Przygotować szablony raportów na podstawie struktury poniżej
• Zidentyfikować właściwy CSIRT (patrz niżej)
• Zdefiniować wewnętrzne ścieżki eskalacji i autoryzowanych zgłaszających

Krajowe CSIRTs

Zgodnie z Artykułem 14(7) Rozporządzenia (UE) 2024/2847 producent składa jedno zgłoszenie przez SRP do CSIRT państwa członkowskiego, w którym ma siedzibę główną. Siedziba główna to miejsce, w którym podejmowane są decyzje dotyczące bezpieczeństwa cybernetycznego produktu.

Jeśli producent ma siedzibę poza UE, właściwy CSIRT to CSIRT państwa, w którym mieści się unijny upoważniony przedstawiciel. Jeśli nie ma upoważnionego przedstawiciela, odpowiedzialność przechodzi na importera, następnie dystrybutora, a na końcu na kraj o największej koncentracji użytkowników.

Producent nie ma obowiązku powiadamiać każdego CSIRT w każdym kraju, w którym sprzedaje produkt. Zgodnie z Artykułem 16 to ENISA kieruje powiadomienie do CSIRTs krajów rynkowych po złożeniu zgłoszenia. Ten krok nie jest obowiązkiem producenta.

CERT Polska jest krajowym CSIRTem dla producentów zarejestrowanych w Polsce. Nawiąż z nimi kontakt przed wrześniem 2026 roku.

Dla Produktów w Wielu Państwach Członkowskich

Jedno zgłoszenie do SRP pokrywa obowiązek sprawozdawczy. Producent może otrzymywać pytania od wielu krajowych organów, ale ścieżka zgłaszania jest jedna.

Lista Kontrolna Wewnętrznego Przygotowania

Nie czekaj do września 2026. Zbuduj procesy teraz.

1. Kanały Przyjmowania Podatności

Ustanów jasne ścieżki dla raportów o podatnościach:

Plik security.txt:

# https://twojprodukt.com/.well-known/security.txt
Contact: mailto:security@twojafirma.com
Contact: https://twojafirma.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: pl
Canonical: https://twojafirma.com/.well-known/security.txt
Policy: https://twojafirma.com/security/policy

Formularz internetowy dla ustrukturyzowanych raportów

Przeznaczony email monitorowany 24/7 (lub z jasnym SLA)

2. Wewnętrzny Proces Triażu

Zdefiniuj, jak raporty są oceniane:

TRIAŻ PRZYJĘCIA PODATNOŚCI

1. Wstępne Przyjęcie (< 4 godziny)
   - Potwierdź odbiór
   - Przypisz do członka zespołu bezpieczeństwa
   - Wstępne sprawdzenie ważności

2. Triaż Techniczny (< 24 godziny)
   - Potwierdź, że podatność istnieje
   - Określ dotknięte wersje
   - Oceń możliwość wykorzystania
   - Sprawdź dowody aktywnego wykorzystania

3. Ocena Powagi (< 24 godziny)
   - Punktacja CVSS (lub równoważna)
   - Ocena wpływu biznesowego
   - Prawdopodobieństwo wykorzystania

4. Decyzja o Zgłoszeniu (NATYCHMIAST jeśli wykorzystanie potwierdzone)
   - Czy to wymaga powiadomienia ENISA?
   - Jeśli tak, uruchom 24-godzinny zegar

3. Ścieżki Eskalacji

Zdefiniuj, kto może uruchomić zewnętrzne zgłoszenie:

Kluczowa zasada: Osoba, która odkryje potencjalne wykorzystanie, musi móc eskalować natychmiast, 24/7.

4. Pokrycie Poza Godzinami Pracy

24-godzinny zegar nie zatrzymuje się na weekendy ani święta.

Opcje:

• Rotacja dyżurów dla zespołu bezpieczeństwa
• Usługa monitoringu z uprawnieniem do eskalacji
• Jasny łańcuch kontaktów poza godzinami pracy
• Pre-autoryzowani zgłaszający, którzy mogą wysyłać wczesne ostrzeżenia

5. Szablony Raportów

Przygotuj szablony, zanim ich potrzebujesz:

Szablon Wczesnego Ostrzeżenia:

WCZESNE OSTRZEŻENIE CRA ENISA

Producent: [Nazwa Firmy]
Data Raportu: [Data/Czas UTC]
Typ Raportu: [ ] Aktywnie Wykorzystywana Podatność [ ] Poważny Incydent

DOTKNIĘTY PRODUKT/PRODUKTY:
- Nazwa Produktu:
- Wersja(e):
- Kategoria Produktu:

PODSUMOWANIE PODATNOŚCI/INCYDENTU:
[Krótki opis - 2-3 zdania]

STATUS WYKORZYSTANIA:
[ ] Wykorzystanie potwierdzone
[ ] Wykorzystanie podejrzewane
Dowody: [Krótki opis dowodów]

WSTĘPNA OCENA POWAGI:
[ ] Krytyczna [ ] Wysoka [ ] Średnia [ ] Niska
Podstawa: [Wynik CVSS lub inne uzasadnienie]

POTENCJALNY ZAKRES WPŁYWU:
- Szacowani dotknięci użytkownicy:
- Zakres geograficzny:
- Zagrożone dane:

OBECNY STATUS:
[ ] W trakcie dochodzenia
[ ] Mitigacja w toku
[ ] Patch w rozwoju

KONTAKT DO FOLLOW-UP:
Imię:
Email:
Telefon:

To jest wczesne ostrzeżenie. Szczegółowe powiadomienie nastąpi w ciągu 72 godzin.

6. Testuj Swój Proces

Przeprowadź ćwiczenia tabelaryczne przed wrześniem 2026:

Scenariusz 1: Piątek 17:00, badacz bezpieczeństwa zgłasza krytyczną podatność z PoC

• Jak szybko można ocenić ryzyko wykorzystania?
• Kto podejmuje decyzję o zgłoszeniu w weekend?

Scenariusz 2: Klient zgłasza podejrzaną aktywność sugerującą, że produkt był punktem wejścia

• Jak zebrać dowody, aby potwierdzić lub zaprzeczyć wykorzystaniu?
• Jaki jest próg dla „uzasadnionego przekonania"?

Scenariusz 3: Wywiad o zagrożeniach wskazuje, że produkt jest celem grupy APT

• Czy firma ma widoczność rzeczywistego wykorzystania?
• Jak koordynować z zewnętrznymi dostawcami threat intelligence?

Częste Pułapki

Czekanie na Pewność

Problem: Chęć uzyskania dowodu forensycznego przed zgłoszeniem.

Rzeczywistość: 24-godzinny zegar startuje, gdy producent ma uzasadnione przekonanie. Czekanie na pewność oznacza przegapiony termin.

Rozwiązanie: Zgłoś wcześniej. W szczegółowym powiadomieniu można zaktualizować informację: „nie uważa się już za wykorzystywany", jeśli dowody tego nie potwierdzą.

Mylenie CVD ze Zgłaszaniem

Problem: Traktowanie raportów badaczy jako powiadomień ENISA.

Rzeczywistość: Skoordynowane ujawnianie podatności i zgłaszanie ENISA to oddzielne procesy.

• CVD: Jak obsługiwać raporty badaczy i uzgadniać harmonogramy ujawniania
• ENISA: Obowiązkowe powiadomienie, gdy występuje wykorzystanie

Rozwiązanie: Proces CVD musi zawierać bramkę: „Czy są dowody wykorzystania?" Jeśli tak, uruchom zgłaszanie ENISA równolegle do CVD.

Pojedynczy Punkt Awarii

Problem: Tylko jedna osoba może autoryzować raporty, a jest nieosiągalna.

Rzeczywistość: Wykorzystanie może zostać odkryte w dowolnym momencie. Weekendy. Święta. Trzecia w nocy.

Rozwiązanie: Wielu autoryzowanych zgłaszających. Jasna delegacja. Łańcuch kontaktów awaryjnych.

Brak Relacji z CSIRTs

Problem: Pierwszy kontakt z krajowym CSIRT następuje podczas incydentu.

Rzeczywistość: Budowanie relacji z wyprzedzeniem upraszcza reagowanie na incydenty.

Rozwiązanie: Nawiąż kontakt z CERT Polska teraz. Zrozum ich procesy. Dołącz do ewentualnych programów outreach dla producentów.

Wyłączenia dla Mikroprzedsiębiorstw i Małych Przedsiębiorstw

Mikroprzedsiębiorstwa i małe przedsiębiorstwa mają pewne ulgi na podstawie Artykułu 64(10)(a):

Wyłączenie z kar za terminy powiadamiania: Zwolnienie dotyczy kar za przekroczenie 24-godzinnego terminu wczesnego ostrzeżenia z Artykułów 14(2)(a) i 14(4)(a). Termin 72-godzinnego szczegółowego powiadomienia z Artykułów 14(2)(b) i 14(4)(b) nie jest objęty. Jego przekroczenie może skutkować karami niezależnie od wielkości firmy.

Nadal wymagane:

• Zgłaszanie (tylko bez kary za opóźnienie 24-godzinne)
• Wszystkie inne obowiązki CRA
• Raporty końcowe

Definicja (Artykuł 64(10)(a)): Dotyczy mikroprzedsiębiorstw (mniej niż 10 pracowników, roczny obrót lub suma bilansowa nieprzekraczająca 2 mln EUR) i małych przedsiębiorstw (mniej niż 50 pracowników, roczny obrót lub suma bilansowa nieprzekraczająca 10 mln EUR). Średnie przedsiębiorstwa (do 250 pracowników) nie są objęte tym wyłączeniem.

Wyłączenie obejmuje wyłącznie karę za 24-godzinne wczesne ostrzeżenie. Wszyscy producenci, w tym mikroprzedsiębiorstwa, muszą zbudować zdolności zgłaszania.

Integracja z Istniejącymi Procesami

Jeśli Masz Już Reagowanie na Incydenty

Zmapuj zgłaszanie CRA do istniejącego procesu:

ISTNIEJĄCY PROCES IR          INTEGRACJA CRA
───────────────────────────────────────────────
Wykrycie
    │
Triaż ──────────────────→  Sprawdź: Wykorzystanie produktu CRA?
    │                             │
Powstrzymanie                     ├─ TAK: Uruchom zegar 24h
    │                             │       Wyślij wczesne ostrzeżenie
Dochodzenie                       │
    │                             │
Naprawa ──────────────────→  Szczegółowe powiadomienie 72h
    │
Odzyskiwanie
    │
Wnioski ──────────────────→  Raport końcowy 14d/1 miesiąc

Jeśli Masz Obowiązki NIS 2

Niektóre organizacje mają zarówno obowiązki NIS 2, jak i CRA:

• NIS 2: Incydenty na poziomie organizacji lub usługi
• CRA: Podatności i incydenty na poziomie produktu

Te mogą się nakładać. Jeden incydent może wymagać:

• Powiadomienia NIS 2 do właściwego organu
• Powiadomienia CRA do ENISA/CSIRT

ENISA wskazała, że SRP będzie obsługiwać kierowanie dla obu reżimów tam, gdzie ma to zastosowanie. Nie zostało to potwierdzone w ostatecznych wytycznych.

Lista Kontrolna Gotowości do Zgłaszania ENISA

LISTA KONTROLNA GOTOWOŚCI DO ZGŁASZANIA ENISA

PRZED WRZEŚNIEM 2026:

KANAŁY I KONTAKTY
[ ] security.txt opublikowany i aktualny
[ ] Formularz zgłaszania podatności dostępny
[ ] Email bezpieczeństwa monitorowany (zdefiniuj SLA: ____ godzin)
[ ] Kontakt krajowego CSIRT zidentyfikowany (CERT Polska dla firm w Polsce)
[ ] Rejestracja ENISA SRP (gdy dostępna)

PROCES WEWNĘTRZNY
[ ] Kryteria triażu udokumentowane
[ ] Lista kontrolna oceny wykorzystania stworzona
[ ] Ścieżka eskalacji zdefiniowana (nazwiska, kontakty)
[ ] Autoryzowani zgłaszający zidentyfikowani
[ ] Pokrycie poza godzinami ustanowione

DOKUMENTACJA
[ ] Szablon wczesnego ostrzeżenia przygotowany
[ ] Szablon szczegółowego powiadomienia przygotowany
[ ] Szablon raportu końcowego przygotowany
[ ] Materiały briefingowe wewnętrzne gotowe

TESTOWANIE
[ ] Ćwiczenie tabelaryczne ukończone
[ ] Eskalacja poza godzinami przetestowana
[ ] Przegląd szablonów ukończony

GDY WYKRYTO WYKORZYSTANIE:

NATYCHMIAST (w ciągu 4 godzin)
[ ] Wstępna ocena: Czy to jest aktywnie wykorzystywane?
[ ] Czas startu zegara udokumentowany: ____________
[ ] Eskalacja do autoryzowanego zgłaszającego

W CIĄGU 24 GODZIN
[ ] Wczesne ostrzeżenie wysłane do ENISA SRP
[ ] Potwierdzenie zgłoszenia otrzymane
[ ] Wewnętrzni interesariusze powiadomieni

W CIĄGU 72 GODZIN
[ ] Szczegółowe powiadomienie wysłane
[ ] Status mitigacji zaktualizowany
[ ] Komunikacja z klientem zainicjowana (jeśli stosowne)

W CIĄGU 14 DNI (podatność) / 1 MIESIĄC (incydent)
[ ] Raport końcowy wysłany
[ ] Wnioski udokumentowane
[ ] Ulepszenia procesu zidentyfikowane

Najczęściej zadawane pytania

Co kwalifikuje się jako „aktywne wykorzystanie" uruchamiające 24-godzinny termin?

Aktywne wykorzystanie oznacza, że złośliwy aktor użył podatności, by wpłynąć na użytkowników produktu. Samo ujawnienie podatności, opublikowany proof-of-concept ani demonstracja przez badacza nie spełniają tego kryterium. Nie potrzebujesz dowodu forensycznego. CRA stosuje standard „uzasadnionego przekonania": nietypowe wzorce dostępu zgodne ze znanymi technikami exploitów, raporty klientów o kompromitacji lub wywiad o zagrożeniach wskazujący na twój produkt wystarczą. Zegar startuje w chwili, gdy formujesz takie przekonanie.

Gdzie dokładnie należy złożyć raport o podatności do ENISA?

Przez Jednolitą Platformę Zgłaszania ENISA (SRP). Na dzień kwietnia 2026 SRP nie jest jeszcze operacyjna. ENISA wybrała dostawcę i platforma ma zostać uruchomiona do 11 września 2026. Żaden adres URL do rejestracji nie został opublikowany. Zgodnie z Artykułem 14(7) składasz jedno zgłoszenie do CSIRT państwa członkowskiego, w którym masz siedzibę główną. Dla producentów zarejestrowanych w Polsce właściwym organem jest CERT Polska (NASK). Nie zgłaszasz osobno do każdego CSIRT w każdym kraju sprzedaży.

Jaka jest różnica między raportami 24-godzinnym, 72-godzinnym i 14-dniowym?

Wczesne ostrzeżenie po 24 godzinach to minimalny alert: identyfikacja produktu, krótki opis i wstępna ocena powagi. Szczegółowe powiadomienie po 72 godzinach dodaje szczegóły techniczne, dotknięte wersje, metodę wykorzystania i harmonogram naprawy. Raport końcowy po 14 dniach (lub po miesiącu dla poważnych incydentów) to pełna analiza: przyczyny źródłowe, kompletny opis techniczny, podjęte działania naprawcze i potwierdzony wpływ. Każde kolejne zgłoszenie rozszerza poprzednie.

Czy obowiązek 24-godzinny dotyczy wszystkich produktów objętych CRA czy tylko ważnych i krytycznych?

Obowiązek zgłaszania z Artykułu 14 dotyczy wszystkich producentów produktów z elementami cyfrowymi objętych CRA. Obejmuje wszystkie klasy produktów, nie tylko Ważne Klasy I i II ani Krytyczne. Klasyfikacja produktu określa ścieżkę oceny zgodności, a nie obowiązki zgłaszania. Każdy produkt objęty CRA z aktywnie wykorzystywaną podatnością uruchamia 24-godzinny termin.

Co się dzieje, jeśli przekroczysz 24-godzinny termin zgłoszenia?

Przekroczenie terminu naraża cię na postępowanie egzekucyjne. Mikroprzedsiębiorstwa i małe przedsiębiorstwa (poniżej 50 pracowników, roczny obrót do 10 mln EUR) są zwolnione z kar za przekroczenie terminu 24-godzinnego wczesnego ostrzeżenia na podstawie Artykułu 64(10)(a), ale nadal muszą zgłaszać. Średnie i duże firmy nie mają takiej ochrony. Zwolnienie dla MŚP obejmuje wyłącznie termin 24-godzinny. Przekroczenie terminu 72-godzinnego szczegółowego powiadomienia może skutkować karami niezależnie od wielkości firmy.

Czy raport trafia bezpośrednio do ENISA czy do krajowego CSIRT?

Do obu, przez jedno zgłoszenie. Składasz raport przez Jednolitą Platformę Zgłaszania ENISA, która kieruje powiadomienie do właściwego krajowego CSIRT: CSIRT państwa, w którym masz siedzibę główną. Dla firm w Polsce jest to CERT Polska (NASK). Zgodnie z Artykułem 16 ENISA następnie przekazuje powiadomienie do CSIRTs innych państw członkowskich, gdzie sprzedajesz produkt. Ten kolejny krok leży po stronie ENISA, nie po twojej.

Następne kroki

Zarządzasz zgodnością z CRA dla wielu produktów? CRA Evidence śledzi terminy i udostępnia wstępnie wypełnione szablony raportów dla zgłoszeń podatności każdego produktu.

Gdy Twój proces triażu jest gotowy, skonfiguruj przyjmowanie podatności za pomocą naszego szablonu polityki CVD. Sprawdź przewodnik po sankcjach, aby zrozumieć konsekwencje przekroczenia terminów.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem zaznajomionym z przepisami UE dotyczącymi produktów.