Ocena ważności CRA: CVSS, EPSS i KEV

Opublikowano 8 maja 2026 Zaktualizowano 15 czerwca 2026

Unijny Cyber Resilience Act (rozporządzenie (UE) 2024/2847) zobowiązuje producentów do triage'u podatności, terminowej remediacji oraz zgłaszania aktywnego wykorzystania, gdy uzyskają o nim wiedzę. Obowiązek zgłaszania z Artykułu 14 obowiązuje od 11 września 2026 r.; obowiązki obsługi podatności, remediacji i ujawniania z Artykułu 13 oraz Załącznika I obowiązują od 11 grudnia 2027 r. Rozporządzenie nie wskazuje CVSS, EPSS, KEV ani żadnego innego systemu oceny. Niniejsza strona omawia, co mierzy każdy sygnał, jak łączyć je w możliwą do obrony priorytyzację oraz jak ocena wspiera zgłaszanie podatności i koordynowane ujawnianie podatności.

Podsumowanie

  • CRA nie nakłada obowiązku stosowania żadnego systemu oceny. Wymaga terminowej remediacji, lecz pozostawia operacyjny pomiar po stronie producentów.
  • CVSS mierzy nieodłączną ważność w skali od 0 do 10: cechy podatności niezależne od tego, czy zaobserwowano jej wykorzystanie w praktyce.
  • EPSS mierzy prawdopodobieństwo wykorzystania w skali od 0 do 1: prawdopodobieństwo zaobserwowania aktywności exploitacyjnej wobec CVE w ciągu najbliższych 30 dni, obliczane przez FIRST EPSS Special Interest Group.
  • CISA KEV to dwustanowy sygnał aktywnego wykorzystania, który może wspierać decyzje o zgłoszeniu, choć wyzwalacz CRA jest szerszy niż samo figurowanie w KEV.
  • CVSS, EPSS i KEV łącznie tworzą możliwą do obrony macierz priorytyzacji; żaden pojedynczy sygnał nie jest wystarczający samodzielnie.
  • Wyzwalacze zgłoszeń są faktyczne, nie wynikają z wyników oceny. Aktywne wykorzystanie i poważne incydenty są ustalane na podstawie definicji prawnych, a ocena służy jako dowód pomocniczy.
0-10
Zakres CVSS
nieodłączna ważność
0-1
Prawdopodobieństwo EPSS
prawdopodobieństwo wykorzystania w ciągu 30 dni
24h
Wczesne ostrzeżenie SRP
aktywnie wykorzystywana
Wrz 2026
Artykuł 14 obowiązuje
obowiązek zgłaszania staje się wiążący

Cztery sygnały wyznaczające ramy decyzji o ważności luk w ramach CRA: nieodłączna ważność, prawdopodobieństwo wykorzystania, zegar zgłaszania oraz data, od której obowiązek zgłaszania zaczyna obowiązywać.

Co CRA mówi na temat oceny ważności

Analizując rozporządzenie bezpośrednio, nie znajdziemy żadnej wzmianki o CVSS, EPSS ani jakimkolwiek innym nazwanym systemie oceny. Obowiązki operacyjne są prostsze: producent potrzebuje procesu obsługi podatności, który działa przez cały okres wsparcia, usuwa podatności bez zbędnej zwłoki i publikuje jasne informacje o ważności, gdy poprawka jest dostępna.

  • Remediacja. Usuwać i łagodzić podatności bez zbędnej zwłoki, również przez dostarczanie aktualizacji bezpieczeństwa.
  • Informacja publiczna. Gdy aktualizacja bezpieczeństwa jest dostępna, przekazać opis naprawionej podatności, wskazać produkty dotknięte problemem, prawdopodobny wpływ, ważność i jasne instrukcje remediacji.

Te sformułowania wyznaczają standard, a nie stałą liczbę dni. Interpretują je organy nadzoru rynku, a ostatecznie sądy krajowe.

Punktacja jest sposobem, w jaki producenci wykazują tę interpretację w audytach i dochodzeniach. Producent, który potrafi pokazać udokumentowaną politykę ważności, system śledzenia rejestrujący CVSS i EPSS przy przyjęciu, SLA powiązane z pasmami ważności oraz znaczniki czasu remediacji zgodne z tymi SLA, ma możliwą do obrony pozycję "bez zbędnej zwłoki". Producent, który nie potrafi tego pokazać, takiej pozycji nie ma.

W zakresie szerszego reżimu obsługi podatności zob. obsługa podatności. Harmonogramy zgłaszania w ramach reżimu powiadamiania o incydentach omówiono w artykule zgłaszanie podatności.

CVSS: nieodłączna ważność

Common Vulnerability Scoring System, utrzymywany przez FIRST CVSS Special Interest Group, ocenia podatność w skali od 0,0 do 10,0. Jest to dominująca miara nieodłącznej ważności w branży i wynik publikowany przez większość wpisów CVE.

CVSS v3.1 wyróżnia trzy typy wyników:

Typ wynikuCo mierzyZastosowanie w CRA
Wynik bazowyNieodłączne cechy podatności: wektor ataku, złożoność, wymagane uprawnienia, interakcja użytkownika, zakres oraz wpływ na poufność, integralność i dostępność.Używać jako punktu bazowego przy przyjęciu, ponieważ jest to wynik publikowany przez większość wpisów CVE.
Wynik tymczasowyZmienny w czasie kontekst publiczny: dojrzałość kodu exploita, poziom remediacji i pewność zgłoszenia.Używać, gdy jest dostępny, ale nie uzależniać procesu od niego, ponieważ publiczne wpisy CVE rzadko go wypełniają.
Wynik środowiskowyKontekst produktu: krytyczność zasobu, kompensujące mechanizmy kontrolne, osiągalne ścieżki kodu i rzeczywisty wpływ wdrożenia.Używać do udokumentowania, dlaczego producent podwyższył, obniżył albo odroczył priorytet remediacji.

CVSS v4.0 zostało opublikowane przez FIRST 1 listopada 2023 roku. Zachowuje grupy Base i Environmental, zastępuje grupę Temporal z wersji 3.1 węższą grupą Threat skupioną na dojrzałości exploita, a także dodaje grupę Supplemental (obejmującą bezpieczeństwo, automatyzowalność, odzyskiwanie i gęstość wartości), która rejestruje kontekst bez wpływu na końcowy wynik. Wdrożenie przebiega stopniowo: wiele kanałów CVE nadal publikuje wersję 3.1, a wsparcie narzędziowe dla wersji 4.0 jest nierównomierne. Tam, gdzie jest to możliwe, należy pobierać oba wyniki i nie traktować przejścia jako powodu do ponownego ustalenia priorytetów w zaległościach.

Sam CVSS jest niewystarczający. Badania empiryczne konsekwentnie wskazują, że większość podatności ocenionych jako "wysokie" lub "krytyczne" przez CVSS nigdy nie jest obserwowana jako wykorzystywana w praktyce. Kolejka oparta wyłącznie na CVSS pochłania zasoby inżynieryjne na ryzyko teoretyczne, podczas gdy rzeczywiste wykorzystanie pozostaje bez odpowiedzi.

EPSS: prawdopodobieństwo wykorzystania

Exploit Prediction Scoring System, również utrzymywany przez FIRST za pośrednictwem EPSS SIG, przewiduje prawdopodobieństwo, że aktywność exploitacyjna wobec CVE zostanie zaobserwowana w ciągu najbliższych 30 dni. EPSS publikuje prawdopodobieństwo między 0 a 1 oraz rangę percentylową względem wszystkich CVE.

EPSS jest obliczany przez model uczenia maszynowego, który przyjmuje atrybuty CVE (metryki CVSS, CWE, dotkniętego dostawcę i produkt, wiek) oraz sygnały publiczne (dostępność PoC, zaobserwowaną aktywność exploitacyjną od partnerów współpracujących, wzmianki w źródłach analizy zagrożeń). Wyniki są odświeżane codziennie. Nowe CVE bez publicznego PoC zazwyczaj uzyskują wynik poniżej 0,05; podatność z gotowym do użycia PoC może wzrosnąć znacząco, zależnie od pozostałych danych wejściowych modelu.

Sam EPSS również jest niewystarczający. Niski wynik EPSS dzisiaj nie stanowi gwarancji na jutro: gdy badacz opublikuje działający exploit, wynik zmienia się. EPSS musi być ponownie oceniany na bieżąco, a nie wyłącznie w chwili wykrycia podatności.

CISA KEV: potwierdzone wykorzystanie

Katalog Known Exploited Vulnerabilities, utrzymywany przez US Cybersecurity and Infrastructure Security Agency, to lista podatności, dla których istnieją wiarygodne dowody aktywnego wykorzystania. CVE albo figuruje w katalogu, albo nie. CISA dodaje CVE, gdy dysponuje wiarygodnymi dowodami potwierdzającymi, że podatność została wykorzystana wobec rzeczywistego celu.

KEV jest źródłem rządowym USA. Producenci z UE korzystają z niego powszechnie ze względu na szerokie wsparcie narzędziowe. Od 13 maja 2025 r. ENISA prowadzi również Europejską Bazę Danych Podatności (EUVD), która publikuje status wykorzystania i dedykowany widok aktywnie wykorzystywanych podatności; traktować ją jako dodatkowy unijny sygnał priorytyzacji obok KEV. Oba katalogi są odrębne od Pojedynczej Platformy Sprawozdawczej CRA (Artykuł 16) i żaden z nich sam w sobie nie jest wyzwalaczem zgłoszenia z Artykułu 14.

Dla wyzwalacza wczesnego ostrzeżenia figurowanie w KEV jest silnym sygnałem, że podatność może być "aktywnie wykorzystywana" w rozumieniu rozporządzenia. Nie jest to jednak jedyny sygnał: wyzwalacz jest szerszy i obejmuje każdą aktywnie wykorzystywaną podatność, w tym wykrytą na podstawie zgłoszeń klientów, wewnętrznej telemetrii lub analizy zagrożeń, która jeszcze nie dotarła do CISA. Podatność wykorzystywana wobec klientów producenta, ale jeszcze niefigurująca w KEV, nadal może uruchomić obowiązek. Ustalenie ma charakter faktyczny, a nie listowy, i wymaga wiarygodnych dowodów, że złośliwy podmiot wykorzystał podatność bez upoważnienia.

Łączenie CVSS, EPSS i KEV w macierz priorytyzacji CRA

Żaden pojedynczy sygnał nie jest wystarczający. Podejście możliwe do obrony polega na łączeniu wszystkich trzech sygnałów i powiązaniu SLA remediacyjnych z łącznym pasmem. Poniższy diagram ilustruje, dlaczego: CVSS 9,8 bez zaobserwowanego wykorzystania wiąże się z niższym rzeczywistym ryzykiem niż CVSS 7 z EPSS 0,95 i figurowaniem w KEV, mimo że pierwszy z nich wygląda gorzej w kolejce opartej wyłącznie na CVSS.

Płaszczyzna priorytyzacji CVSS i EPSS z nakładką KEV Dwuwymiarowa płaszczyzna z CVSS na osi poziomej (0 do 10) i EPSS na osi pionowej (0 do 1). Sześć stref priorytetów koloruje wykres: Krytyczne w prawym górnym rogu przy CVSS równym lub wyższym niż 9 i EPSS powyżej 0,5; Wysoki w trzech większych strefach (wysoki EPSS ze średnim CVSS, wysoki CVSS ze średnim EPSS oraz górny prawy pas CVSS i EPSS); Średni dla CVSS od 4 do 6,9 przy niskim EPSS; Niski dla CVSS poniżej 4. CVE figurujące w KEV są eskalowane do Krytycznego niezależnie od pozycji. Cztery przykładowe CVE ilustrują, że CVSS 9,8 z EPSS 0,01 znajduje się w paśmie Wysokim wyłącznie ze względu na nieodłączną ważność, natomiast CVSS 7,5 z EPSS 0,95 i KEV znajduje się w paśmie Krytycznym, mimo że jego CVSS jest niższy. Dlaczego jeden sygnał nie wystarczy: płaszczyzna CVSS × EPSS z nakładką KEV Krytyczne Wysoki Wysoki Wysoki Średni Niski 0 4 7 9 10 Wynik bazowy CVSS (nieodłączna ważność) 0.0 0.5 1.0 EPSS (prawdopodobieństwo wykorzystania w 30 dni) A B C D Przykładowe CVE naniesione na wykres A. CVSS 9,8 / EPSS 0,01. Pasmo Wysokie ze względu na nieodłączną ważność, brak zaobserwowanego wykorzystania. B. CVSS 7,5 / EPSS 0,95 / figuruje w KEV (★). Krytyczne: KEV zawsze eskaluje niezależnie od CVSS lub EPSS. C. CVSS 5,5 / EPSS 0,7. Wysokie ze względu na sam EPSS, średnia nieodłączna ważność. D. CVSS 4,0 / EPSS 0,05. Średnie.
Priorytyzacja dwusygnałowa: CVSS ujmuje nieodłączną ważność, EPSS ujmuje zaobserwowane prawdopodobieństwo wykorzystania, KEV jest dwustanową nakładką aktywnego wykorzystania. CVE-A (wysokie CVSS, bliskie zeru EPSS) i CVE-B (średnie CVSS, figurujące w KEV) mają odwrócony priorytet w porównaniu z kolejką opartą wyłącznie na CVSS.
Pasmo Kombinacja sygnałów SLA remediacyjne Implikacja dla CRA
Krytyczne Figuruje w KEV LUB potwierdzone aktywne wykorzystanie LUB (CVSS Critical 9,0+ I EPSS > 0,5) Dni, nie tygodnie Pilny przegląd zgłoszeniowy, jeżeli wykorzystanie może dotyczyć produktu producenta
Wysokie CVSS High (7,0-8,9) LUB EPSS > 0,5 30 dni Pozycja "bez zbędnej zwłoki" jest zagrożona powyżej 30 dni
Średnie CVSS Medium (4,0-6,9), EPSS < 0,5, nie figuruje w KEV 90 dni Możliwa do obrony przy dokumentacji i znacznikach czasu
Niskie CVSS Low (< 4,0) Następny regularny cykl wydań Odroczyć i odnotować decyzję w rejestrze obsługi podatności

Macierz stanowi politykę producenta, a nie wymóg CRA. Jej zapisanie daje organowi nadzoru rynku udokumentowaną, powtarzalną podstawę dla decyzji remediacyjnych, które mogą być przedmiotem kontroli po tym, jak poważna podatność stanie się publiczna. Udokumentowana polityka klasyfikująca każde CVE przy przyjęciu, rejestrująca przypisane pasmo i wykazująca realizację w ramach odpowiedniego SLA z zachowanymi znacznikami czasu jest zdecydowanie łatwiejsza do obrony niż stwierdzenie "łataliśmy, kiedy mieliśmy czas".

Nasza ocena: kolejka oparta wyłącznie na CVSS staje się sygnałem ostrzegawczym w audytach

Powyższe sekcje dotyczą mechaniki operacyjnej. Poniższa ramka to nasza interpretacja jako praktyków, nie porada prawna.

Nasza ocena: triage uwzględniający exploitację staje się standardem bazowym, nie opcją zaawansowaną

Obecne rozporządzenie nie wskazuje żadnego systemu oceny i nie spodziewamy się, że to się zmieni. Kierunek jest jednak wyraźny. Teraz gdy EUVD ENISA publikuje widok aktywnie wykorzystywanych podatności obok CISA KEV, dowodom uwzględniającym exploitację coraz trudniej jest organom ignorować: "priorytetyzowaliśmy według CVSS i przeoczyliśmy tę, która była wykorzystywana" to z kwartału na kwartał słabsza odpowiedź. Spodziewamy się, że organy nadzoru rynku i CSIRT-y będą odczytywać proces uwzględniający EPSS i KEV jako dolną granicę kompetentnego reżimu obsługi podatności, nie jako opcję zaawansowaną. Warto budować proces z myślą o kierunku, w którym zmierza egzekwowanie: ocena powinna obejmować prawdopodobieństwo wykorzystania, a nie tylko ważność.

Mapowanie ważności na wyzwalacze zgłoszeń

Zgłoszenie nie wynika z wyniku oceny. Reżim powiadamiania o incydentach dzieli się na dwa strumienie z tymi samymi zegarami 24-godzinnymi i 72-godzinnymi, lecz z różnymi terminami raportu końcowego:

  • Aktywnie wykorzystywana podatność. Wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o podatności w ciągu 72 godzin, raport końcowy w ciągu 14 dni od udostępnienia środka korygującego lub łagodzącego.
  • Poważny incydent. Wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o incydencie w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca od powiadomienia 72-godzinnego.

Żaden z wyzwalaczy nie jest progiem CVSS. "Aktywne wykorzystanie" to ustalenie faktyczne: istnieją wiarygodne dowody, że złośliwy podmiot wykorzystał podatność bez upoważnienia. Poważny incydent to taki, który może wpływać na zdolność produktu do ochrony dostępności, autentyczności, integralności lub poufności danych lub funkcji wrażliwych albo istotnych, albo może prowadzić do wprowadzenia lub uruchomienia złośliwego kodu w produkcie albo w sieciach i systemach informatycznych użytkownika.

CVSS i EPSS wspierają to ustalenie. Krytyczna podatność według CVSS z EPSS > 0,9 i figurowaniem w KEV powinna uruchamiać pilny przegląd pod kątem zgłoszenia, gdy pojawią się dowody, że wykorzystanie dotyczy produktu producenta. Nie zastępują jednak samego ustalenia. Zegar 24-godzinny liczy od momentu, gdy producent uzyska świadomość aktywnego wykorzystania, a nie od momentu, gdy wynik CVSS przekroczy jakikolwiek próg liczbowy.

Pełną kadencję zgłoszeń opisuje strona zgłaszanie podatności. Kanał przyjęcia zgłoszeń, który często daje pierwszy sygnał wykorzystania, opisuje strona koordynowane ujawnianie podatności.

Operacjonalizacja oceny w procesie obsługi podatności

Sprawny proces oceny ważności zgodny z CRA obejmuje sześć konkretnych elementów:

  1. Pobieranie CVSS w momencie skanowania. Potok SBOM-do-CVE powinien przypisywać wyniki bazowe CVSS do każdego znaleziska przy pierwszym wykryciu. Zob. SBOM w zakresie mechaniki mapowania.
  2. Codzienne odświeżanie EPSS. Zadanie nocne ponownie oceniające otwarte podatności to minimum.
  3. Monitorowanie CISA KEV. Subskrypcja kanału KEV z automatyczną eskalacją każdej otwartej podatności, która trafia do katalogu.
  4. Definiowanie SLA dla każdego pasma w systemie śledzenia. Pasma i terminy muszą być możliwe do odczytu maszynowego, aby zaległe pozycje wyświetlały się bez ręcznego triażu.
  5. Eskalacja przy przekroczeniu progu. Gdy EPSS przekracza 0,5 dla otwartego znaleziska, przypisać je do nowego pasma (Wysokie lub Krytyczne, jeżeli CVSS wynosi również 9,0+). Gdy KEV dodaje jedno z CVE producenta lub klient zgłasza aktywne wykorzystanie, pozycja automatycznie przesuwa się do pasma Krytycznego.
  6. Automatyzacja mapowania komponentów SBOM do CVE. Ręczne mapowanie nie sprawdza się na dużą skalę i jest najczęstszym źródłem pominiętych podatności w wynikach audytów.

Rejestracja w Pojedynczej Platformie Sprawozdawczej ENISA to odrębny, lecz powiązany obszar działań. Zob. rejestracja w ENISA SRP.

Częste błędy

  • Skupianie się na CVSS-9 przy ignorowaniu EPSS-0,95. Podatność z CVSS 7 i EPSS 0,95 oraz publicznym PoC wiąże się z wyższym rzeczywistym ryzykiem niż CVSS 9,8 z EPSS 0,01.
  • Założenie, że KEV jest kompletny. KEV to najlepszy publiczny katalog, ale ma opóźnienia. Aktywne wykorzystanie wobec klientów producenta może poprzedzać figurowanie w KEV o dni lub tygodnie.
  • Traktowanie CVSS jako terminu. Krytyczny wynik CVSS nie oznacza "łataj w ciągu 24 godzin". Oznacza "przeanalizuj to w pierwszej kolejności". Termin wynika z SLA wynikającego z polityki, EPSS, statusu KEV oraz ostatecznie z oczekiwanego standardu remediacji bez zbędnej zwłoki.
  • Nieodświeżanie wyników EPSS. Podatność z EPSS 0,02 przy wykryciu, której wynik nigdy nie został ponownie oceniony, pozostaje w kolejce niskiego priorytetu, podczas gdy realne wykorzystanie rośnie poza zasięgiem producenta.
  • Ignorowanie modyfikatorów środowiskowych CVSS. Wynik bazowy CVSS równy 9,8 dla komponentu, który produkt nigdy nie inicjuje, nie wynosi 9,8 w środowisku producenta. Udokumentować wynik środowiskowy i jego uzasadnienie.
  • Stosowanie CVSS lub EPSS jako wyzwalacza zgłoszenia. Obowiązek zgłoszeniowy jest wyzwalany przez faktyczne aktywne wykorzystanie. Wynik to dowód pomocniczy, a nie samo ustalenie.

Często zadawane pytania

Czy CRA wymaga stosowania CVSS?

Nie. CRA nie wskazuje CVSS ani żadnego innego systemu oceny. Obowiązek ujawniania wymaga komunikowania "ważności" przy ujawnianiu naprawionej podatności, jednak nie określa skali. CVSS jest branżowym standardem domyślnym i najłatwiejszą skalą do obrony w audycie. Niestandardowa lub alternatywna skala prowadząca do równoważnych rezultatów operacyjnych jest dopuszczalna pod warunkiem, że jest udokumentowana i stosowana spójnie.

Czy EPSS jest obowiązkowy na podstawie CRA?

Nie. EPSS nie jest wymieniony w rozporządzeniu. Pomaga jednak wykazać spełnienie standardu "bez zbędnej zwłoki", ponieważ dowodzi, że priorytyzacja uwzględniała rzeczywiste prawdopodobieństwo wykorzystania w praktyce, a nie wyłącznie nieodłączną ważność. Producent ignorujący prawdopodobieństwo wykorzystania i stosujący łatki wyłącznie według rankingu CVSS będzie miał trudności z uzasadnieniem powolnej remediacji znaleziska o wysokim EPSS po fakcie.

Jak ocena ważności wpływa na 24-godzinny zegar?

Nie zmienia momentu uruchomienia zegara. Zegar startuje w chwili, gdy producent uzyska świadomość aktywnego wykorzystania, niezależnie od wyniku CVSS. Ocena ważności pomaga w triażu sygnałów wchodzących i decydowaniu, które z nich osiągają próg świadomości, jednak gdy tylko wykorzystanie zostanie wiarygodnie ustalone, zegar biegnie nawet wówczas, gdy wynik CVSS nie został jeszcze sfinalizowany.

Czy możemy stosować własny system oceny?

Tak, pod warunkiem że można go obronić w audycie. Schemat łączący wewnętrzny kontekst modelu zagrożeń z sygnałami zewnętrznymi jest akceptowalny, jeżeli jest udokumentowany, stosowany spójnie i prowadzi do wyników remediacyjnych zgodnych ze standardem "bez zbędnej zwłoki". Branżowy standard łączący CVSS, EPSS i KEV jest ścieżką najmniejszego oporu, ponieważ jest powszechnie uznawany.

Czy CRA karze za błędny wynik ważności?

Nie bezpośrednio. Ryzyko sankcji wiąże się z nieskuteczną obsługą podatności lub brakiem zgłoszenia aktywnego wykorzystania. Pojedynczy błędny wynik nie jest automatycznie naruszeniem, jednak nieobecny lub niespójny proces oceny może stać się dowodem, że obsługa podatności była nieskuteczna.

Czy stosować CVSS v3.1 czy v4.0?

Obie wersje, tam gdzie są dostępne. CVSS v4.0 zostało opublikowane przez FIRST 1 listopada 2023 roku. Zachowuje grupy Base i Environmental, zastępuje grupę Temporal węższą grupą Threat skupioną na dojrzałości exploita i dodaje grupę Supplemental (obejmującą bezpieczeństwo, automatyzowalność, odzyskiwanie i gęstość wartości), która rejestruje kontekst bez wpływu na końcowy wynik. Wdrożenie przebiega stopniowo: wiele publicznych kanałów CVE nadal publikuje wersję 3.1. Tam, gdzie źródło dostarcza oba sygnały, należy je pobierać, nie traktując przejścia z wersji 3.1 na 4.0 jako powodu do ponownego ustalenia priorytetów w zaległościach.

Od kiedy obowiązują te obowiązki zgłaszania?

Artykuł 14, obejmujący obowiązki zgłaszania opisane na tej stronie, obowiązuje od 11 września 2026 r. Obowiązki obsługi podatności, remediacji i ujawniania z Artykułu 13 i Załącznika I obowiązują od 11 grudnia 2027 r. i na tę późniejszą datę przypada wejście w życie zasadniczej części rozporządzenia. Wdrożenie procesu oceny i gotowości zgłaszania powinno nastąpić odpowiednio wcześniej, przed wrześniem 2026 r.

Co oznacza "uzyskanie wiedzy" dla 24-godzinnego zegara?

24-godzinny zegar wczesnego ostrzeżenia startuje w chwili, gdy producent uzyska świadomość aktywnie wykorzystywanej podatności. Oznacza to wiarygodną wiedzę, że złośliwy podmiot wykorzystał lukę wobec rzeczywistego celu, nie samo prywatne zgłoszenie podatności ani działający dowód koncepcji (proof-of-concept). Wynik CVSS ani EPSS nie uruchamia zegara; uruchamia go faktyczne ustalenie aktywnego wykorzystania.

Jak korzystać z EUVD ENISA obok CISA KEV?

Od 13 maja 2025 r. ENISA prowadzi Europejską Bazę Danych Podatności (EUVD), która publikuje status wykorzystania i dedykowany widok aktywnie wykorzystywanych podatności. Traktować ją jako sygnał priorytyzacji obok CISA KEV. Żaden z katalogów nie jest wyzwalaczem zgłoszenia z Artykułu 14, a oba są odrębne od Pojedynczej Platformy Sprawozdawczej CRA z Artykułu 16.

Czy VEX zmienia ważność CRA lub obowiązek zgłaszania?

Nie. Dokument VEX (Vulnerability Exploitability eXchange) nie zmienia wyzwalacza zgłoszenia ani nieodłącznej ważności podatności. Jest to czytelny maszynowo sposób rejestrowania, czy produkt jest faktycznie dotknięty daną podatnością (dotknięty, niedotknięty, w trakcie analizy lub naprawiony) obok SBOM. Stanowi silny dowód pomocniczy dla obniżenia wyniku środowiskowego lub udokumentowanego odroczenia.

Czy stosować SSVC zamiast macierzy CVSS?

Można. SSVC (Stakeholder-Specific Vulnerability Categorization), opublikowany przez CISA we współpracy z Carnegie Mellon SEI, to alternatywa w postaci drzewa decyzyjnego, prowadząca do decyzji remediacyjnej (Track, Track*, Attend, Act) na podstawie takich danych jak status exploitacji, ekspozycja i wpływ na misję. CRA go nie wymaga. Jest to uznana i możliwa do obrony metodologia, jeżeli preferuje się drzewo decyzyjne zamiast macierzy CVSS-plus-EPSS-plus-KEV opisanej na tej stronie.

Kolejne kroki w kierunku procesu oceny ważności możliwego do obrony przed CRA

  1. Udokumentować politykę ważności: pasma, sygnały (CVSS, EPSS, KEV), SLA dla każdego pasma, reguły eskalacji.
  2. Podłączyć pobieranie CVSS do potoku SBOM-do-CVE w momencie skanowania. Zob. przewodnik po klastrze SBOM.
  3. Zaplanować codzienne zadanie odświeżające EPSS oraz subskrypcję CISA KEV z automatyczną eskalacją, gdy śledzone CVE trafia do katalogu.
  4. Przypisać każdą otwartą podatność do pasma i wyznaczyć właścicieli dla pozycji przekraczających SLA.
  5. Zdefiniować przeglądy zgłoszeniowe na podstawie tych samych sygnałów. Zob. przewodnik po zgłaszaniu podatności.
  6. Prowadzić bieżący rejestr każdej decyzji o ważności i odpowiadającego jej znacznika czasu remediacji, aby wymóg "bez zbędnej zwłoki" był udokumentowany, a nie tylko deklarowany.