ENISA Single Reporting Platform (SRP): przewodnik po rejestracji CRA

Opublikowano 8 maja 2026 Zaktualizowano 15 czerwca 2026

Unijny Cyber Resilience Act (Rozporządzenie (UE) 2024/2847) kieruje wszystkie zgłaszane przez producentów podatności i poważne incydenty przez jeden kanał: Single Reporting Platform ENISA (SRP). Platforma nie jest jeszcze uruchomiona. Staje się operacyjna 11 września 2026 r., gdy obowiązki zgłoszeniowe zaczynają mieć zastosowanie. ENISA zapowiedziała, że instrukcje dostępu i rejestracji oraz materiały szkoleniowe i wsparcie dry-run udostępni w czerwcu 2026 r., więc mechanizm rejestracji jest wciąż w trakcie publikacji. Ta strona omawia, co producenci powinni przygotować już teraz, przewidywany przebieg rejestracji oraz jak skonstruować wewnętrzną ścieżkę eskalacji dopasowaną do 24-godzinnego zegara. Harmonogramy zgłaszania omówiono w zgłaszanie podatności.

Podsumowanie

  • Single Reporting Platform jest jedynym kanałem zgłoszeniowym. Producenci powiadamiają ENISA i koordynujący CSIRT przez platformę. Wiadomość e-mail do krajowego CSIRT nie jest równoważna.
  • Przygotuj się przed pierwszym zdarzeniem podlegającym zgłoszeniu. 24-godzinny zegar nie zatrzymuje się ze względu na problemy z rejestracją lub routingiem. Miej dane podmiotu prawnego, produktów, kontaktów i eskalacji gotowe zanim platforma wystartuje.
  • Producenci są podmiotami zobowiązanymi. Importerzy i dystrybutorzy informują producenta. Nie składają zgłoszeń samodzielnie. Mandat upoważnionego przedstawiciela może objąć zgłaszanie w imieniu producenta spoza UE.
  • Rozdziel cele kontaktów. Pojedynczy punkt kontaktowy z myślą o użytkownikach jest kanałem skierowanym do użytkowników. Kontakt w Single Reporting Platform dla organów powinien być zarządzany osobno, aby ENISA i koordynujący CSIRT trafiały do zespołu zgłoszeniowego.
  • Routing CSIRT wynika z głównej siedziby. Powiadomienia trafiają do CSIRT wyznaczonego jako koordynator w państwie członkowskim głównej siedziby, z łańcuchem rezerwowym dla producentów spoza UE opisanym szczegółowo w routing CSIRT poniżej.
11 wrz 2026
Zgłaszanie rusza
Ustalone w harmonogramie CRA
24h
Wczesne ostrzeżenie SRP
Od uzyskania świadomości do złożenia
Przed pierwszym zdarzeniem
Gotowość rejestracyjna
Nie czekaj na przypadek zgłoszeniowy
Przewodnik
Model sankcji
Omówiony osobno

Rejestracja to zadanie z zakresu gotowości, a nie pozycja do uruchomienia po pierwszym zdarzeniu, które włącza 24-godzinny zegar.

Co CRA mówi o Single Reporting Platform

ENISA ustanawia i obsługuje Single Reporting Platform (SRP). Państwa członkowskie i ENISA mogą wdrażać własne elektroniczne punkty końcowe powiadomień w ramach tej architektury. Z tego przepisu wynikają trzy fakty operacyjne:

  • ENISA obsługuje Single Reporting Platform. Państwa członkowskie i ENISA mogą nadal wdrażać własne elektroniczne punkty końcowe powiadomień.
  • Jedno zgłoszenie trafia do obu warstw. Producent składa zgłoszenie przez punkt końcowy koordynującego CSIRT, a powiadomienie jest jednocześnie dostępne dla ENISA.
  • Routing transgraniczny odbywa się wewnątrz platformy. Przyjmujący CSIRT rozpowszechnia powiadomienie do innych CSIRT, których terytorium producent wskazał jako dotknięte.

Single Reporting Platform przyjmuje także zgłoszenia dobrowolne i jest kanałem dla powiadomienia 72-godzinnego oraz raportu końcowego. Oba strumienie korzystają z tej samej architektury platformy, choć ENISA musi jeszcze sfinalizować ekrany operacyjne. ENISA informuje, że funkcja dobrowolnych zgłoszeń zostanie uruchomiona po 11 września 2026 r., czyli po starcie zgłaszania obowiązkowego, a nie wcześniej.

Kto musi się zarejestrować

Obowiązkowe zgłaszanie przez Single Reporting Platform leży po stronie producentów. Obowiązek dotyczy producentów produktów z elementami cyfrowymi, a nie reszty łańcucha dostaw.

Importerzy i dystrybutorzy informują producenta. Nie rejestrują się na platformie, nie składają zgłoszeń samodzielnie i nie przejmują 24-godzinnego zegara. Ich obowiązkiem jest bez zbędnej zwłoki poinformować producenta, gdy uzyskają wiedzę o podatności. Zobacz importer i dystrybutor.

Producenci spoza UE potrzebują jasnego routingu. Pisemny mandat upoważnionego przedstawiciela może obejmować obowiązkowe zgłaszanie, ponieważ wyłączenia mandatu AR nie obejmują samego zgłaszania. Bez głównej siedziby w Unii routing podąża łańcuchem rezerwowym: upoważniony przedstawiciel, importer, dystrybutor, a potem koncentracja użytkowników.

Warunki wstępne rejestracji

Sześć elementów, które organizacja powinna mieć gotowe przed rejestracją. Dokładne ekrany Single Reporting Platform nadal zależą od specyfikacji, ale brak tych elementów spowolni pierwsze zgłoszenie.

Wymaganie Co jest potrzebne
Podmiot prawny w państwie członkowskim głównej siedziby Jednoznaczny rekord podmiotu prawnego, który pozwoli platformie przypisać koordynujący CSIRT (państwo, "w którym podejmowane są w przeważającej mierze decyzje związane z cyberbezpieczeństwem jego produktów z elementami cyfrowymi").
Pojedynczy punkt kontaktowy dla użytkowników Kanał skierowany do użytkowników, który "nie ogranicza takich środków do narzędzi automatycznych". Skrzynki obsługiwane wyłącznie autoresponderem nie spełniają wymogu. Publikowany w informacjach dla użytkownika towarzyszących produktowi.
Kontakt bezpieczeństwa dla organów Kontakt dla ENISA i koordynującego CSIRT, operacyjnie odrębny od kanału skierowanego do użytkowników. Dokładne pola rejestracyjne pozostają zależne od specyfikacji ENISA.
Dowód tożsamości i umocowania Dowód, że osoba składająca zgłoszenie może działać w imieniu producenta. Dokładne mechanizmy uwierzytelniania pozostają zależne od specyfikacji i wytycznych ENISA.
Wykaz portfela produktów Aktualna lista produktów oraz państw członkowskich, w których każdy z nich został udostępniony. Bez tego wczesne ostrzeżenie nie wskaże prawidłowo dotkniętych terytoriów.
Udokumentowana wewnętrzna ścieżka eskalacji Pisemna procedura, która prowadzi organizację od wykrycia do złożenia zgłoszenia w ciągu 24 godzin, z obsługą poza godzinami pracy. Sformułowanie "bez zbędnej zwłoki i w każdym przypadku w ciągu 24 godzin" nie pozostawia miejsca na doraźną eskalację.

Harmonogram: od dziś do pierwszego zdarzenia podlegającego zgłoszeniu

Harmonogram SRP: budowa po stronie ENISA i przygotowanie producenta po obu stronach przełączenia 11 września 2026 r. Diagram dwa na dwa. Wiersze rozdzielają odpowiedzialność ENISA od odpowiedzialności producenta. Kolumny rozdzielają harmonogram w punkcie 11 września 2026 r.: przygotowanie przed przełączeniem po lewej, działanie na żywo po przełączeniu po prawej. ENISA przed przełączeniem buduje platformę; ENISA po przełączeniu prowadzi SRP, która przyjmuje każde zdarzenie podlegające zgłoszeniu. Producent przed przełączeniem przygotowuje dane podmiotu prawnego, routing kontaktów, portfel produktów, SLA eskalacji 24h oraz mandat AR tam, gdzie ma zastosowanie; po przełączeniu producent jest zarejestrowany i uruchamia 24-godzinny zegar wczesnego ostrzeżenia przy pierwszym zdarzeniu. Przełączenie SRP: budowa ENISA i przygotowanie producenta po obu stronach 11 wrz 2026 11 wrz 2026 PRZED PRZEŁĄCZENIEM (dziś do 11 wrz 2026) PO PRZEŁĄCZENIU (zgłaszanie stosuje się) ENISA Producent Budowa SRP Specyfikacje w opracowaniu Akty wykonawcze oczekujące SRP operacyjne Przyjmuje każde zdarzenie zgłoszeniowe Routing transgraniczny CSIRT Przygotuj Podmiot prawny, routing kontaktów, portfel produktów, SLA 24h, mandat AR Zarejestrowany, gotowy w 24h Pierwsze zdarzenie uruchamia zegar: świadomość do 24h wczesnego ostrzeżenia
Data 11 września 2026 r. jest ustalona przez harmonogram CRA. Przed przełączeniem trwa przygotowanie. Po przełączeniu obowiązuje regulowane zgłaszanie z 24-godzinnym zegarem. ENISA zapowiedziała, że instrukcje dostępu i rejestracji ukażą się w czerwcu 2026 r. Zaktualizujemy tę stronę, gdy zostaną opublikowane.
Single Reporting Platform nie jest jeszcze operacyjna

ENISA buduje platformę we współpracy z siecią CSIRT. Dokładne ekrany rejestracji, mechanizm uwierzytelniania oraz elektroniczne punkty końcowe powiadomień pozostają zależne od specyfikacji ENISA i aktów wykonawczych Komisji. Poniższe ramy odzwierciedlają tekst rozporządzenia i to, co jest publicznie znane na dzień 2026-06-10. Instrukcje dostępu i rejestracji są przez ENISA zapowiadane na czerwiec 2026 r., ale jeszcze nie zostały opublikowane. Przed potraktowaniem jakiegokolwiek konkretnego kroku interfejsu jako ostatecznego sprawdź oficjalną stronę SRP ENISA. Data przełączenia 11 września 2026 r. jest ustalona w harmonogramie CRA.

Przewidywany przebieg rejestracji

Dokładne ekrany Single Reporting Platform nadal zależą od specyfikacji. ENISA nie opublikowała jeszcze rzeczywistego przebiegu, więc ta sekcja jest listą przygotowawczą, a nie ostatecznym przewodnikiem po interfejsie.

Spodziewaj się, że rejestracja obejmie cztery elementy:

  • Podmiot prawny: kim jest producent i gdzie znajduje się jego główna siedziba.
  • Kontakt dla organów: kontakt w platformie dla wiadomości od ENISA i koordynującego CSIRT, oddzielny od kanału skierowanego do użytkowników.
  • Zakres produktów: portfel produktów i państwa członkowskie, w których udostępniono dotknięte produkty.
  • Routing koordynatora: przypisanie CSIRT zgodnie z zasadami głównej siedziby i łańcucha rezerwowego.

Po rejestracji ten sam punkt końcowy obsługuje późniejsze zgłoszenia: 24-godzinne wczesne ostrzeżenie, powiadomienie w ciągu 72 godzin, raporty pośrednie żądane przez CSIRT oraz raport końcowy.

ENISA informuje, że na tym etapie nie przewiduje API dla Single Reporting Platform. Gotowość do zgłaszania opiera się na składaniu zgłoszeń bezpośrednio przez platformę, a nie na automatyzacji API we własnych narzędziach.

Co musi zawierać każde zgłoszenie w Single Reporting Platform

Artykuł 14 przewiduje trzy etapy powiadomień dla każdego zdarzenia podlegającego zgłoszeniu. Wymagania dotyczące treści różnią się między strumieniem aktywnie wykorzystywanych podatności a strumieniem poważnych incydentów.

Aktywnie wykorzystywana podatność:

Etap Termin Minimalna wymagana treść
Wczesne ostrzeżenie 24 h od uzyskania świadomości Wskazanie, że podatność jest aktywnie wykorzystywana; państwa członkowskie, w których produkt jest udostępniany, o ile są znane
Powiadomienie o podatności 72 h od uzyskania świadomości Ogólne informacje o produkcie; ogólny charakter exploitu i podatności; podjęte środki naprawcze lub łagodzące; środki możliwe do podjęcia przez użytkowników; wskazanie wrażliwości
Raport końcowy 14 dni od udostępnienia środka naprawczego lub łagodzącego Opis podatności wraz z wagą i skutkami; informacje o podmiotach ją wykorzystujących, o ile są dostępne; szczegóły aktualizacji zabezpieczeń lub środka naprawczego

Poważny incydent mający wpływ na bezpieczeństwo produktu:

Etap Termin Minimalna wymagana treść
Wczesne ostrzeżenie 24 h od uzyskania świadomości Wskazanie, czy istnieje podejrzenie, że incydent jest spowodowany działaniami niezgodnymi z prawem lub złośliwymi; państwa członkowskie, w których produkt jest udostępniany, o ile są znane
Powiadomienie o incydencie 72 h od uzyskania świadomości Charakter incydentu; wstępna ocena; podjęte środki naprawcze lub łagodzące; środki możliwe do podjęcia przez użytkowników; wskazanie wrażliwości
Raport końcowy 1 miesiąc po powiadomieniu 72-godzinnym Szczegółowy opis incydentu wraz z wagą i skutkami; rodzaj zagrożenia lub prawdopodobna przyczyna; zastosowane i trwające środki łagodzące

CSIRT wyznaczony jako koordynator może również zażądać raportu pośredniego między powiadomieniem 72-godzinnym a raportem końcowym. Żaden ze strumieni nie wymaga identyfikatorów CVE ani wyników CVSS na etapie wczesnego ostrzeżenia. Obowiązek 24-godzinny to powiadomienie, a nie zakończenie analizy. Pełne szczegóły techniczne trafiają do powiadomienia i raportu końcowego.

Wewnętrzna eskalacja: obsługa 24-godzinnego zegara

Zegar 24-godzinny startuje w chwili uzyskania świadomości, a nie w chwili potwierdzenia. Trudna część to dojście od "właśnie się dowiedzieliśmy" do "właśnie złożyliśmy" w ciągu 24 godzin, z obsługą poza godzinami pracy włącznie. Proces triażu, który "zazwyczaj trwa 48 godzin", jest strukturalnie niezgodny z przepisami. Wykrycie, triaż, równoległa weryfikacja prawna oraz złożenie zgłoszenia muszą zmieścić się w tym samym dniu kalendarzowym, łącznie z weekendami i czasem poza godzinami pracy.

Etap W 24h? Uwagi
Wykrycie Tak Wewnętrzne zespoły inżynieryjne, zgłoszenia klientów, monitoring, analiza zagrożeń, wpływ z CVD. Ścieżki triażu dla "aktywnie wykorzystywane" i "poważny incydent" muszą być odrębne.
Triaż Tak Jako dane wejściowe stosuj sygnały z oceny ważności (CVSS / EPSS / KEV). Dowód eksploitacji jest wyzwalaczem. Sama ważność nim nie jest.
Weryfikacja prawna Równolegle Szeregowe oczekiwanie na zgodę prawną powoduje utratę 24 godzin. Producent może oznaczyć wrażliwość, a platforma może wstrzymać rozpowszechnienie z przyczyn cyberbezpieczeństwa.
Wczesne ostrzeżenie w platformie Tak Strumień podatności lub strumień poważnych incydentów.
Powiadomienie 72h Po 24h W ciągu 72 godzin od uzyskania świadomości.
Raport końcowy 14 dni (podatność) / 1 miesiąc (incydent) Podatności: 14 dni od udostępnienia środka naprawczego. Poważne incydenty: miesiąc od powiadomienia 72-godzinnego.

Routing CSIRT

Routing CSIRT wynika z głównej siedziby producenta w Unii, czyli państwa członkowskiego, w którym podejmowane są w przeważającej mierze decyzje dotyczące cyberbezpieczeństwa produktu. Bez głównej siedziby w Unii łańcuch rezerwowy prowadzi przez państwo członkowskie AR, następnie importera, następnie dystrybutora, a potem koncentrację użytkowników. Po złożeniu rozpowszechnienie transgraniczne do CSIRT w innych dotkniętych państwach członkowskich odbywa się wewnątrz Single Reporting Platform. ENISA zapowiedziała, że lista krajowych CSIRT wyznaczonych jako koordynatorzy zostanie udostępniona na późniejszym etapie. Producent potwierdza przypisanie koordynatora na podstawie wytycznych ENISA, gdy lista zostanie opublikowana.

Single Reporting Platform a bezpośredni kontakt z krajowym CSIRT

Wysłanie wiadomości e-mail bezpośrednio do krajowego CSIRT nie spełnia obowiązku zgłoszeniowego wynikającego z CRA, nawet jeśli producent utrzymuje z tym CSIRT stałą współpracę.

Kanał Obowiązkowy dla zgłoszeń CRA? Zakres
Single Reporting Platform Tak Zgłoszenia aktywnie wykorzystywanych podatności; zgłoszenia poważnych incydentów; powiadomienia dobrowolne; powiadomienia 72-godzinne i raporty końcowe
Bezpośredni kontakt z krajowym CSIRT Nie Koordynacja skoordynowanego ujawniania podatności; wymiana branżowej analizy zagrożeń; nieformalna współpraca w reagowaniu na incydenty

Producenci utrzymujący relację z krajowym CSIRT mogą ją zachować na potrzeby koordynacji CVD i wymiany analizy zagrożeń. Do Single Reporting Platform trafia każde obowiązkowe powiadomienie wynikające z artykułu 14. Platforma automatycznie obsługuje transgraniczny routing do CSIRT innych dotkniętych państw członkowskich. Jedno zgłoszenie dociera do wszystkich właściwych CSIRT.

Typowe pułapki

  • Rejestracja dopiero po pierwszym zdarzeniu podlegającym zgłoszeniu. 24-godzinny zegar nie zatrzymuje się na czas onboardingu. Zarejestruj się na długo przed 11 września 2026 r.
  • Skrzynka ogólna security@ z autoresponderem. Sprzeczne z wymogiem kanału skierowanego do użytkowników i nieprzydatne jako kanał dla organów w platformie.
  • Brak lub nieaktualne produkty powiązane z rejestracją. Wczesne ostrzeżenie musi wskazywać państwa członkowskie, w których produkt został udostępniony. Bez aktualnego wykazu wczesne ostrzeżenie jest niekompletne.
  • Brak wewnętrznego SLA dla 24-godzinnego zegara. Ścieżka od wykrycia do złożenia wymaga wyraźnie określonego budżetu czasowego.
  • Zgłaszanie e-mailem do krajowego CSIRT. Single Reporting Platform jest wyznaczonym kanałem. Wiadomość e-mail do krajowego CSIRT nie jest równoważna.
  • Traktowanie AR jako adresu do przekazywania. Mandat AR producenta spoza UE musi wyraźnie obejmować zgłaszanie, a AR musi być gotowy wspierać złożenie przez platformę.

Najczęściej zadawane pytania

Czy Single Reporting Platform działa już dziś i kiedy zostaje uruchomiona?

Jeszcze nie. Single Reporting Platform nie działa dziś dla zgłoszeń producentów. Rusza 11 września 2026 r. ENISA rozwija platformę z siecią CSIRT, a od tej daty producenci muszą móc składać przez platformę zgłoszenia aktywnie wykorzystywanych podatności i poważnych incydentów. ENISA zapowiedziała, że instrukcje dostępu i rejestracji udostępni w czerwcu 2026 r. Do czasu ich publikacji przebieg rejestracji, mechanizm uwierzytelniania oraz elektroniczne punkty końcowe powiadomień pozostają zależne od specyfikacji ENISA. Przed oparciem się na konkretnym kroku interfejsu sprawdź aktualne wytyczne ENISA.

Czy importerzy i dystrybutorzy rejestrują się w Single Reporting Platform?

Nie. Importerzy i dystrybutorzy nie przejmują obowiązku zgłoszeniowego producenta w Single Reporting Platform. Ich obowiązkiem CRA jest poinformowanie producenta o podatności bez zbędnej zwłoki. Zgłaszanie przez platformę pozostaje obowiązkiem producenta.

Czy producent spoza UE może zarejestrować się bezpośrednio?

Możliwe, ale liczy się łańcuch rezerwowy. Pisemny mandat AR może objąć obowiązkowe zgłaszanie, ponieważ wyłączenia AR nie obejmują samego zgłaszania. Dla producenta bez głównej siedziby w Unii routing idzie dostępnym łańcuchem: upoważniony przedstawiciel, importer, dystrybutor, a potem koncentracja użytkowników.

Jak ustalić, czy złożyć zgłoszenie aktywnie wykorzystywanej podatności, czy poważnego incydentu?

Dwa strumienie dotyczą różnych powierzchni ataku. Aktywnie wykorzystywana podatność to luka w produkcie, którą złośliwy podmiot wykorzystuje przeciwko użytkownikom. Poważny incydent to zdarzenie, które istotnie wpływa na dostępność, autentyczność, integralność lub poufność produktu z elementami cyfrowymi lub danych przetwarzanych przez produkt. Przykład z rozporządzenia: atakujący wstrzykuje złośliwy kod do kanału wydawania aktualizacji lub do infrastruktury budowania producenta.

Zgłoszenie w ramach bug bounty ani raport skoordynowanego ujawniania podatności nie uruchamiają żadnego z tych strumieni. Obowiązkowe powiadomienie stosuje się wtedy, gdy złośliwy podmiot aktywnie wykorzystuje lukę w produkcie, lub gdy dochodzi do poważnego incydentu w rozumieniu Artykułu 14.

Ten sam atak może jednocześnie przekroczyć obie granice. Jeżeli atakujący wykorzysta lukę w produkcie i za pomocą tego dostępu naruszy infrastrukturę budowania, producent składa dwa oddzielne zgłoszenia: jedno dla każdego strumienia. Oba wymagają 24-godzinnego wczesnego ostrzeżenia liczonego od tego samego momentu uzyskania świadomości.

Od kiedy dokładnie biegnie 24-godzinny zegar?

Z chwilą gdy ktokolwiek w zespole bezpieczeństwa uzyska wiarygodne informacje, że dochodzi do zdarzenia podlegającego zgłoszeniu. Nie wtedy, gdy poinformowany zostanie zarząd. Nie wtedy, gdy dział prawny to potwierdzi. Nie wtedy, gdy ustalona zostanie przyczyna źródłowa.

Wczesne ostrzeżenie 24-godzinne musi zawierać wyłącznie wskazanie aktywnej eksploatacji oraz państwa członkowskie, w których produkt jest dostępny. Szczegółowa analiza techniczna trafia do powiadomienia 72-godzinnego. Rozporządzenie zaprojektowano właśnie tak: najpierw powiadomienie, śledztwo równolegle.

Nie istnieje okres karencji na ocenę. Zegar biegnie od pierwszej wiarygodnej świadomości.

Co zrobić, jeśli nasze zgłoszenie w Single Reporting Platform nie powiedzie się?

Złóż zgłoszenie przez platformę i zachowaj dowody awarii. Single Reporting Platform jest obowiązkowym kanałem zgłoszeniowym, więc obejście powinno podążać za wytycznymi ENISA lub koordynującego CSIRT, gdy będą dostępne. Problemy techniczne nie znoszą obowiązku 24h. Zachowaj rejestr z oznaczeniem czasu obejmujący awarię, podjętą próbę złożenia i każdy użyty kontakt alternatywny.

Czy pojedynczy punkt kontaktowy dla użytkowników jest tożsamy z kontaktem rejestracyjnym w Single Reporting Platform?

Nie. Kontakt dla użytkowników i kontakt w platformie dla organów służą różnym odbiorcom. Kontakt skierowany do użytkowników obsługuje zgłoszenia podatności od użytkowników i nie może ograniczać się do narzędzi automatycznych. Kontakt w platformie powinien kierować wiadomości ENISA i koordynującego CSIRT do zespołu zgłoszeniowego, nawet jeśli ENISA później doprecyzuje dokładne pola rejestracyjne.

Kolejne kroki w drodze do gotowości na 11 września 2026 r.

  1. Śledź oficjalną stronę SRP ENISA i biuletyny CSIRT, aby zmiany rejestracyjne trafiały od razu do właściciela zgłoszeń.
  2. Wyznacz kontakt w Single Reporting Platform dla organów, odrębny od kanału zgłaszania podatności dla użytkowników.
  3. Udokumentuj eskalację od wykrycia do złożenia z SLA 24h i obsługą poza godzinami pracy.
  4. Przeprowadź ćwiczenie tabletop dla aktywnie wykorzystywanej podatności i przetestuj roboczą ścieżkę złożenia przez platformę.
  5. Potwierdź, że każdy mandat upoważnionego przedstawiciela obejmuje zgłaszanie i aktualne mapowanie produktów.
  6. Przypisz routing koordynującego CSIRT do swojej głównej siedziby, a następnie przejdź do zgłaszania podatności i obsługi podatności.