CRA zgłaszanie podatności: rejestracja ENISA SRP (art. 14)

Unijny Cyber Resilience Act (rozporządzenie (UE) 2024/2847) kieruje wszystkie zgłoszenia producentów na podstawie art. 14 przez jeden kanał: Jednolitą Platformę Zgłaszania ENISA (SRP), ustanowioną na podstawie art. 16. Platforma nie jest jeszcze uruchomiona. ENISA opracowuje ją na podstawie art. 16 ust. 5; staje się operacyjna z chwilą, gdy art. 14 zaczyna mieć zastosowanie -- tj. 11 września 2026 r. (art. 71 ust. 2). Niniejsza strona omawia, co producenci powinni przygotować już teraz, przewidywany przebieg rejestracji oraz jak skonstruować wewnętrzną ścieżkę eskalacji dostosowaną do 24-godzinnego zegara. Harmonogramy zgłaszania omówiono w artykule zgłaszanie podatności.

Podsumowanie

  • SRP jest jedynym kanałem w ramach art. 14. Art. 14 ust. 1 i art. 14 ust. 3 zobowiązują producentów do zgłaszania do ENISA i koordynującego CSIRT "za pośrednictwem jednolitej platformy zgłaszania ustanowionej zgodnie z art. 16". Poczta elektroniczna do krajowego CSIRT nie jest odpowiednikiem.
  • Zarejestruj się przed pierwszym zdarzeniem podlegającym zgłoszeniu. 24-godzinny zegar z art. 14 ust. 1 nie zatrzymuje się na czas rejestracji. Typowe okno rejestracji wynoszące około tygodnia zakłada, że dane uwierzytelniające, kontakty i dane portfela produktów są już przygotowane.
  • Producenci są podmiotami zobowiązanymi. Importerzy i dystrybutorzy nie składają zgłoszeń na podstawie art. 14; informują producenta (art. 19 ust. 5 akapit drugi; art. 20 ust. 4 akapit drugi). Upoważniony przedstawiciel może składać zgłoszenia w imieniu producenta spoza UE, jeżeli mandat AR to obejmuje.
  • Dwa kontakty, dwa kanały. Jeden punkt kontaktowy z art. 13 ust. 17 to kanał skierowany do użytkowników. Kontakt rejestracyjny w SRP to kanał skierowany do organów. Oba są wymagane i nie powinny być obsługiwane pod tym samym adresem.
  • Routing CSIRT wynika z głównej siedziby. Art. 14 ust. 7 kieruje zgłoszenia do CSIRT wyznaczonego jako koordynator w państwie członkowskim głównej siedziby, z łańcuchem awaryjnym dla producentów spoza UE.
11 wrz 2026
Zgłaszanie rusza
art. 71 ust. 2
24h
Wczesne ostrzeżenie SRP
art. 14 ust. 1
7 dni
Typowy czas rejestracji
zarejestruj się przed jakimkolwiek zdarzeniem podlegającym zgłoszeniu
€15M / 2,5%
Kara najwyższego rzędu
art. 64 ust. 2

Rejestracja to termin, nie pozycja w zaległościach: rejestracja musi poprzedzać pierwsze zdarzenie uruchamiające 24-godzinny zegar.

Co CRA mówi o SRP

Art. 16 ust. 1 jest przepisem konstytuującym platformę:

Na potrzeby powiadomień, o których mowa w art. 14 ust. 1 i 3 oraz art. 15 ust. 1 i 2, oraz w celu uproszczenia obowiązków sprawozdawczych producentów, ENISA ustanawia jednolitą platformę zgłaszania. Bieżące funkcjonowanie tej jednolitej platformy zgłaszania jest zarządzane i utrzymywane przez ENISA. Architektura jednolitej platformy zgłaszania umożliwia państwom członkowskim i ENISA wdrożenie własnych elektronicznych punktów końcowych powiadomień.

Z tego przepisu wynikają trzy fakty operacyjne. Po pierwsze, ENISA obsługuje platformę, ale państwa członkowskie podłączają własne elektroniczne punkty końcowe powiadomień. Po drugie, art. 14 ust. 7 stanowi, że powiadomienie "jest przesyłane za pomocą elektronicznego punktu końcowego CSIRT wyznaczonego jako koordynator w państwie członkowskim, w którym producenci mają swoją główną siedzibę w Unii, i jest jednocześnie dostępne dla ENISA": jedno zgłoszenie, dwóch odbiorców. Po trzecie, art. 16 ust. 2 nakłada na przyjmujący CSIRT obowiązek rozpowszechnienia powiadomienia do innych CSIRT, których terytoria producent wskazał jako dotknięte. Routing transgraniczny odbywa się wewnątrz platformy.

SRP przyjmuje również dobrowolne zgłoszenia na podstawie art. 15 i stanowi kanał dla powiadomienia w ciągu 72 godzin oraz raportu końcowego na podstawie art. 14 ust. 2 i art. 14 ust. 4. Oba strumienie korzystają z tej samej SRP i tej samej rejestracji.

Kto musi się zarejestrować

Art. 14 ma zastosowanie do producentów produktów z elementami cyfrowymi. Obowiązki zgłoszeniowe wynikające z art. 14 ust. 1 i art. 14 ust. 3 są adresowane wyłącznie do producenta.

Importerzy i dystrybutorzy mają lżejsze obowiązki. Na podstawie art. 19 ust. 5 akapit drugi importer, który uzyska informacje o podatności, "bez zbędnej zwłoki informuje o tej podatności producenta"; dystrybutorzy mają równoważny obowiązek na podstawie art. 20 ust. 4 akapit drugi. Żaden z nich nie rejestruje się w SRP, żaden nie składa zgłoszeń na podstawie art. 14, żaden nie przejmuje 24-godzinnego zegara. Zob. importer i dystrybutor.

Producent spoza UE może przekazać obowiązki z art. 14 upoważnionemu przedstawicielowi na podstawie art. 18, pod warunkiem że mandat obejmuje zgłaszanie. Art. 18 ust. 2 wyłącza z mandatu AR art. 13 ust. 1-11, art. 13 ust. 12 akapit pierwszy oraz art. 13 ust. 14, ale nie wyłącza art. 14 -- pisemny mandat wyraźnie obejmujący zgłaszanie na podstawie art. 14 jest zatem egzekwowalny. AR posiada dane uwierzytelniające do SRP i składa zgłoszenia w imieniu producenta.

Warunki wstępne rejestracji

Sześć elementów, które organizacja musi mieć przygotowane przed rejestracją. Brak któregokolwiek z nich w chwili rejestracji blokuje proces wdrożenia.

Wymaganie Podstawa prawna Co jest potrzebne
Podmiot prawny w państwie członkowskim głównej siedziby Art. 14 ust. 7 Jednoznaczny zapis dotyczący podmiotu prawnego, pozwalający SRP przypisać koordynujący CSIRT (państwo, "w którym decyzje dotyczące cyberbezpieczeństwa jego produktów z elementami cyfrowymi są podejmowane w przeważającej mierze").
Jeden punkt kontaktowy z art. 13 ust. 17 Art. 13 ust. 17 akapit trzeci Kanał skierowany do użytkowników, który "nie ogranicza takich środków do narzędzi automatycznych". Skrzynki obsługiwane wyłącznie przez autoresponder nie spełniają tego wymogu. Publikowany w informacjach dla użytkownika z Załącznika II.
Odrębny kontakt ds. bezpieczeństwa skierowany do organów Art. 14 + art. 16 ust. 5 (oczekiwany) Drugi kontakt dla ENISA i koordynującego CSIRT, odrębny od kanału skierowanego do użytkowników z art. 13 ust. 17. Oba obowiązki nie powinny być obsługiwane pod tym samym adresem.
Dane uwierzytelniające tożsamości Art. 16 ust. 5 (specyfikacja w toku) Producenci z UE powinni spodziewać się elektronicznej identyfikacji uznanej w ramach eIDAS. Producenci spoza UE weryfikują tożsamość przez łańcuch AR. Dokładne dane techniczne są częścią specyfikacji z art. 16 ust. 5.
Wykaz portfela produktów Art. 14 ust. 2 lit. a Aktualna lista produktów oraz państw członkowskich, w których każdy z nich został udostępniony. Bez niej wczesne ostrzeżenie nie może prawidłowo wskazać dotkniętych terytoriów.
Udokumentowana wewnętrzna ścieżka eskalacji Art. 14 ust. 1 Pisemna procedura umożliwiająca organizacji przejście od wykrycia do zgłoszenia w SRP w ciągu 24 godzin, z zapewnieniem obsługi poza godzinami pracy. Sformułowanie "bez zbędnej zwłoki i w każdym przypadku w ciągu 24 godzin" nie pozostawia miejsca na doraźną eskalację.

Harmonogram: od dziś do pierwszego zdarzenia podlegającego zgłoszeniu

Harmonogram SRP: budowa przez ENISA i przygotowanie producenta po obu stronach przełączenia 11 września 2026 r. Diagram dwukolumnowy. Wiersze rozdzielają zakres odpowiedzialności ENISA od producenta. Kolumny rozdzielają harmonogram w punkcie przełączenia 11 września 2026 r.: przygotowanie przed przełączeniem po lewej, działanie na żywo po przełączeniu po prawej. Przed przełączeniem ENISA buduje platformę na podstawie specyfikacji z art. 16 ust. 5 i aktów wykonawczych z art. 14 ust. 10; po przełączeniu SRP przyjmuje każde zgłoszenie na podstawie art. 14. Przed przełączeniem producent przygotowuje podmiot prawny, odrębne kontakty z art. 13 ust. 17 i SRP, portfel produktów, SLA 24h eskalacji oraz mandat AR tam, gdzie ma zastosowanie; po przełączeniu producent jest zarejestrowany i uruchamia 24-godzinny zegar wczesnego ostrzeżenia z art. 14 ust. 1 przy pierwszym zdarzeniu. Przełączenie SRP: budowa ENISA i przygotowanie producenta po obu stronach 11 wrz 2026 11 wrz 2026 PRZED 11 WRZ 2026 PO 11 WRZ 2026 (art. 14 stosuje się) ENISA Producent Budowa SRP Specyfikacje art. 16 ust. 5 Akty wykonawcze art. 14 ust. 10 SRP działa Przyjmuje każde zgłoszenie z art. 14 Routing CSIRT na podstawie art. 14 ust. 7 + 16 ust. 2 Przygotuj Podmiot prawny, odrębne kontakty, portfel produktów, SLA 24h, mandat AR Zarejestrowany, gotowy w 24h Pierwsze zdarzenie uruchamia art. 14 ust. 1: świadomość -- 24h wczesne ostrzeżenie
11 września 2026 r. jest ustalony przez art. 71 ust. 2. Przed przełączeniem trwa przygotowanie; po przełączeniu obowiązuje regulowane zgłaszanie z 24-godzinnym zegarem. Zaktualizujemy tę stronę, gdy ENISA opublikuje rzeczywisty przebieg rejestracji.
SRP nie jest jeszcze operacyjna

ENISA buduje platformę na podstawie art. 16 ust. 5 we współpracy z siecią CSIRT. Dokładne ekrany rejestracji, mechanizm uwierzytelniania i elektroniczne punkty końcowe powiadomień podlegają specyfikacjom z art. 16 ust. 5 oraz aktom wykonawczym z art. 14 ust. 10. Poniższe ramy odzwierciedlają tekst rozporządzenia i to, co jest publicznie znane na dzień 2026-05-05; przed potraktowaniem jakiegokolwiek konkretnego kroku interfejsu jako ostatecznego należy zweryfikować aktualność tych informacji w wytycznych ENISA. Data uruchomienia art. 14 -- 11 września 2026 r. -- jest ustalona przez art. 71 ust. 2.

Przewidywany przebieg rejestracji

Dokładne ekrany rejestracji zależą od specyfikacji z art. 16 ust. 5 i aktów wykonawczych z art. 14 ust. 10, z których oba są nadal finalizowane. Zaktualizujemy tę sekcję, gdy ENISA opublikuje rzeczywisty przebieg. Na podstawie tekstu rozporządzenia należy spodziewać się, że rejestracja zweryfikuje podmiot prawny, przechwyci kontakt do organów w SRP (odrębny od kontaktu użytkownika z art. 13 ust. 17), odnotuje portfel produktów z zasięgiem w poszczególnych państwach członkowskich i przypisze koordynujący CSIRT na podstawie art. 14 ust. 7. Po rejestracji ten sam punkt końcowy obsługuje każde późniejsze zgłoszenie: 24-godzinne wczesne ostrzeżenie, powiadomienie w ciągu 72 godzin, raporty pośrednie na żądanie CSIRT (art. 14 ust. 6) oraz raport końcowy.

Wewnętrzna eskalacja: obsługa 24-godzinnego zegara

Art. 14 ust. 1 uruchamia zegar w chwili uzyskania świadomości, a nie po potwierdzeniu. Najtrudniejsza część to przejście od "właśnie się dowiedzieliśmy" do "właśnie złożyliśmy zgłoszenie" w ciągu 24 godzin, łącznie z obsługą poza godzinami pracy.

Etap W 24h? Uwagi
Wykrycie Tak Wewnętrzny zespół inżynieryjny, zgłoszenia klientów, monitoring, analiza zagrożeń, wpływ z CVD. Ścieżki triażu dla "aktywnie wykorzystywane" i "poważny incydent" muszą być odrębne.
Triaż Tak Jako dane wejściowe stosuj sygnały z oceny ważności (CVSS / EPSS / KEV). Dowód eksploitacji jest wyzwalaczem art. 14 ust. 1; sama ważność nim nie jest.
Weryfikacja prawna Równolegle Szeregowe oczekiwanie na zgodę prawną powoduje przekroczenie limitu 24h. Art. 14 ust. 2 lit. a pozwala producentowi zaznaczyć wrażliwość; art. 16 ust. 2 pozwala platformie wstrzymać rozpowszechnienie ze względów bezpieczeństwa.
Wczesne ostrzeżenie SRP Tak Art. 14 ust. 2 lit. a lub art. 14 ust. 4 lit. a.
Powiadomienie w ciągu 72h Po 24h Art. 14 ust. 2 lit. b lub art. 14 ust. 4 lit. b.
Raport końcowy 14 dni (podatność) / 1 miesiąc (incydent) Art. 14 ust. 2 lit. c od udostępnienia środka naprawczego; art. 14 ust. 4 lit. c od powiadomienia w ciągu 72h. Różne zegary.

Proces triażu, który "zazwyczaj trwa 48 godzin", jest strukturalnie niezgodny z przepisami.

Routing CSIRT

Art. 14 ust. 7 kieruje powiadomienie do CSIRT w państwie członkowskim głównej siedziby ("w którym decyzje dotyczące cyberbezpieczeństwa jego produktów z elementami cyfrowymi są podejmowane w przeważającej mierze"). W przypadku producentów niemających głównej siedziby w Unii akapit trzeci stosuje czterostopniowy łańcuch awaryjny: państwo członkowskie AR, następnie importera, następnie dystrybutora, następnie koncentracja użytkowników. Po zgłoszeniu art. 16 ust. 2 obsługuje transgraniczne rozpowszechnienie do CSIRT w innych dotkniętych państwach członkowskich.

Częste błędy

  • Rejestracja dopiero po pierwszym zdarzeniu podlegającym zgłoszeniu. 24-godzinny zegar nie zatrzymuje się na czas rejestracji. Zarejestruj się na długo przed 11 września 2026 r.
  • Skrzynka ogólna security@ z autoresponderem. Sprzeczne z art. 13 ust. 17 akapit trzeci dla kanału skierowanego do użytkowników i nieprzydatne jako kanał władz w SRP.
  • Brak lub nieaktualny wykaz produktów powiązanych z rejestracją. Art. 14 ust. 2 lit. a wymaga, aby wczesne ostrzeżenie wskazywało dotknięte państwa członkowskie; bez aktualnego wykazu wczesne ostrzeżenie jest niekompletne.
  • Brak wewnętrznego SLA dla 24-godzinnego zegara. Ścieżka od wykrycia do zgłoszenia wymaga wyraźnie określonego budżetu czasowego.
  • Zgłaszanie e-mailem do krajowego CSIRT. Art. 14 ust. 1 i art. 14 ust. 3 wskazują SRP. Wiadomość e-mail do krajowego CSIRT nie jest równoważna.
  • Traktowanie AR jako adresu przekazującego. Mandat AR producenta spoza UE na podstawie art. 18 ust. 1 musi wyraźnie obejmować zgłaszanie na podstawie art. 14, a AR musi posiadać dane uwierzytelniające do SRP.

Często zadawane pytania

Czy SRP jest już dostępna?

Nie. ENISA opracowuje platformę na podstawie art. 16 ust. 5 we współpracy z siecią CSIRT. Art. 71 ust. 2 ustala datę uruchomienia na 11 września 2026 r., kiedy art. 14 zaczyna mieć zastosowanie. Dokładny przebieg rejestracji platformy, mechanizm uwierzytelniania i elektroniczne punkty końcowe powiadomień podlegają specyfikacjom z art. 16 ust. 5 i aktom wykonawczym z art. 14 ust. 10. Aktualne wytyczne publiczne należy traktować jako tymczasowe i weryfikować w ENISA przed poleganiem na jakimkolwiek konkretnym kroku interfejsu.

Kiedy SRP zostanie uruchomiona dla zgłoszeń producentów?

Art. 71 ust. 2 stanowi: "Art. 14 stosuje się od dnia 11 września 2026 r.". To jest termin, w którym producenci muszą mieć możliwość składania zgłoszeń przez SRP. Operacyjne uruchomienie platformy jest ustalane przez ENISA na podstawie art. 16 ust. 5 i aktów wykonawczych z art. 14 ust. 10; bliżej tej daty należy zweryfikować aktualność wytycznych ENISA.

Czy importerzy i dystrybutorzy rejestrują się w SRP?

Nie. Ich obowiązkiem jest informowanie producenta o podatności na podstawie art. 19 ust. 5 akapit drugi (importerzy) i art. 20 ust. 4 akapit drugi (dystrybutorzy). Zgłaszanie przez SRP na podstawie art. 14 jest obowiązkiem producenta.

Czy producent spoza UE może zarejestrować się bezpośrednio?

Standardowa ścieżka prowadzi przez upoważnionego przedstawiciela na podstawie art. 18 ust. 1 z pisemnym mandatem obejmującym zgłaszanie na podstawie art. 14. AR posiada dane uwierzytelniające do SRP i składa zgłoszenia w imieniu producenta. AR nie może zastąpić producenta w zakresie obowiązków wyłączonych przez art. 18 ust. 2 (art. 13 ust. 1-11, art. 13 ust. 12 akapit pierwszy, art. 13 ust. 14).

Co zrobić, gdy nasze zgłoszenie w SRP nie powiedzie się?

SRP jest wskazanym kanałem na podstawie art. 14 ust. 1 i art. 14 ust. 3. Jeżeli platforma jest niedostępna, należy skontaktować się z koordynującym CSIRT przez opublikowany kontakt do jego elektronicznego punktu końcowego i udokumentować awarię. 24-godzinny zegar nie jest zawieszany przez problemy techniczne; należy dążyć do powiadomienia na zasadach dołożenia wszelkich starań w ramach okna czasowego oraz zachować pełną dokumentację wyjaśniającą, dlaczego SRP była niedostępna.

Czy jeden punkt kontaktowy z art. 13 ust. 17 jest tożsamy z kontaktem rejestracyjnym w SRP?

Nie. Art. 13 ust. 17 to kanał skierowany do użytkowników, który "nie ogranicza takich środków do narzędzi automatycznych" i jest publikowany w informacjach dla użytkownika z Załącznika II. Kontakt rejestracyjny w SRP to kanał skierowany do organów -- dla ENISA i koordynującego CSIRT. Oba są wymagane i nie powinny być obsługiwane pod tą samą skrzynką pocztową.

Kolejne kroki w kierunku gotowości na 11 września 2026 r.

  1. Śledź wytyczne ENISA dotyczące SRP oraz specyfikacje z art. 16 ust. 5. Zapisz się do aktualizacji ENISA i biuletynu koordynującego CSIRT państwa członkowskiego, aby w dniu otwarcia rejestracji zespół był poinformowany.
  2. Wyznacz punkt kontaktowy SRP odrębny od jednego punktu kontaktowego skierowanego do użytkowników z art. 13 ust. 17.
  3. Udokumentuj wewnętrzną ścieżkę eskalacji od wykrycia do wczesnego ostrzeżenia z wyraźnym SLA w ciągu 24 godzin i obsługą poza godzinami pracy.
  4. Przeprowadź ćwiczenie stołowe symulujące aktywnie wykorzystywaną podatność i sprawdź, czy zgłoszenie w SRP można ukończyć w oknie z art. 14 ust. 1. Jako materiał zastępczy do czasu finalizacji rzeczywistego formularza stosuj aktualnie opublikowany przez ENISA szablon formularza zgłoszeniowego.
  5. Jeżeli korzystasz z upoważnionego przedstawiciela, potwierdź, że mandat AR z art. 18 ust. 1 obejmuje zgłaszanie na podstawie art. 14 oraz że AR posiada dane uwierzytelniające do SRP i aktualny wykaz portfela produktów.
  6. Potwierdź, że routing do CSIRT państwa członkowskiego na podstawie art. 14 ust. 7 odpowiada Twojej rzeczywistej głównej siedzibie.
  7. Aby zapoznać się z harmonogramami i prawną definicją "aktywnie wykorzystywanych", przejdź do artykułu zgłaszanie podatności; informacje o reżimie obsługi znajdziesz w artykule obsługa podatności; pełne obowiązki producenta omówiono na stronie roli.