ENISA-sårbarhetrapportering: 24-timmarsklockan startar 11 september 2026

11 september 2026. Från och med detta datum har du 24 timmar på dig att rapportera aktivt exploaterade sårbarheter till ENISA. Missar du deadline riskerar du tillsynsåtgärder.

De tre rapporteringsstegen

STEG 1: TIDIG VARNING
24 timmar efter medvetenhet
├── Meddela ENISA att aktiv exploatering detekterats
├── Grundläggande produktidentifiering
├── Inledande indikation på exploateringens art
└── Ange om ytterligare information följer

STEG 2: SÅRBARHETMEDDELANDE
72 timmar efter medvetenhet
├── Sårbarhetsidentifiering (CVE om tillgänglig)
├── Berörda produkter och versioner
├── Beskrivning av exploateringen
├── Inledande risköverföring
└── Status för åtgärdsplan

STEG 3: SLUTRAPPORT
14 dagar (sårbarheter) / en månad (incidenter)
├── Fullständig teknisk analys
├── Rotorsaksanalys (om tillämpligt)
├── Åtgärdsbeskrivning
├── CVSS-poäng
├── Korrigeringsstatus
└── Rekommendationer för kunder

Vad utlöser 24-timmarsklockan?

"Aktivt exploaterad" definierat

Inte varje sårbarhet kräver 24-timmarsrapportering. Tröskeln är aktiv exploatering:

UTLÖSAR RAPPORTERING:
✓ Bekräftad exploatering av din produkt i det fria
✓ Bevis för attack mot kund som använder din produkt
✓ Hotinformation om pågående kampanj mot din produkt
✓ Kund rapporterar säkerhetsincident kopplad till din produkt

UTLÖSAR INTE (nödvändigtvis):
✗ Sårbarhet rapporterad men inget utnyttjande känt
✗ Proof-of-concept (PoC) publicerad utan bekräftad exploatering
✗ Teoretisk sårbarhet utan praktisk utnyttjandeväg
✗ Sårbarhet i komponent som inte påverkar din produkt

"Allvarlig sårbarhet": 72-timmarsrapportering

Utöver aktiv exploatering kräver CRA rapportering av "allvarliga" sårbarheter:

ALLVARLIGHETSTRÖSKEL (72 timmar):

SANNOLIKT ALLVARLIG:
- CVSS 9.0+ (Kritisk)
- Fjärrkörning av kod (RCE) möjlig
- Autentiseringsförbigång
- Privilegieeskalering på systemnivå
- Dataläckage i stor skala

SANNOLIKT INTE ALLVARLIG:
- CVSS under 7.0
- Lokal exploatering kräver fysisk åtkomst
- Begränsad påverkan
- Kräver komplex exploateringskedja

Interna processförberedelser

Sårbarhetstrageprocess

SÅRBARHETDETEKTERING
         │
         ▼
INITIAL TRIAGE (0-4 timmar)
├── Verifiera sårbarhetens existens
├── Bedöm produktpåverkan
├── Kontrollera CVSS-poäng
└── Sök efter exploateringsindikatorer
         │
         ├── Aktiv exploatering?──────→ UTLÖS 24-TIMMARSRAPPORTERING
         │                              Escalera till säkerhetsteam
         │                              Meddela ledning
         ▼
TEKNISK BEDÖMNING (4-24 timmar)
├── Bekräfta påverkan på berörda versioner
├── Bedöm svårighetsgrad (CVSS)
├── Identifiera åtgärdsalternativ
└── Fastställ om rapport krävs
         │
         ├── Allvarlig?──────────────→ FÖRBERED 72-TIMMARSMEDDELANDE
         │
         ▼
STANDARD CVD-PROCESS
(Om inte aktiv exploatering eller allvarlig)

Intern eskaleringströskel

ESKALERINGSTRÖSKEL

OMEDELBAR ESKALERING (timmar):
- Bekräftad aktiv exploatering → Säkerhetschef + Juridik + Ledning
- CVSS 10.0-sårbarhet → Säkerhetschef
- Kundrapporterad säkerhetsincident → Svarsteam

STANDARD ESKALERING (dagar):
- CVSS 7.0-8.9 → Säkerhetsteam granskning
- Sårbarhet rapporterad via CVD → Standard CVD-process

ENISA Single Reporting Platform (SRP)

SRP är inte i drift per april 2026. ENISA har anlitat en leverantör och plattformen är planerad att öppna senast den 11 september 2026, när rapporteringsskyldigheterna börjar. En testperiod är planerad innan dess. Ingen registrerings-URL har publicerats. Följ ENISA:s SRP-sida för uppdateringar: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Vad som är bekräftat:

• Webbaserad plattform för inlämningar
• Standardiserade rapportformulär
• Inlämning sker via CSIRT-samordnarens slutpunkt inom SRP; ENISA får samtidig tillgång (Art. 14.7)

Vad tillverkare kan göra nu:

• Utarbeta rapportmallar (se struktur nedan)
• Identifiera din koordinerande CSIRT
• Definiera interna eskaleringsväggar och behöriga rapportörer

Nationella CSIRT:er

Enligt artikel 14(7) i förordning (EU) 2024/2847 lämnar du in en gång via SRP till CSIRT i den medlemsstat där din organisation har sitt huvudsakliga etableringsställe. Huvudsakligt etableringsställe är där beslut om produktens cybersäkerhet främst fattas.

Om du är etablerad utanför EU gäller CSIRT för din EU-auktoriserade representant. Har du ingen auktoriserad representant faller ansvaret på din importör, sedan distributör, sedan det land med störst användarkoncentration.

Du behöver inte meddela varje CSIRT i varje land där din produkt säljs. Enligt artikel 16 vidarebefordrar ENISA notifieringen till marknadslandes-CSIRT:er efter att du har lämnat in. Det steget är inte tillverkarens ansvar.

MSB (Myndigheten för samhällsskydd och beredskap) och NCSC Sverige är de relevanta myndigheterna för svenska tillverkare. Per april 2026 har MSB inte publicerat svensk CRA-vägledning. Kontakta MSB direkt för att förstå deras process: https://www.msb.se

Rapporteringsinnehåll per steg

24-timmars tidig varning

OBLIGATORISKA FÄLT (24h):
- Tillverkaridentifikation
- Produktnamn och version
- Kortbeskrivning av incidenten/exploateringen
- Initial allvarlighetsbedömning
- Förväntad uppdateringstid

72-timmars meddelande

OBLIGATORISKA FÄLT (72h):
Allt ovan plus:
- CVE-identifierare (om tillgänglig)
- CVSS-poäng och vektor
- Berörda versioner (fullständig lista)
- Exploateringsbeskrivning
- Tekniska indikatorer
- Åtgärdsplan (preliminär)
- Kundsvarsstatus

Förhållande till CVD-process

CVD-PROCESS + ENISA-RAPPORTERING

Forskarrapport anländer
         │
         ▼
    TRIAGE
         │
         ├── Ingen aktiv exploatering → Standard 90-dagars CVD
         │   Övervaka aktivt
         │
         └── Aktiv exploatering → 24h ENISA + Accelererad CVD
              detekteras

Vanliga misstag

För sen medvetenhet

Problem: Vet inte om aktiv exploatering förrän kunder rapporterar massivt. Åtgärd: Sätt upp proaktiv övervakning av hotinformation och CERT-varningar.

Vänta på CVSS-poäng

Problem: Väntar på officiell CVSS-poäng innan rapportering. Åtgärd: Klockan startar vid medvetenhet, inte vid CVSS-tilldelning. Gör intern bedömning.

Oklar eskaleringsväggar

Problem: Ingen vet vem som ska fatta rapporteringsbeslut kl 3 på natten. Åtgärd: Dokumentera tydlig eskalering med kontaktuppgifter och reservkontakter.

Undantag för små företag

Mikroföretag och småföretag har viss lättnad enligt artikel 64(10)(a):

Undantag för meddelandetid: Undantagna från böter för att missa 24-timmarsfristen för tidig varning enligt artikel 14(2)(a) och artikel 14(4)(a). Fristen för 72-timmars detaljerat meddelande enligt artiklarna 14(2)(b) och 14(4)(b) täcks inte. Att missa den kan leda till böter oavsett företagsstorlek.

Fortfarande obligatoriskt:

• Rapportering (bara inte straffbart för 24-timmarsfristens timing)
• Alla andra CRA-skyldigheter
• Slutrapporter

Definition (artikel 64(10)(a)): Gäller mikroföretag (färre än 10 anställda, årsomsättning eller balansomslutning upp till 2 miljoner euro) och småföretag (färre än 50 anställda, årsomsättning eller balansomslutning upp till 10 miljoner euro). Medelstora företag (upp till 250 anställda) omfattas inte av detta undantag.

Undantaget täcker bara påföljden för 24-timmars tidig varning. Alla tillverkare, inklusive mikroföretag, måste etablera rapporteringskapacitet.

Förberedelsechecklista

ENISA-RAPPORTERINGSFÖRBEREDELSE

PROCESS:
[ ] Interna eskaleringströsklarna definierade
[ ] Svarsteam identifierat (med reservkontakter)
[ ] Beslutsmatris skapad (vad utlöser vad)
[ ] Mallar för ENISA-rapporter skapade
[ ] Interna testövningar planerade

TEKNISKT:
[ ] Sårbarhetövervakning inrättad
[ ] Hotinformationsflöden anslutna
[ ] SBOM-baserad sårbarhetsskanning konfigurerad
[ ] Loggning för att detektera aktiv exploatering

ENISA SRP:
[ ] Följ ENISA SRP-sidan för öppningsdatum (https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp)
[ ] Nationell CSIRT identifierad (MSB/NCSC Sverige för svenska tillverkare)
[ ] Rutiner dokumenterade

KUNDKOMMUNIKATION:
[ ] Mall för kundnotifiering förberedd
[ ] Kommunikationsgodkännandeprocess definierad
[ ] Supportkanalkapacitet bedömd

Viktigt: CRA:s rapporteringsskyldigheter börjar 11 september 2026. SRP är inte i drift per april 2026. Bygg din interna process nu så att du är redo när plattformen öppnar.

Hur CRA Evidence hjälper

CRA Evidence stöder ENISA-rapportering:

• Sårbarhetövervakning: Automatisk detektering av potentiella rapporteringshändelser
• ENISA-integration: Direkt anslutning till ENISA SRP
• Rapporteringsmallar: Förifyllda rapporter baserade på SBOM-data
• Tidslinjespårning: Automatiska påminnelser för varje rapporteringssteg
• Revisionslogg: Komplett historik för regulatorisk granskning

Etablera din ENISA-rapporteringsprocess på craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.