ENISA-sårbarhetrapportering: Vad utlöser 24-timmarsklockan under CRA

11 september 2026. Från och med detta datum har du 24 timmar på dig att rapportera aktivt exploaterade sårbarheter till ENISA. Missar du deadline riskerar du tillsynsåtgärder.

Den här guiden täcker vad som utlöser rapportering, vad "aktivt exploaterad" faktiskt innebär och hur du förbereder din interna process innan deadline.

Sammanfattning

• CRA:s rapporteringsskyldigheter börjar 11 september 2026
• Tre rapporteringssteg: 24h tidig varning, 72h meddelande, 14/30-dagars slutrapport
• "Aktivt exploaterad" = rimlig säkerhet om verklig exploatering, inte bara teoretisk möjlighet
• Rapportera via ENISA:s Single Reporting Platform (SRP)
• Klockan startar vid medvetenhet, inte vid bekräftelse
• Incidenter (30-dagars rapport) och sårbarheter (14-dagars rapport) har olika tidslinjer

De tre rapporteringsstegen

STEG 1: TIDIG VARNING
24 timmar efter medvetenhet
├── Meddela ENISA att aktiv exploatering detekterats
├── Grundläggande produktidentifiering
├── Inledande indikation på exploateringens art
└── Ange om ytterligare information följer

STEG 2: SÅRBARHETMEDDELANDE
72 timmar efter medvetenhet
├── Sårbarhetsidentifiering (CVE om tillgänglig)
├── Berörda produkter och versioner
├── Beskrivning av exploateringen
├── Inledande risköverföring
└── Status för åtgärdsplan

STEG 3: SLUTRAPPORT
14 dagar (sårbarheter) / 30 dagar (incidenter)
├── Fullständig teknisk analys
├── Rotorsaksanalys (om tillämpligt)
├── Åtgärdsbeskrivning
├── CVSS-poäng
├── Korrigeringsstatus
└── Rekommendationer för kunder

Vad utlöser 24-timmarsklockan?

"Aktivt exploaterad" definierat

Inte varje sårbarhet kräver 24-timmarsrapportering. Tröskeln är aktiv exploatering:

UTLÖSAR RAPPORTERING:
✓ Bekräftad exploatering av din produkt i det fria
✓ Bevis för attack mot kund som använder din produkt
✓ Hotinformation om pågående kampanj mot din produkt
✓ Kund rapporterar säkerhetsincident kopplad till din produkt

UTLÖSAR INTE (nödvändigtvis):
✗ Sårbarhet rapporterad men inget utnyttjande känt
✗ Proof-of-concept (PoC) publicerad utan bekräftad exploatering
✗ Teoretisk sårbarhet utan praktisk utnyttjandeväg
✗ Sårbarhet i komponent som inte påverkar din produkt

"Allvarlig sårbarhet" – 72-timmarsrapportering

Utöver aktiv exploatering kräver CRA rapportering av "allvarliga" sårbarheter:

ALLVARLIGHETSTRÖSKEL (72 timmar):

SANNOLIKT ALLVARLIG:
- CVSS 9.0+ (Kritisk)
- Fjärrkörning av kod (RCE) möjlig
- Autentiseringsförbigång
- Privilegieeskalering på systemnivå
- Dataläckage i stor skala

SANNOLIKT INTE ALLVARLIG:
- CVSS under 7.0
- Lokal exploatering kräver fysisk åtkomst
- Begränsad påverkan
- Kräver komplex exploateringskedja

Interna processförberedelser

Sårbarhetstrageprocess

SÅRBARHETDETEKTERING
         │
         ▼
INITIAL TRIAGE (0-4 timmar)
├── Verifiera sårbarhetens existens
├── Bedöm produktpåverkan
├── Kontrollera CVSS-poäng
└── Sök efter exploateringsindikatorer
         │
         ├── Aktiv exploatering?──────→ UTLÖS 24-TIMMARSRAPPORTERING
         │                              Escalera till säkerhetsteam
         │                              Meddela ledning
         ▼
TEKNISK BEDÖMNING (4-24 timmar)
├── Bekräfta påverkan på berörda versioner
├── Bedöm svårighetsgrad (CVSS)
├── Identifiera åtgärdsalternativ
└── Fastställ om rapport krävs
         │
         ├── Allvarlig?──────────────→ FÖRBERED 72-TIMMARSMEDDELANDE
         │
         ▼
STANDARD CVD-PROCESS
(Om inte aktiv exploatering eller allvarlig)

Intern eskaleringströskel

ESKALERINGSTRÖSKEL

OMEDELBAR ESKALERING (timmar):
- Bekräftad aktiv exploatering → Säkerhetschef + Juridik + Ledning
- CVSS 10.0-sårbarhet → Säkerhetschef
- Kundrapporterad säkerhetsincident → Svarsteam

STANDARD ESKALERING (dagar):
- CVSS 7.0-8.9 → Säkerhetsteam granskning
- Sårbarhet rapporterad via CVD → Standard CVD-process

ENISA Single Reporting Platform (SRP)

Registrering

Tillverkare måste registrera sig på ENISA SRP innan september 2026:

ENISA SRP-REGISTRERING

Plattform: Tillgänglig via enisa.europa.eu
Registrering: Organisatorisk registrering krävs
Testläge: Tillgängligt för processutveckling

FÖRBERED:
[ ] Organisationens registreringsuppgifter
[ ] Kontaktinformation för säkerhetsteam
[ ] Lista över produkter som ska registreras
[ ] Testrapport inlämnad i testmiljö

Rapport-inlämningsprocess

SRP INLÄMNINGSSTEG

1. Logga in på ENISA SRP
2. Välj rapporttyp:
   - Tidig varning (24h)
   - Sårbarhetmeddelande (72h)
   - Slutrapport (14/30 dagar)
3. Fyll i obligatoriska fält
4. Bifoga tekniska indikatorer (72h+)
5. Skicka och spara kvittonummer

Rapporteringsinnehåll per steg

24-timmars tidig varning

OBLIGATORISKA FÄLT (24h):
- Tillverkaridentifikation
- Produktnamn och version
- Kortbeskrivning av incidenten/exploateringen
- Initial allvarlighetsbedömning
- Förväntad uppdateringstid

72-timmars meddelande

OBLIGATORISKA FÄLT (72h):
Allt ovan plus:
- CVE-identifierare (om tillgänglig)
- CVSS-poäng och vektor
- Berörda versioner (fullständig lista)
- Exploateringsbeskrivning
- Tekniska indikatorer
- Åtgärdsplan (preliminär)
- Kundsvarsstatus

Förhållande till CVD-process

CVD-PROCESS + ENISA-RAPPORTERING

Forskarrapport anländer
         │
         ▼
    TRIAGE
         │
         ├── Ingen aktiv exploatering → Standard 90-dagars CVD
         │   Övervaka aktivt
         │
         └── Aktiv exploatering → 24h ENISA + Accelererad CVD
              detekteras

Vanliga misstag

För sen medvetenhet

Problem: Vet inte om aktiv exploatering förrän kunder rapporterar massivt. Åtgärd: Implementera proaktiv övervakning av hotinformation och CERT-varningar.

Vänta på CVSS-poäng

Problem: Väntar på officiell CVSS-poäng innan rapportering. Åtgärd: Klockan startar vid medvetenhet, inte vid CVSS-tilldelning. Gör intern bedömning.

Oklar eskaleringsväggar

Problem: Ingen vet vem som ska fatta rapporteringsbeslut kl 3 på natten. Åtgärd: Dokumentera tydlig eskalering med kontaktuppgifter och reservkontakter.

Förberedelsechecklista

ENISA-RAPPORTERINGSFÖRBEREDELSE

PROCESS:
[ ] Interna eskaleringströsklarna definierade
[ ] Svarsteam identifierat (med reservkontakter)
[ ] Beslutsmatris skapad (vad utlöser vad)
[ ] Mallar för ENISA-rapporter skapade
[ ] Interna testövningar planerade

TEKNISKT:
[ ] Sårbarhetövervakningssystem implementerat
[ ] Hotinformationsflöden integrerade
[ ] SBOM-baserad sårbarhetsskanning konfigurerad
[ ] Loggning för att detektera aktiv exploatering

ENISA SRP:
[ ] Organisationsregistrering slutförd
[ ] Kontaktuppgifter uppdaterade
[ ] Testraportering slutförd
[ ] Rutiner dokumenterade

KUNDKOMMUNIKATION:
[ ] Mall för kundnotifiering förberedd
[ ] Kommunikationsgodkännandeprocess definierad
[ ] Supportkanalkapacitet bedömd

Viktigt: CRA:s rapporteringsskyldigheter börjar 11 september 2026. Registrera dig hos ENISA SRP och testa din rapporteringsprocess väl i förväg.

Hur CRA Evidence hjälper

CRA Evidence stöder ENISA-rapportering:

• Sårbarhetövervakning: Automatisk detektering av potentiella rapporteringshändelser
• ENISA-integration: Direkt anslutning till ENISA SRP
• Rapporteringsmallar: Förifyllda rapporter baserade på SBOM-data
• Tidslinjespårning: Automatiska påminnelser för varje rapporteringssteg
• Revisionslogg: Komplett historik för regulatorisk granskning

Etablera din ENISA-rapporteringsprocess på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.