EU:s cyberresilienslag (Förordning (EU) 2024/2847) leder varje tillverkares rapporteringspliktiga sårbarheter och allvarliga incidenter genom en enda kanal: ENISA:s gemensamma rapporteringsplattform (SRP). Plattformen är ännu inte i drift. Den blir operativ den 11 september 2026, då rapporteringsplikterna börjar tillämpas. ENISA uppger att åtkomst- och registreringsanvisningarna samt utbildnings- och övningsmaterial publiceras under juni 2026, så registreringsmekaniken är fortfarande under publicering. Den här sidan täcker vad tillverkare bör förbereda nu, det förväntade registreringsflödet och hur man kopplar en intern eskaleringsrutin till 24-timmarsklockan. För kadenser, se sårbarhetsrapportering.
Sammanfattning
- Den gemensamma rapporteringsplattformen är den enda rapporteringskanalen. Tillverkare anmäler ENISA och koordinator-CSIRT via plattformen. Nationell CSIRT-e-post är inte ett substitut.
- Förbered före den första anmälningspliktiga händelsen. 24-timmarsklockan pausas inte av registrerings- eller routingproblem. Ha uppgifter om juridisk person, produkter, kontakter och eskalering redo innan den gemensamma rapporteringsplattformen öppnar.
- Tillverkare är de skyldiga parterna. Importörer och distributörer informerar tillverkaren. De lämnar inte själva in rapporter. Ett auktoriserat representant-mandat kan täcka rapportering för en tillverkare utanför EU.
- Separera kontaktändamålen. Den enda kontaktpunkten för användare är den användarvända kanalen. Plattformens myndighetskontakt bör hanteras separat så att ENISA och koordinator-CSIRT kan nå rapporteringsteamet.
- CSIRT-routing följer huvudetableringen. Anmälningar går till den CSIRT som utsetts som koordinator i den medlemsstat där huvudetableringen finns, med en reservkedja för tillverkare utanför EU som beskrivs i CSIRT-routing nedan.
Onboarding är en beredskapsuppgift, inte något som ska starta efter att den första händelsen utlöst 24-timmarsklockan.
Vad cyberresilienslagen säger om den gemensamma rapporteringsplattformen
ENISA inrättar och driver den gemensamma rapporteringsplattformen. Medlemsstaterna och ENISA får inrätta egna elektroniska anmälningsändpunkter inom den arkitekturen. Tre operativa fakta följer:
- ENISA driver den gemensamma rapporteringsplattformen. Medlemsstaterna och ENISA kan fortfarande inrätta egna elektroniska anmälningsändpunkter.
- En inlämning når båda nivåerna. Tillverkaren lämnar in via koordinator-CSIRT:ens ändpunkt, och anmälan är samtidigt tillgänglig för ENISA.
- Gränsöverskridande routing sker inne i plattformen. Den mottagande CSIRT:en sprider anmälan till andra CSIRT:er i territorier som tillverkaren har angett som berörda.
Den gemensamma rapporteringsplattformen tar också emot frivilliga rapporter och är kanalen för 72-timmarsanmälan och slutrapporten. ENISA uppger att funktionen för frivillig rapportering aktiveras efter den 11 september 2026, alltså efter att den obligatoriska rapporteringen startar. Båda flödena delar samma plattformsarkitektur, även om ENISA fortfarande måste färdigställa de operativa vyerna.
Vem måste registrera sig
Tillverkare bär den obligatoriska rapporteringsskyldigheten via den gemensamma rapporteringsplattformen. Skyldigheten ligger hos tillverkare av produkter med digitala element, inte hos resten av leveranskedjan.
Importörer och distributörer informerar tillverkaren. De registrerar sig inte på den gemensamma rapporteringsplattformen, lämnar inte själva in rapporter och ärver inte 24-timmarsklockan. Deras skyldighet är att utan onödigt dröjsmål informera tillverkaren när de får kännedom om en sårbarhet. Se importör och distributör.
Tillverkare utanför EU behöver tydlig routing. Ett skriftligt mandat för auktoriserad representant kan omfatta obligatorisk rapportering eftersom AR-undantagen inte omfattar själva rapporteringen. Utan huvudsaklig etablering i unionen gäller reservkedjan: auktoriserad representant, importör, distributör, därefter användarkoncentration.
Förutsättningar inför registreringen
Sex uppgifter som organisationen bör ha redo före registreringen. De exakta skärmarna på den gemensamma rapporteringsplattformen är fortfarande specifikationsberoende, men saknas dessa uppgifter försenas den första inlämningen.
| Krav | Vad du behöver |
|---|---|
| Juridisk person i den medlemsstat där huvudetableringen finns | En otvetydig juridisk-enhetsuppgift som låter plattformen tilldela koordinator-CSIRT (den stat "där beslut om cybersäkerheten för dess produkter med digitala element huvudsakligen fattas"). |
| Enda kontaktpunkt för användare | En användarvänd kanal som "inte ska begränsa sådana möjligheter till automatiserade verktyg". Postlådor med enbart automatisk avsändning uppfyller inte kravet. Publiceras i den användarinformation som åtföljer produkten. |
| Myndighetsriktad säkerhetskontakt | En kontakt för ENISA och koordinator-CSIRT, operativt skild från den användarvända kanalen. Exakta registreringsfält omfattas fortfarande av ENISA:s specifikationer. |
| Bevis på identitet och behörighet | Bevis på att den som lämnar in får agera för tillverkaren. Exakta credentialmekanismer omfattas fortfarande av ENISA:s specifikationer och vägledning. |
| Produktportföljsinventering | En aktuell lista över produkter och de medlemsstater där var och en har gjorts tillgänglig. Utan den kan den tidiga varningen inte ange de berörda territorierna korrekt. |
| Dokumenterad intern eskalering | En skriftlig rutin som tar organisationen från upptäckt till inlämning via den gemensamma rapporteringsplattformen inom 24 timmar, med jour utanför ordinarie arbetstid. "Utan onödigt dröjsmål och under alla omständigheter inom 24 timmar" lämnar inget utrymme för ad hoc-eskalering. |
Tidslinje: från idag till den första anmälningspliktiga händelsen
ENISA bygger plattformen i samarbete med CSIRT-nätverket. De exakta registreringsskärmarna, credentialmekanismen och de elektroniska anmälningsändpunkterna omfattas fortfarande av ENISA:s specifikationer och kommissionens genomförandeakter. ENISA uppger att åtkomstmanualen och registreringsanvisningarna är utlovade under juni 2026, men de har ännu inte publicerats. Ramverket nedan återspeglar förordningens text och vad som är offentligt känt per 2026-06-10; verifiera mot den officiella ENISA SRP-sidan innan du behandlar något specifikt UI-steg som slutgiltigt. Brytpunkten 11 september 2026 är fastställd i CRA-tidslinjen.
Förväntat registreringsflöde
De exakta skärmarna på den gemensamma rapporteringsplattformen är fortfarande specifikationsberoende. ENISA har ännu inte publicerat det aktiva flödet, så detta avsnitt är en förberedelsechecklista och inte en slutlig UI-genomgång.
Räkna med att registreringen täcker fyra saker:
- Juridisk person: vem tillverkaren är och var huvudetableringen finns.
- Myndighetskontakt: kontakten på den gemensamma rapporteringsplattformen för meddelanden från ENISA och koordinator-CSIRT, separat från den användarvända kanalen.
- Produkttäckning: produktportföljen och de medlemsstater där berörda produkter har tillhandahållits.
- Koordinator-routing: CSIRT-tilldelningen enligt reglerna för huvudetablering och reservkedja.
Efter registreringen hanterar samma ändpunkt senare inlämningar: 24-timmars tidig varning, 72-timmarsanmälan, mellanrapporter på CSIRT-begäran och slutrapporten.
ENISA uppger också att inget SRP-API tillhandahålls i detta skede. Planera den initiala rapporteringsberedskapen kring inlämning via plattformen, inte kring API-automatisering från egna verktyg.
Vad varje inlämning till den gemensamma rapporteringsplattformen måste innehålla
Artikel 14 definierar tre anmälningssteg per rapporteringspliktig händelse. Innehållskraven skiljer sig mellan flödet för aktivt utnyttjade sårbarheter och flödet för allvarliga incidenter.
Aktivt utnyttjad sårbarhet:
| Steg | Tidsgräns | Minimiinnehåll |
|---|---|---|
| Tidig varning | 24h från kännedom | Uppgift om att en sårbarhet aktivt utnyttjas. Medlemsstater där produkten tillhandahålls, om dessa är kända. |
| Sårbarhetanmälan | 72h från kännedom | Allmän information om produkten. Exploateringens och sårbarhetens allmänna karaktär. Vidtagna korrigerande eller begränsande åtgärder. Åtgärder användare kan vidta. Känslighetsangivelse. |
| Slutrapport | 14 dagar efter att en korrigerande eller begränsande åtgärd finns tillgänglig | Beskrivning av sårbarheten inklusive allvarlighet och påverkan. Information om eventuella skadliga aktörer som utnyttjar den, om tillgänglig. Uppgifter om säkerhetsuppdatering eller korrigerande åtgärd. |
Allvarlig incident med påverkan på produktens säkerhet:
| Steg | Tidsgräns | Minimiinnehåll |
|---|---|---|
| Tidig varning | 24h från kännedom | Om incidenten misstänks ha orsakats av olagliga eller skadliga handlingar. Medlemsstater där produkten tillhandahålls, om dessa är kända. |
| Incidentanmälan | 72h från kännedom | Incidentens karaktär. Inledande bedömning. Vidtagna korrigerande eller begränsande åtgärder. Åtgärder användare kan vidta. Känslighetsangivelse. |
| Slutrapport | 1 månad efter 72-timmarsanmälan om incidenten | Detaljerad beskrivning av incidenten inklusive allvarlighet och påverkan. Typ av hot eller grundorsak som sannolikt utlöst den. Tillämpade och pågående begränsningsåtgärder. |
Den CSIRT som utsetts som koordinator kan också begära en mellanrapport mellan 72-timmarsanmälan och slutrapporten. Inget flöde kräver CVE-identifierare eller CVSS-poäng vid den tidiga varningen. 24-timmarsskyldigheten är att anmäla, inte att ha slutfört analysen. Fullständig teknisk detalj hör hemma i anmälnings- och slutrapportsstegen.
Intern eskalering: att klara 24h-klockan
24-timmarsklockan startar vid kännedom, inte vid bekräftelse. Det svåra är att ta sig från "vi fick precis kännedom" till "vi har precis lämnat in" inom 24 timmar, inklusive utanför ordinarie arbetstid. En triageprocess som "brukar ta 48 timmar" är strukturellt icke-efterlevnadsenlig. Detektion, triage, parallell juridisk granskning och inlämning ska alla rymmas inom samma kalenderdygn, inklusive helger och utanför ordinarie arbetstid.
| Steg | Inom 24h? | Kommentar |
|---|---|---|
| Detektion | Ja | Intern teknik, kundrapporter, övervakning, hotunderrättelse, CVD-intag. Triagevägar för "aktivt utnyttjad" och "allvarlig incident" måste vara separata. |
| Triage | Ja | Använd allvarlighetsgraderings-signaler (CVSS / EPSS / KEV) som underlag. Exploateringsbevis är utlösaren. Allvarlighetsgrad ensam räcker inte. |
| Juridisk granskning | Parallellt | En seriell väntan på juridiskt godkännande förlorar 24 timmar. Tillverkaren kan flagga känslighet, och plattformen kan hålla tillbaka spridning av cybersäkerhetsskäl. |
| Tidig varning via den gemensamma rapporteringsplattformen | Ja | Sårbarhetsflödet eller flödet för allvarliga incidenter. |
| 72h-anmälan | Efter 24h | Inom 72 timmar från kännedom. |
| Slutrapport | 14 dagar (sårbarhet) / 1 månad (incident) | Sårbarheter: 14 dagar från det att en korrigerande åtgärd blivit tillgänglig. Allvarliga incidenter: en månad från 72-timmarsanmälan. |
CSIRT-routing
CSIRT-routing följer tillverkarens huvudsakliga etablering i unionen, alltså den medlemsstat där cybersäkerhetsbeslut för produkten huvudsakligen fattas. Utan huvudsaklig etablering i unionen går reservkedjan via AR:s medlemsstat, sedan importörens, sedan distributörens och därefter användarkoncentrationen. Efter inlämningen sker gränsöverskridande spridning till CSIRT:er i andra berörda medlemsstater inne i den gemensamma rapporteringsplattformen.
ENISA uppger att listan över nationella CSIRT:er som utsetts som koordinatorer publiceras vid ett senare tillfälle. Bekräfta din koordinatortilldelning mot ENISA:s vägledning när den listan är publicerad.
Den gemensamma rapporteringsplattformen kontra direkt CSIRT-kontakt
Att mejla en nationell CSIRT direkt uppfyller inte CRA:s rapporteringsskyldighet, även om tillverkaren har en befintlig arbetsrelation med den CSIRT:en.
| Kanal | Obligatorisk för CRA-rapporter? | Vad den täcker |
|---|---|---|
| Den gemensamma rapporteringsplattformen | Ja | Rapporter om aktivt utnyttjade sårbarheter. Rapporter om allvarliga incidenter. Frivilliga anmälningar. 72-timmarsanmälningar och slutrapporter. |
| Direkt kontakt med nationell CSIRT | Nej | Samordning av koordinerad sårbarhetshantering. Delning av sektorspecifik hotinformation. Informellt samarbete kring incidentrespons. |
Tillverkare som har en befintlig relation med en nationell CSIRT kan behålla den för samordnad sårbarhetshantering och sektorspecifikt informationsutbyte. Det som måste gå via den gemensamma rapporteringsplattformen: varje obligatorisk anmälan enligt Artikel 14. Plattformen hanterar gränsöverskridande routing till berörda CSIRT:er i andra medlemsstater automatiskt. En inlämning når alla relevanta CSIRT:er.
Vanliga fallgropar
- Registrering först efter den första anmälningspliktiga händelsen. 24-timmarsklockan stannar inte för onboarding. Registrera er i god tid före 11 september 2026.
- En generisk security@-adress med autosvar. Strider mot kravet på en användarvänd kanal och är olämplig för plattformens myndighetskanal.
- Inga eller inaktuella produkter kopplade till registreringen. Den tidiga varningen måste ange de medlemsstater där produkten har tillhandahållits. Utan en aktuell inventering är den tidiga varningen ofullständig.
- Inget internt SLA för 24-timmarsklockan. Från detektion till inlämning krävs en explicit tidsbudget.
- Inlämning via nationell CSIRT-e-post. Den gemensamma rapporteringsplattformen är den utpekade kanalen. E-post till en nationell CSIRT är inte likvärdigt.
- AR behandlas som en vidarebefordransadress. En tillverkare utanför EU:s AR-mandat måste uttryckligen täcka rapportering, och AR måste kunna stödja inlämning via plattformen.
Vanliga frågor
Är den gemensamma rapporteringsplattformen i drift än, och när går den i drift?
Inte än. Den gemensamma rapporteringsplattformen är inte i drift för tillverkarrapportering idag. Den går i drift den 11 september 2026. ENISA utvecklar den med CSIRT-nätverket, och från det datumet måste tillverkare kunna lämna in rapporteringspliktiga aktivt utnyttjade sårbarheter och allvarliga incidenter via plattformen. ENISA uppger att åtkomstmanualen och registreringsanvisningarna publiceras under juni 2026. Tills de är publicerade är registreringsflödet, credentialmekanismen och de elektroniska anmälningsändpunkterna fortfarande föremål för ENISA:s specifikationer. Verifiera mot ENISA:s aktuella vägledning innan du förlitar dig på ett specifikt UI-steg.
Registrerar sig importörer och distributörer på den gemensamma rapporteringsplattformen?
Nej. Importörer och distributörer tar inte över tillverkarens rapporteringsskyldighet via den gemensamma rapporteringsplattformen. Deras CRA-skyldighet är att utan onödigt dröjsmål informera tillverkaren om en sårbarhet. Rapportering via plattformen förblir tillverkarens skyldighet.
Kan en tillverkare utanför EU registrera sig direkt?
Möjligen, men reservkedjan spelar roll. Ett skriftligt AR-mandat kan täcka obligatorisk rapportering eftersom AR-undantagen inte omfattar själva rapporteringen. För en tillverkare utan huvudsaklig etablering i unionen följer routingen sedan den tillgängliga kedjan: auktoriserad representant, importör, distributör, därefter användarkoncentration.
Hur vet jag om jag ska anmäla en aktivt utnyttjad sårbarhet eller en allvarlig incident?
De två flödena täcker olika angreppspunkter. En aktivt utnyttjad sårbarhet är ett fel i din produkt som en illvillig aktör använder mot dina användare. En allvarlig incident är bredare: varje incident som kan skada produktens förmåga att skydda tillgängligheten, äktheten, integriteten eller konfidentialiteten hos viktiga data eller funktioner, eller som kan leda till att skadlig kod körs i produkten eller i en användares system. Ett intrång i din egen bygg-, release- eller underhållsinfrastruktur som innebär risk för användarna är ett exempel, till exempel om en angripare infogar skadlig kod i din uppdaterings-releasekanal.
En bug bounty-rapport eller en rapport om koordinerad sårbarhetshantering utlöser inget av flödena på egen hand. Obligatorisk anmälan gäller när du har en aktivt utnyttjad sårbarhet eller en kvalificerande allvarlig incident.
Samma attack kan korsa båda gränserna samtidigt. Om en angripare utnyttjar ett fel i din produkt och använder den åtkomsten för att kompromissa din bygginfrastruktur lämnar du in två separata rapporter, en för varje flöde, båda med 24-timmars tidig varning från samma ögonblick av kännedom.
Exakt när börjar 24-timmarsklockan?
Det ögonblick någon i ditt säkerhetsteam har trovärdig information om att en anmälningspliktig händelse pågår. Inte när ledningen informeras. Inte när juridik bekräftar det. Inte när grundorsaken är fastställd.
Den 24-timmars tidiga varningen behöver bara innehålla en uppgift om aktivt utnyttjande och de medlemsstater där din produkt finns tillgänglig. Den detaljerade tekniska analysen hör hemma i 72-timmarsanmälan. Förordningen är utformad så: du anmäler först och utreder parallellt.
Det finns ingen bedömningsgrace-period. Klockan löper från den första trovärdiga kännedomen.
Vad händer om vår inlämning till den gemensamma rapporteringsplattformen misslyckas?
Använd plattformen först och spara bevis på felet. Den gemensamma rapporteringsplattformen är den obligatoriska rapporteringskanalen. Fallback-beteende bör följa ENISA:s eller koordinator-CSIRT:s vägledning när den finns tillgänglig. Tekniska problem tar inte bort 24-timmarsskyldigheten. Spara tidsstämplade noteringar för avbrottet, inlämningsförsöket och eventuell alternativ kontakt som använts.
Är den enda kontaktpunkten för användare samma som registreringskontakten på den gemensamma rapporteringsplattformen?
Nej. Användarkontakten och plattformens myndighetskontakt har olika målgrupper. Den användarvända kontakten tar emot sårbarhetsrapporter från användare och får inte begränsas till automatiserade verktyg. Plattformens myndighetskontakt bör dirigera meddelanden från ENISA och koordinator-CSIRT till rapporteringsteamet, även om ENISA senare anger exakta registreringsfält.