CRA sårbarhetsrapportering: ENISA SRP-onboarding (artikel 14)

EU:s cyberresilienslag (förordning (EU) 2024/2847) leder varje tillverkares Artikel 14-rapporter genom en enda kanal: ENISA:s enda rapporteringsplattform (SRP), inrättad enligt Artikel 16. Plattformen är ännu inte i drift. ENISA utvecklar den enligt Artikel 16(5); den träder i drift när Artikel 14 börjar tillämpas den 11 september 2026 (Artikel 71(2)). Den här sidan täcker vad tillverkare bör förbereda nu, det förväntade registreringsflödet och hur man kopplar en intern eskaleringsrutin till 24-timmarsklockan. För kadenser, se sårbarshetsrapportering.

Sammanfattning

  • SRP är den enda Artikel 14-kanalen. Artikel 14(1) och 14(3) kräver att tillverkare anmäler ENISA och koordinator-CSIRT "via den enda rapporteringsplattform som inrättats i enlighet med Artikel 16". Nationell CSIRT-e-post är inte ett substitut.
  • Registrera dig innan den första anmälningspliktiga händelsen. 24-timmarsklockan i Artikel 14(1) pausar inte för onboarding. Ett typiskt onboardingfönster på ungefär en vecka förutsätter att inloggningsuppgifter, kontaktuppgifter och produktportföljdata redan är i ordning.
  • Tillverkare är de skyldiga parterna. Importörer och distributörer lämnar inte in Artikel 14-rapporter; de informerar tillverkaren (Artikel 19(5) andra stycket; Artikel 20(4) andra stycket). Auktoriserade representanter kan lämna in på uppdrag av en tillverkare utanför EU om AR-mandatet täcker det.
  • Två kontakter, två kanaler. Den enda kontaktpunkten i Artikel 13(17) är den användarorienterade kanalen. SRP-registreringskontakten är den myndighetsriktade kanalen. Båda krävs och de bör inte dela samma adress.
  • CSIRT-routing följer huvudetableringen. Artikel 14(7) skickar anmälningar till den CSIRT som utsetts som koordinator i den medlemsstat där tillverkaren har sin huvudsakliga etablering, med en reservkedja för tillverkare utanför EU.
11 sep 2026
Rapportering börjar
Artikel 71(2)
24h
SRP tidig varning
Artikel 14(1)
7 dagar
Typisk onboarding
registrera dig före varje anmälningspliktig händelse
€15M / 2,5%
Högsta bötenivå
Artikel 64(2)

Onboarding är en deadline, inte ett eftersläpningsobjekt: registreringen måste ske före den första händelse som startar 24-timmarsklockan.

Vad cyberresilienslagen säger om SRP

Artikel 16(1) är den konstituerande bestämmelsen:

För de anmälningar som avses i Artikel 14(1) och (3) och Artikel 15(1) och (2) och för att förenkla tillverkarnas rapporteringsskyldigheter ska ENISA inrätta en enda rapporteringsplattform. Den dagliga driften av den enda rapporteringsplattformen ska skötas och upprätthållas av ENISA. Arkitekturen för den enda rapporteringsplattformen ska göra det möjligt för medlemsstaterna och ENISA att inrätta egna elektroniska anmälningsändpunkter.

Tre operativa fakta följer. För det första driver ENISA plattformen, men medlemsstaterna kopplar in sina egna elektroniska anmälningsändpunkter. För det andra anger Artikel 14(7) att anmälan "ska lämnas in via den elektroniska anmälningsändpunkten för den CSIRT som utsetts som koordinator i den medlemsstat där tillverkarna har sin huvudsakliga etablering inom unionen och ska vara tillgänglig för ENISA samtidigt": en inlämning, två mottagare. För det tredje ger Artikel 16(2) den mottagande CSIRT:en skyldigheten att sprida anmälan till andra CSIRT:er i de territorier som tillverkaren har angett som berörda. Gränsöverskridande routing sker inuti plattformen.

SRP tar också emot frivilliga rapporter enligt Artikel 15 och är kanalen för 72-timmarsanmälan och slutrapporten enligt Artikel 14(2) och 14(4). Båda strömmarna delar samma SRP och samma registrering.

Vem måste registrera sig

Artikel 14 gäller tillverkare av produkter med digitala element. Rapporteringsskyldigheterna i Artikel 14(1) och 14(3) riktar sig till tillverkaren och enbart tillverkaren.

Importörer och distributörer har lättare skyldigheter. Enligt Artikel 19(5) andra stycket ska en importör som blir medveten om en sårbarhet "utan onödigt dröjsmål informera tillverkaren om den sårbarheten"; distributörer bär motsvarande skyldighet enligt Artikel 20(4) andra stycket. Ingen av dem registrerar sig på SRP, ingen lämnar in Artikel 14-rapporter och ingen ärver 24-timmarsklockan. Se importör och distributör.

En tillverkare utanför EU kan kanalisera Artikel 14-skyldigheterna via en auktoriserad representant enligt Artikel 18, förutsatt att mandatet täcker rapportering. Artikel 18(2) utesluter Artikel 13(1) till (11), Artikel 13(12) första stycket och Artikel 13(14) från AR-mandatet, men utesluter inte Artikel 14, varför ett skriftligt mandat som uttryckligen täcker Artikel 14-rapportering är verkställbart. AR innehar SRP-uppgifterna och lämnar in anmälningar på tillverkarens vägnar.

Förutsättningar inför registreringen

Sex uppgifter som organisationen måste ha redo före registreringen. Saknas någon av dem vid registreringstillfället blockeras onboardingen.

Krav Artikel Vad du behöver
Juridisk person i den medlemsstat där huvudetableringen finns Artikel 14(7) En otvetydig juridisk-enhetsuppgift som låter SRP tilldela koordinator-CSIRT (den stat "där beslut om cybersäkerheten för dess produkter med digitala element huvudsakligen fattas").
Enda kontaktpunkt enligt Artikel 13(17) Artikel 13(17) tredje stycket En användarorienterad kanal som "inte ska begränsa sådana möjligheter till automatiserade verktyg". Postlådor med enbart automatisk avsändning uppfyller inte kravet. Publiceras i Bilaga II-informationen till användarna.
Separat myndighetsriktad säkerhetskontakt Artikel 14 + Artikel 16(5) (förväntas) En andra kontakt för ENISA och koordinator-CSIRT, skild från den användarorienterade kanalen i 13(17). Samma postlåda bör inte hantera båda.
Inloggningsuppgifter Artikel 16(5) (specifikation pågår) EU-tillverkare bör förvänta sig eIDAS-erkänd elektronisk identifiering. Tillverkare utanför EU verifierar identitet via AR-kedjan. Exakta tekniska inloggningsuppgifter ingår i specifikationerna i Artikel 16(5).
Produktportföljsinventering Artikel 14(2)(a) En aktuell lista över produkter och de medlemsstater där var och en har gjorts tillgänglig. Utan den kan den tidiga varningen inte ange de berörda territorierna korrekt.
Dokumenterad intern eskalering Artikel 14(1) En skriftlig rutin som tar organisationen från upptäckt till SRP-inlämning inom 24 timmar, med jour utanför ordinarie arbetstid. "Utan onödigt dröjsmål och under alla omständigheter inom 24 timmar" lämnar inget utrymme för ad hoc-eskalering.

Tidslinje: från idag till den första anmälningspliktiga händelsen

SRP-tidslinje: ENISA bygger plattformen och tillverkaren förbereder sig på var sin sida om brytpunkten den 11 september 2026 Ett tvåradigt diagram. Raderna delar upp ENISA:s ansvar från tillverkarens. Kolumnerna delar tidslinjen vid den 11 september 2026: förberedelser före omställning till vänster, live-drift efter omställning till höger. ENISA före omställning bygger plattformen enligt specifikationerna i Artikel 16(5) och genomförandeakterna i Artikel 14(10); ENISA efter omställning är SRP som tar emot varje Artikel 14-anmälan. Tillverkaren före omställning förbereder juridisk person, separata 13(17)- och SRP-kontakter, produktportfölj, 24h-eskalerings-SLA och AR-mandat där tillämpligt; efter omställning är tillverkaren registrerad och kör 24-timmarsklockan i Artikel 14(1) vid den första händelsen. SRP-omställning: ENISA bygger och tillverkaren förbereder sig på var sin sida om 11 sep 2026 11 sep 2026 FÖRE OMSTÄLLNING (idag → 11 sep 2026) EFTER OMSTÄLLNING (Artikel 14 gäller) ENISA Tillverkare Bygger SRP Art. 16(5) specifikationer Art. 14(10) genomförandeakter SRP i drift Tar emot varje Artikel 14-rapport CSIRT-routing enligt Art. 14(7) + 16(2) Förbered Juridisk person, separata kontakter, produktportfölj, 24h-SLA, AR-mandat Registrerad, 24h-redo Första händelsen utlöser Art. 14(1): kännedom → 24h tidig varning
Den 11 september 2026 är fastställd genom Artikel 71(2). Före omställning är förberedelse; efter omställning är reglerad rapportering mot en 24-timmarsklocka. Vi uppdaterar den här sidan när ENISA publicerar det aktiva registreringsflödet.
SRP är ännu inte i drift

ENISA bygger plattformen enligt Artikel 16(5) i samarbete med CSIRT-nätverket. De exakta registreringsskärmarna, autentiseringsmekanismen och de elektroniska anmälningsändpunkterna omfattas av specifikationerna i Artikel 16(5) och genomförandeakterna i Artikel 14(10). Ramverket nedan återspeglar förordningens text och vad som är offentligt känt per 2026-05-05; verifiera mot aktuell ENISA-vägledning innan du behandlar något specifikt UI-steg som slutgiltigt. Den 11 september 2026 som brytpunkt för Artikel 14:s tillämpbarhet är fastställd genom Artikel 71(2).

Förväntat registreringsflöde

De exakta registreringsskärmarna beror på specifikationerna i Artikel 16(5) och genomförandeakterna i Artikel 14(10), som båda fortfarande är under färdigställande. Vi uppdaterar det här avsnittet när ENISA publicerar det aktiva flödet. Baserat på förordningens text kan registreringen förväntas verifiera den juridiska personen, registrera SRP-myndighetskontakten (skild från Artikel 13(17)-användarkontakten), registrera produktportföljen med dess täckning per medlemsstat och tilldela koordinator-CSIRT enligt Artikel 14(7). Efter registreringen hanterar samma ändpunkt varje senare inlämning: 24-timmars tidig varning, 72-timmarsanmälan, mellanrapporter på CSIRT-begäran (Artikel 14(6)) och slutrapporten.

Intern eskalering: att klara 24-timmarsklockan

Artikel 14(1) startar klockan vid kännedom, inte vid bekräftelse. Det svåra är att ta sig från "vi fick precis kännedom" till "vi har precis lämnat in" inom 24 timmar, inklusive utanför ordinarie arbetstid.

Steg Inom 24h? Kommentar
Detektion Ja Intern teknik, kundrapporter, övervakning, hotunderrättelse, CVD-intag. Triagevägar för "aktivt utnyttjad" och "allvarlig incident" måste vara separata.
Triage Ja Använd allvarlighetsgraderings-signaler (CVSS / EPSS / KEV) som underlag. Exploateringsbevisen är utlösaren enligt Artikel 14(1); allvarlighetsgrad ensam räcker inte.
Juridisk granskning Parallellt En seriell väntan på juridiskt godkännande förlorar 24h. Artikel 14(2)(a) låter tillverkaren flagga känslighet; Artikel 16(2) låter plattformen hålla tillbaka spridning av cybersäkerhetsskäl.
SRP tidig varning Ja Artikel 14(2)(a) eller 14(4)(a).
72h-anmälan Efter 24h Artikel 14(2)(b) eller 14(4)(b).
Slutrapport 14 dagar (sårbarhet) / 1 månad (incident) Artikel 14(2)(c) från det att en korrigerande åtgärd blivit tillgänglig; Artikel 14(4)(c) från 72h-anmälan. Olika klockor.

En triageprocess som "brukar ta 48 timmar" är strukturellt icke-efterlevnadsenlig.

CSIRT-routing

Artikel 14(7) leder anmälan till den CSIRT i den medlemsstat där tillverkaren har sin huvudsakliga etablering ("där beslut om cybersäkerheten för dess produkter med digitala element huvudsakligen fattas"). För tillverkare utan huvudsaklig etablering inom unionen tillämpar tredje stycket en fyrastegs-reservkedja: AR:s medlemsstat, sedan importörens, sedan distributörens, sedan användarkoncentrationen. Efter inlämningen hanterar Artikel 16(2) gränsöverskridande spridning till CSIRT:er i andra berörda medlemsstater.

Vanliga fallgropar

  • Registrering sker först efter den första anmälningspliktiga händelsen. 24-timmarsklockan stannar inte för onboarding. Registrera dig i god tid före den 11 september 2026.
  • En generisk security@-adress med autosvar. Strider mot Artikel 13(17) tredje stycket för den användarorienterade kanalen och är olämplig för SRP:s myndighetskanal.
  • Inga eller inaktuella produkter kopplade till registreringen. Artikel 14(2)(a) kräver att den tidiga varningen anger berörda medlemsstater; utan en aktuell inventering är den tidiga varningen ofullständig.
  • Inget internt SLA för 24-timmarsklockan. Från detektion till inlämning krävs en explicit tidsbudget.
  • Inlämning via nationell CSIRT-e-post. Artikel 14(1) och 14(3) anger SRP. E-post till en nationell CSIRT är inte likvärdigt.
  • AR behandlas som en vidarebefordransadress. En tillverkare utanför EU:s AR-mandat enligt Artikel 18(1) måste uttryckligen täcka Artikel 14-rapportering och AR måste inneha SRP-uppgifterna.

Vanliga frågor

Är SRP i drift idag?

Nej. ENISA utvecklar plattformen enligt Artikel 16(5) i samarbete med CSIRT-nätverket. Artikel 71(2) fastställer det operativa datumet till den 11 september 2026, när Artikel 14 börjar tillämpas. Plattformens exakta registreringsflöde, autentiseringsmekanism och elektroniska anmälningsändpunkter omfattas av specifikationerna i Artikel 16(5) och genomförandeakterna i Artikel 14(10). Behandla aktuell offentlig vägledning som preliminär och verifiera mot ENISA innan du förlitar dig på något specifikt UI-steg.

När öppnar SRP för tillverkares rapportering?

Artikel 71(2) anger: "Artikel 14 ska tillämpas från och med den 11 september 2026". Det är när tillverkare måste kunna lämna in via SRP. Plattformens operativa driftsättning fastställs av ENISA enligt Artikel 16(5) och genomförandeakterna i Artikel 14(10); verifiera mot aktuell ENISA-vägledning när datumet närmar sig.

Registrerar sig importörer och distributörer på SRP?

Nej. Deras skyldighet är att informera tillverkaren om en sårbarhet enligt Artikel 19(5) andra stycket (importörer) och Artikel 20(4) andra stycket (distributörer). Artikel 14-rapportering via SRP är tillverkarens skyldighet.

Kan en tillverkare utanför EU registrera sig direkt?

Normalt sker det via en auktoriserad representant enligt Artikel 18(1), med ett skriftligt mandat som täcker Artikel 14-rapportering. AR innehar SRP-uppgifterna och lämnar in på tillverkarens vägnar. AR kan inte ersätta tillverkaren för skyldigheter som undantas av Artikel 18(2) (Artikel 13(1) till (11), Artikel 13(12) första stycket, Artikel 13(14)).

Vad händer om vår SRP-inlämning misslyckas?

SRP är den angivna kanalen enligt Artikel 14(1) och 14(3). Om plattformen är otillgänglig, kontakta koordinator-CSIRT via den publicerade kontakten för dess elektroniska anmälningsändpunkt och dokumentera felet. 24-timmarsklockan pausas inte av tekniska problem; sträva efter bästa möjliga anmälan inom fönstret plus en fullständig dokumentation av varför SRP var onåbar.

Är den enda kontaktpunkten i Artikel 13(17) samma som SRP-registreringskontakten?

Nej. Artikel 13(17) är en användarorienterad kanal som "inte ska begränsa sådana möjligheter till automatiserade verktyg" och publiceras i Bilaga II-informationen till användarna. SRP-registreringskontakten är en myndighetsriktad kanal för ENISA och koordinator-CSIRT. Båda krävs och de bör inte dela samma postlåda.

Nästa steg för att vara redo den 11 september 2026

  1. Följ ENISA:s vägledning om SRP och specifikationerna i Artikel 16(5). Prenumerera på ENISA-uppdateringar och koordinator-CSIRT:ens bulletin i din medlemsstat så att teamet vet om det den dag registreringsflödet öppnar.
  2. Utse en SRP-kontaktpunkt som är skild från den användarorienterade enda kontaktpunkten i Artikel 13(17).
  3. Dokumentera det interna eskaleringsflödet från detektion till tidig varning, med ett explicit SLA inom 24 timmar och jour utanför ordinarie arbetstid.
  4. Genomför en tabletop-övning som simulerar en aktivt utnyttjad sårbarhet och verifierar att en SRP-inlämning kan slutföras inom Artikel 14(1)-fönstret. Använd den av ENISA publicerade rapportmallen som ersättning tills det riktiga formuläret är slutgiltigt.
  5. Om du förlitar dig på en auktoriserad representant, bekräfta att AR-mandatet enligt Artikel 18(1) täcker Artikel 14-rapportering och att AR innehar SRP-uppgifterna och en aktuell produktportföljsmappning.
  6. Bekräfta att CSIRT-routingen i Artikel 14(7) stämmer överens med din faktiska huvudsakliga etablering.
  7. För kadenser och den juridiska definitionen av "aktivt utnyttjad", fortsätt med sårbarshetsrapportering; för hanteringsregimet se sårbarshetshantering; för tillverkarens skyldigheter i sin helhet, se rollsidan.