Cyber Resilience Act (CRA) wprowadza nowe obowiązki dla firm oferujących produkty cyfrowe na rynku Unii Europejskiej. Jednym z najważniejszych z nich jest zgłaszanie podatności CRA w ciągu 24 godzin od wykrycia aktywnego zagrożenia. To oznacza konieczność wdrożenia precyzyjnych i szybkich procedur wewnętrznych.
Wyjaśniamy, na czym polega zgłaszanie podatności CRA, kogo dotyczy ten obowiązek i jak go prawidłowo realizować.
Co oznacza zgłaszanie podatności CRA?
Zgodnie z artykułem 13 CRA, każdy producent produktu cyfrowego, który wykryje aktywnie wykorzystywaną podatność (tzw. exploited vulnerability), musi zgłosić ją w ciągu 24 godzin. Zgłoszenie podatności CRA musi trafić do krajowego CSIRT lub bezpośrednio do ENISA.
Ten obowiązek wchodzi w życie 11 września 2026 roku i dotyczy tysięcy firm w UE.
Kogo dotyczy obowiązek zgłaszania podatności CRA?
Zgłaszanie podatności CRA obowiązuje:
- producentów sprzętu i oprogramowania z komponentem cyfrowym,
- importerów i dystrybutorów w przypadku braku kontaktu z producentem,
- organizacje rozwijające firmware, aplikacje, systemy wbudowane lub urządzenia IoT.
Jeśli firma nie zgłosi poważnej podatności zgodnie z CRA, grozi jej kara do 15 milionów euro lub 2,5% globalnego rocznego obrotu.
Co podlega zgłoszeniu zgodnie z CRA?
Zgłaszanie podatności CRA obejmuje przypadki, w których:
- luka jest realnie wykorzystywana (np. wykryto exploit w środowisku produkcyjnym),
- podatność dotyczy sprzedawanego produktu cyfrowego,
- istnieje ryzyko naruszenia integralności, poufności lub dostępności danych użytkownika.
Zgłoszenie musi być złożone w ciągu 24 godzin od momentu wykrycia lub otrzymania wiarygodnej informacji o podatności.
Jak przygotować procedurę zgłaszania podatności CRA?
Wewnętrzny proces zgłoszeniowy
Każda organizacja powinna mieć jasno zdefiniowany proces zgłaszania podatności CRA. Proces powinien obejmować:
- mechanizm klasyfikacji podatności jako „krytyczna” lub „exploited”,
- automatyczne przypisanie zgłoszenia do zespołu odpowiedzialnego,
- szablon zgłoszenia z wymaganymi danymi,
- kanały komunikacji z CSIRT lub ENISA.
Integracja z narzędziami DevOps
Dobre praktyki to integracja zgłaszania podatności CRA z narzędziami, takimi jak:
- Jira – do śledzenia zadań,
- GitHub/GitLab – do wykrywania podatności w repozytoriach,
- CI/CD pipelines – do automatyzacji identyfikacji CVE.
Szkolenia i testy wewnętrzne
Firmy powinny przeprowadzać symulacje zgłaszania podatności CRA, aby upewnić się, że procedury działają poprawnie pod presją czasu.
Co powinno zawierać zgłoszenie podatności CRA?
Zgłoszenie podatności CRA powinno zawierać:
- identyfikator produktu (np. wersja oprogramowania),
- opis podatności i jej wpływ,
- datę wykrycia,
- dane kontaktowe zespołu odpowiedzialnego,
- działania naprawcze lub plan ich wdrożenia.
Zgłoszenie CRA musi być konkretne, techniczne i audytowalne.
Jak Cyrima wspiera zgłaszanie podatności CRA?
W obliczu wymogów Cyber Resilience Act, zwłaszcza obowiązku zgłaszania podatności w 24h, firmy potrzebują narzędzia, które nie tylko wspiera compliance, ale działa jako część ich codziennej pracy. Cyrima to właśnie takie rozwiązanie:
- Cyrima oferuje gotowy zestaw procesów i standardów, które można dostosować do wybranego produktu i klasy ryzyka.
- Knowledge Management Engine z pluginem do Jira – integracja pozwala osadzić wszystkie wymagane zadania bezpieczeństwa bezpośrednio w backlogach – od SBOM, poprzez identyfikację podatności, aż po procedurę wysyłki zgłoszenia CRA.
- Marketplace ekspertów on-demand – do wykonania audytu backward (pre-auditu), testów penetracyjnych są dostępni certyfikowani specjaliści – bez konieczności rekrutacji na stałe.
Dzięki Cyrimie proces zgłaszania podatności CRA staje się operacyjną przewagą – organizacje mogą zapewnić szybki czas reakcji, pełną dokumentację i skalowalność bez znacznych nakładów na osobne systemy lub jednostki compliance.
Czy Twoja organizacja ma gotowy proces zgłaszania podatności CRA?
Nie czekaj! Umów się na bezpłatną konsultację i zobacz, jak Cyrima może pomóc Ci spełnić wymogi Cyber Resilience Act i zautomatyzować cały proces.
