Od 11 września 2026 r. wszyscy producenci w zakresie muszą zgłaszać ENISA aktywnie wykorzystywane luki i poważne incydenty — zanim reszta CRA zacznie obowiązywać w grudniu 2027 r.
Artykuł 14 Rozporządzenia (UE) 2024/2847 tworzy obowiązkowy trzyetapowy łańcuch zgłoszeń do ENISA za każdym razem, gdy producent odkryje, że luka w jego produkcie jest aktywnie wykorzystywana przez atakujących lub że doszło do poważnego incydentu.
Jest to odrębne od — i dodatkowo do — powiadamiania użytkowników (Art. 14(4)), które musi nastąpić równocześnie. Zgłoszenie do ENISA nie zastępuje powiadomienia użytkowników.
Zgłoszenia składane są za pośrednictwem jednolitej platformy zgłoszeń ENISA, która kieruje informacje do właściwych krajowych CSIRT. Platforma musi być operacyjna przed 11 września 2026 r.
Zegar zaczyna biec od momentu, w którym producent powziął wiedzę o aktywnym wykorzystaniu — nie od chwili potwierdzenia lub pełnej analizy luki.
24 godziny
Wczesne ostrzeżenie
Sygnał do ENISA, że poważne zdarzenie jest w toku. Wymagane minimalne szczegóły — priorytetem jest szybkość.
72 godziny
Pełne powiadomienie
Szczegółowe powiadomienie do ENISA: identyfikacja produktu, opis luki, stopień zagrożenia, wpływ oraz podjęte lub planowane środki naprawcze lub łagodzące.
14 dni
Raport końcowy
Pełna analiza: identyfikator CVE, wynik CVSS, przyczyna źródłowa, wdrożona remediacja i potwierdzenie, że użytkownicy zostali poinformowani.
Równolegle z łańcuchem zgłoszeń ENISA producenci muszą powiadamiać użytkowników bez zbędnej zwłoki. Nie czekaj na pełną poprawkę — użytkownicy muszą wiedzieć:
Wszyscy producenci objętych produktów z elementami cyfrowymi — niezależnie od klasy produktu. Art. 14 obowiązuje każdego producenta od 11 września 2026 r.
Nie mają bezpośredniego obowiązku zgłaszania do ENISA na mocy Art. 14. Muszą jednak przekazywać informacje o lukach producentom bez zbędnej zwłoki (Art. 20 / Art. 24).
Cztery atomowe obowiązki — każdy z odwołaniem do artykułu rozporządzenia, ze wskazówkami dotyczącymi dowodów i wyjaśnieniami w prostym języku.
Producenci muszą zgłaszać wszelkie aktywnie wykorzystywane podatności w swoim produkcie do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (powiadomienie). Końcowy raport należy złożyć w ciągu 14 dni. Obowiązek ten ma zastosowanie od 11 września 2026 r.
W ciągu 72 godzin od powzięcia wiedzy o aktywnie wykorzystywanej podatności w produkcie producenci muszą złożyć szczegółowe powiadomienie o podatności do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej. Następuje to po 24-godzinnym wczesnym ostrzeżeniu (OBL-ART14-01) i musi zawierać szczegóły techniczne dotyczące podatności i dotkniętego produktu.
W ciągu 14 dni od powzięcia wiedzy o aktywnie wykorzystywanej podatności producenci muszą złożyć do ENISA końcowy raport zawierający pełny opis podatności, podjęte działania naprawcze oraz informację o tym, czy podatność została publicznie ujawniona lub czy przypisano jej CVE.
W przypadku aktywnego wykorzystywania podatności producenci muszą powiadomić dotkniętych użytkowników bez zbędnej zwłoki. Powiadomienie musi zawierać informacje wystarczające do podjęcia przez użytkowników działań ochronnych, w tym środki łagodzące dostępne przed wydaniem poprawki.
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
Wprowadź moment powzięcia wiedzy o aktywnie exploitowanej podatności, aby obliczyć trzy terminy zgłoszeń do ENISA.
Open toolInteraktywne listy kontrolne dla każdego etapu trzystopniowego łańcucha zgłoszeń z Art. 14.
Open toolWygeneruj politykę skoordynowanego ujawniania podatności, plik security.txt i szablon workflow zgłoszeń ENISA.
Open toolPrzejrzyj wszystkie obowiązki producenta, poznaj swoją klasyfikację produktu i sprawdź pełny harmonogram regulacyjny.
