Fra den 11. september 2026 skal fabrikanter indberette aktivt udnyttede sårbarheder og alvorlige hændelser, der påvirker sikkerheden af produkter med digitale elementer.
Hvad er de vigtigste regler?
Kreditvurderingsbureauet kræver, at fabrikanterne underretter om aktivt udnyttede sårbarheder og alvorlige hændelser, der har indvirkning på sikkerheden af deres produkt med digitale elementer. De skal indsende en tidlig varsling inden for 24 timer efter, at de er blevet opmærksomme på det, og en fuldstændig underretning inden for 72 timer. Der skal indsendes en endelig rapport senest 14 dage efter, at en korrigerende foranstaltning er tilgængelig for aktivt udnyttede sårbarheder, og inden for en måned for alvorlige hændelser.
Fabrikanterne rapporterer kun én gang via CRA Single Reporting Platform (SRP). Underretningen sendes til den enhed, der håndterer IT-sikkerhedshændelser (CSIRT), hvor de har deres hovedvirksomhed, og medmindre særlige ekstraordinære omstændigheder gør sig gældende, stilles oplysningerne samtidig til rådighed for ENISA. Den CSIRT, der oprindeligt modtog underretningen, vil straks dele underretningen med alle de andre CSIRT'er, på hvis område produktet med digitale elementer er gjort tilgængeligt.
Under ekstraordinære omstændigheder og på grundlag af begrundede cybersikkerhedsrelaterede årsager kan CSIRT'en beslutte at udsætte formidlingen til andre CSIRT'er: Den 11. december 2025 vedtog Kommissionen en delegeret retsakt, der yderligere præciserer vilkårene og betingelserne for anvendelse af sådanne cybersikkerhedsrelaterede grunde.
Hvornår vil den fælles rapporteringsplatform for kreditvurderingsbureauer blive færdiggjort?
I henhold til artikel 16 i forordningen om kreditvurderingsbureauer har ENISA til opgave at oprette den fælles indberetningsplatform for kreditvurderingsbureauer.
ENISA iværksatte et offentligt udbud og har indkøbt tjenesteydelser fra en kontrahent for at bistå med udviklingen af genopretnings- og resiliensplanen.
Den fælles indberetningsplatform vil være operationel senest den 11. september 2026 (datoen for anvendelse af kreditvurderingsbureauets indberetningskrav) med en testperiode inden da.
Yderligere oplysninger om CRA SRP vil snart blive stillet til rådighed.
Relevante samarbejdsorganer
Referencedokumenter og links
Ofte stillede spørgsmål om gennemførelsen af kreditvurderingsbureauer
Delegeret retsakt om CSIRT'er, der tilbageholder underretninger, der skal formidles via den fælles indberetningsplatform (vedtaget, offentliggørelse afventer indsigelsesperiode)
Se også
Det store billede