Valmistajien on 11. syyskuuta 2026 alkaen raportoitava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista, jotka vaikuttavat digitaalisia elementtejä sisältävien tuotteiden turvallisuuteen.
Mitkä ovat tärkeimmät säännöt?
Luottoluokituslaitos edellyttää, että valmistajat ilmoittavat aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista, jotka vaikuttavat niiden digitaalisia elementtejä sisältävän tuotteen turvallisuuteen. Heidän on annettava ennakkovaroitus 24 tunnin kuluessa tiedon saamisesta ja täydellinen ilmoitus 72 tunnin kuluessa. Loppuraportti on toimitettava viimeistään 14 päivän kuluttua siitä, kun aktiivisesti hyödynnettyjä haavoittuvuuksia koskeva korjaava toimenpide on käytettävissä, ja kuukauden kuluessa vakavista poikkeamista.
Valmistajat raportoivat vain kerran CRA:n keskitetyn raportointialustan (Single Reporting Platform, SRP) kautta. Ilmoitus osoitetaan tietoturvaloukkauksiin reagoivalle CSIRT-ryhmälle (Computer Security Incident Response Team), jossa sen päätoimipaikka sijaitsee, ja tiedot asetetaan ENISAn saataville samanaikaisesti, ellei kyse ole erityisen poikkeuksellisista olosuhteista. Ilmoituksen alun perin vastaanottanut CSIRT-yksikkö toimittaa ilmoituksen viipymättä kaikille muille CSIRT-yksiköille, joiden alueella digitaalisia elementtejä sisältävä tuote on asetettu saataville.
Poikkeuksellisissa olosuhteissa ja kyberturvallisuuteen liittyvien perusteltujen syiden perusteella CSIRT-yksikkö voi päättää lykätä tulosten levittämistä muille CSIRT-yksiköille: Komissio hyväksyi 11 päivänä joulukuuta 2025 delegoidun säädöksen, jossa täsmennetään tällaisten kyberturvallisuuteen liittyvien syiden soveltamista koskevat ehdot ja edellytykset.
Milloin luottoluokituslaitosten yhteinen raportointialusta saadaan valmiiksi?
Luottoluokituslaitoksen 16 artiklan mukaan ENISAn tehtävänä on perustaa luottoluokituslaitosten yhteinen raportointialusta.
ENISA käynnisti julkisen tarjouskilpailun ja on hankkinut palveluja urakoitsijalta avustaakseen SRP:n kehittämisessä.
Yhteinen raportointialusta on toiminnassa 11. syyskuuta 2026 mennessä (luottoluokituslaitosten raportointivaatimusten soveltamisen alkamispäivä) ja sitä edeltävä testausjakso.
ENISA on julkaissut CRA SRP:tä koskevan usein kysytyn kysymyksen, joka on saatavilla tästä linkistä.
Asiaankuuluvat yhteistyöelimet
Viiteasiakirjat ja linkit
Usein kysyttyjä kysymyksiä luottoluokituslaitoksen täytäntöönpanosta
Usein kysyttyjä kysymyksiä CRA SRP:stä
Delegoitu säädös CSIRT-yksiköistä, jotka pidättävät keskitetyn raportointialustan kautta jaettavat ilmoitukset (hyväksytty, julkaiseminen vastalauseiden esittämisen määräaikaa odotettaessa)
Aiheeseen liittyvää
Aiheesta laajemmin