2026. szeptember 11-től a gyártóknak jelenteniük kell a digitális elemeket tartalmazó termékek biztonságát érintő, aktívan kihasznált sebezhetőségeket és súlyos eseményeket.
Melyek a fő szabályok?
A hitelminősítő intézet előírja a gyártók számára, hogy jelentsék be a digitális elemeket tartalmazó termékük biztonságára hatást gyakorló, aktívan kihasznált sebezhetőségeket és súlyos biztonsági eseményeket. A tudomásszerzéstől számított 24 órán belül korai figyelmeztetést kell benyújtaniuk, 72 órán belül pedig teljes körű értesítést kell küldeniük. Az aktívan kihasznált sebezhetőségek esetében a korrekciós intézkedés rendelkezésre állását követő 14 napon belül, a súlyos biztonsági események esetében pedig egy hónapon belül zárójelentést kell benyújtani.
A gyártók csak egyszer tesznek jelentést a hitelminősítő intézetek egységes jelentéstételi platformján (SRP). Az értesítés címzettje a számítógép-biztonsági eseményekre reagáló csoport (CSIRT), amelynek székhelye található, és az információkat – különösen kivételes körülmények fennállása esetén – egyidejűleg az ENISA rendelkezésére bocsátják. Az értesítést eredetileg kézhez vevő CSIRT haladéktalanul megosztja az értesítést az összes többi CSIRT-tel, amelynek területén a digitális elemeket tartalmazó terméket forgalmazták.
Kivételes körülmények között és a kiberbiztonsággal kapcsolatos indokolt indokok alapján a CSIRT dönthet úgy, hogy késlelteti a terjesztést más CSIRT-ek felé: 2025. december 11-én a Bizottság felhatalmazáson alapuló jogi aktust fogadott el, amelyben részletesebben meghatározta az ilyen kiberbiztonsági indokok alkalmazásának feltételeit.
Mikor kerül sor a hitelminősítő intézetek egységes jelentéstételi platformjának véglegesítésére?
A hitelminősítő intézetekről szóló rendelet 16. cikke értelmében az ENISA feladata a hitelminősítő intézetek egységes jelentéstételi platformjának (SRP) létrehozása.
Az ENISA közbeszerzési eljárást indított, és szolgáltatásokat vásárolt egy vállalkozótól, hogy segítse a stratégiai terv kidolgozását.
Az egységes jelentéstételi platform 2026. szeptember 11-én (a hitelminősítő intézetekre vonatkozó jelentéstételi követelmények alkalmazásának kezdőnapján) kezdi meg működését, az azt megelőző tesztelési időszakkal.
Az ENISA közzétett egy GYIK-et a hitelminősítő intézetek stratégiai tervéről, amely ezen a linken érhető el.
Érintett együttműködési szervek
Referenciadokumentumok és linkek
Gyakori kérdések a hitelminősítő intézetekről szóló irányelv végrehajtásáról
Gyakran ismételt kérdések a CRA SRP-ről
Felhatalmazáson alapuló jogi aktus az egységes jelentéstételi platformon keresztül terjesztendő bejelentéseket visszatartó CSIRT-ekről (elfogadva, közzététel a kifogásolási időszak függvényében)
Kapcsolódó tartalom
Összkép