Începând cu 11 septembrie 2026, producătorii au obligația de a raporta vulnerabilitățile exploatate în mod activ și incidentele grave care afectează securitatea produselor cu elemente digitale.
Care sunt principalele reguli?
Agenția de rating de credit impune producătorilor să notifice vulnerabilitățile exploatate activ și incidentele grave care au un impact asupra securității produsului lor cu elemente digitale. Aceștia trebuie să transmită o alertă timpurie în termen de 24 de ore de la data la care au luat cunoștință de aceasta și o notificare completă în termen de 72 de ore. Un raport final trebuie prezentat în termen de cel mult 14 zile de la data la care este disponibilă o măsură corectivă pentru vulnerabilitățile exploatate activ și în termen de o lună pentru incidentele grave.
Producătorii raportează o singură dată prin intermediul platformei unice de raportare a agențiilor de rating de credit (SRP). Notificarea este adresată Centrului de intervenție în caz de incidente de securitate informatică (CSIRT) în care își au sediul principal și, cu excepția cazului în care se aplică circumstanțe deosebit de excepționale, informațiile sunt puse simultan la dispoziția ENISA. Echipa CSIRT care primește inițial notificarea va transmite fără întârziere notificarea tuturor celorlalte echipe CSIRT pe teritoriul cărora a fost pus la dispoziție produsul cu elemente digitale.
În circumstanțe excepționale și pe baza unor motive justificate legate de securitatea cibernetică, CSIRT poate decide să amâne diseminarea către alte CSIRT: la 11 decembrie 2025, Comisia a adoptat un act delegat care detaliază termenele și condițiile de aplicare a acestor motive legate de securitatea cibernetică.
Când va fi finalizată Platforma unică de raportare a agențiilor de rating de credit?
În temeiul articolului 16 din CRA, ENISA are sarcina de a institui Platforma unică de raportare a CRA (SRP).
ENISA a lansat o licitație publică și a achiziționat servicii de la un contractant pentru a contribui la dezvoltarea SRP.
Platforma unică de raportare va fi operațională până la 11 septembrie 2026 (data intrării în vigoare a cerințelor de raportare ale agențiilor de rating de credit), cu o perioadă de testare înainte de această dată.
Informații suplimentare cu privire la planul de redresare și reziliență al ARC vor fi puse la dispoziție în curând.
Organismele de cooperare relevante
Documente de referință și linkuri
Întrebări frecvente privind punerea în aplicare a agențiilor de rating de credit
Act delegat privind echipele CSIRT care rețin notificările care urmează să fie difuzate prin intermediul platformei unice de raportare (adoptat, publicare în așteptarea perioadei de formulare a obiecțiilor)
Conținut asociat
Imaginea de ansamblu