Új CRA dokumentumot tett közzé az ENISA
Múlt héten az ENISA közzétette a Single Reporting Platformmal (SRP) kapcsolatos gyakori kérdéseket (FAQ) és a CRA bejelentett szervezetekre vonatkozó műszaki kompetencia-követelményeket. Az SRP lesz az a központi felület, ahol a gyártók bejelenthetik az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket. A jelentéstételi kötelezettségek alkalmazásának kezdete 2026. szeptember 11. Ahelyett, hogy több nemzeti hatóságot is értesítenének, a gyártóknak csak egyszer kell bejelentést tenniük, és a platform a bejelentést egyidejűleg továbbítja a kijelölt CSIRT-koordinátornak és az ENISA-nak. A bejelentett szervezetekről szóló pedig dokumentum meghatározza a kritikus és fontos kategóriákba tartozó termékeket tanúsító megfelelőségértékelő szervezetek kompetencia-követelményeit.
Technical Competence Requirements for CRA Notified Bodies
A dokumentum azokra a magas szintű kompetenciákra összpontosít, amelyek a megfelelőségértékelési tevékenységek végzéséhez szükségesek, különös tekintettel a bejelentett szervezet (CRA NB) alkalmazottjai felé – elsősorban az auditorok és értékelők – támasztott tapasztalati és képzési követelményekre. Ezeket a kompetenciákat ki kell egészíteni azokkal a speciális kompetenciákkal, amelyek szükségesek a termékek jelenleg kidolgozás alatt álló harmonizált szabványoknak való megfelelőségének igazolásához.
SRP FAQ
Az SRP GYIK-ben foglaltak szerint a bejelentési folyamat abban a pillanatban kezdődik, amikor a gyártó tudomást szerez egy sérülékenység aktív kihasználásáról vagy egy incidens bekövetkezéséről.
A CRA meghatározás szerint az aktívan kihasznált sebezhetőség olyan sebezhetőség, amelyről megbízható bizonyíték áll rendelkezésre, hogy egy rosszindulatú szereplő a rendszer tulajdonosának engedélye nélkül kihasználta azt. A digitális elemekkel rendelkező termék biztonságát érintő incidens pedig olyan incidens, amely negatívan befolyásolja vagy negatívan befolyásolhatja a digitális elemekkel rendelkező termék azon képességét, hogy megvédje az adatok vagy funkciók rendelkezésre állását, hitelességét, integritását vagy bizalmasságát.
A gyártóknak és a nyílt forráskódú szoftverek támogatóinak (stewards) be kell tartaniuk a következő határidőket:
- Korai figyelmeztetés: indokolatlan késedelem nélkül, és minden esetben a sebezhetőség vagy az incidens tudomására jutásától számított 24 órán belül;
- Sebezhetőség/incidens bejelentése: indokolatlan késedelem nélkül, és minden esetben a tudomásra jutástól számított 72 órán belül, általános információk és egy kezdeti értékelés megadásával;
- Zárójelentés:
- Sérülékenységek esetén: legkésőbb 14 nappal azután, hogy a javító intézkedés (pl. javítócsomag) elérhetővé vált.
- Súlyos incidensek esetén: az első értesítéstől számított 1 hónapon belül.
