Ghid de pregătire pentru raportarea vulnerabilităților conform CRA al UE 2026
Este ora 08:17 într-o dimineață de luni din septembrie 2026. Anna, directorul de securitate a informației (CISO) al unei companii SaaS europene aflate în creștere rapidă, încă se gândește la ședința consiliului de administrație de săptămâna trecută. CEO-ul adresase întrebarea pe care o aud acum toți liderii de securitate: „Dacă ne-am pregătit deja pentru NIS2, iar clienții noștri fintech continuă să ne întrebe despre DORA, ce schimbă Cyber Resilience Act?”
Apoi răspunsul ajunge în căsuța ei de e-mail.
Un cercetător independent raportează o vulnerabilitate exploatabilă de la distanță într-o componentă de actualizare firmware utilizată de unul dintre produsele conectate ale companiei. Mesajul include o dovadă de concept, numele unei dependențe și o avertizare că exploatări similare au fost observate activ.
În câteva minute, fiecare funcție solicită un răspuns diferit. CTO-ul întreabă dacă vulnerabilitatea este reală. Departamentul juridic întreabă dacă a fost declanșată raportarea conform EU Cyber Resilience Act. Echipa de produs întreabă ce versiuni sunt afectate. CISO-ul întreabă dacă dependența apare în vreun SBOM. Echipa de vânzări întreabă dacă sunt necesare dovezi DORA pentru clienții din sectorul financiar. Managerul de conformitate deschide registrul de riscuri ISO 27001 și găsește un proces de management al vulnerabilităților, dar nu o cale clară de decizie pentru raportarea la nivel de produs.
Aceasta este problema reală a pregătirii pentru CRA. Majoritatea organizațiilor nu pornesc de la zero. Ele au deja politici de răspuns la incidente, rutine de management al patch-urilor, practici de dezvoltare securizată, revizuiri ale furnizorilor, scanere de vulnerabilități și dovezi ISO 27001. Dar CRA nu recompensează documentele izolate. Solicită un flux rapid și defensabil, care poate răspunde simultan la cinci întrebări:
- Este aceasta o vulnerabilitate exploatată activ sau un incident sever care afectează securitatea produsului?
- Ce produse, versiuni, clienți, dependențe și furnizori sunt afectați?
- Ce autoritate, client sau destinatar contractual trebuie notificat și când?
- Ce dovezi demonstrează că triajul, atenuarea și divulgarea au fost controlate?
- Cum se aliniază aceasta cu ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF și așteptările de audit?
Răspunsul nu este un „dosar CRA” separat. Răspunsul este integrarea raportării vulnerabilităților conform CRA în SMSI, în procesul de divulgare coordonată a vulnerabilităților, în disciplina SBOM, în guvernanța furnizorilor și în lanțul de dovezi al răspunsului la incidente de care aveți deja nevoie pentru o guvernanță matură a securității cibernetice.
De ce EU Cyber Resilience Act schimbă modelul de raportare
EU Cyber Resilience Act, Regulamentul (UE) 2024/2847, aduce securitatea produselor în centrul conformității. Se aplică produselor cu elemente digitale introduse pe piața UE, care pot include dispozitive conectate, software, firmware, sisteme integrate și produse software pentru organizații.
Cea mai importantă schimbare operațională pentru CISO, responsabilii cu securitatea produsului și echipele de conformitate începe la 11 septembrie 2026. CRA Article 14 impune raportare etapizată pentru vulnerabilități exploatate activ și incidente severe care afectează securitatea produselor cu elemente digitale. În termeni practici, producătorii trebuie să fie pregătiți pentru:
| Eveniment de raportare CRA | Termen estimat | Dovezi practice necesare |
|---|---|---|
| Avertizare timpurie pentru o vulnerabilitate exploatată activ | În termen de 24 de ore de la luarea la cunoștință | Marcaj temporal al luării la cunoștință, evaluarea exploatării, ipoteză privind produsul afectat |
| Notificare mai completă privind vulnerabilitatea | În termen de 72 de ore de la luarea la cunoștință | Severitate, produse afectate, stadiul atenuării, dovezi SBOM, plan corectiv inițial |
| Raport final privind vulnerabilitatea | După ce măsura corectivă sau de atenuare devine disponibilă | Cauză principală, impact, remediere, detalii privind actualizarea de securitate, instrucțiuni pentru utilizatori |
| Avertizare timpurie pentru un incident sever care afectează securitatea produsului | În termen de 24 de ore de la luarea la cunoștință | Cronologia incidentului, impact asupra produsului, impact operațional, conținere inițială |
| Notificare mai completă privind incidentul sever | În termen de 72 de ore de la luarea la cunoștință | Analiză de impact, utilizatori afectați, acțiuni corective, înregistrări de coordonare |
| Raport final privind incidentul sever | În termen de o lună de la notificarea inițială a incidentului | Cronologie completă, cauză, atenuare, lecții învățate, risc rezidual |
Evaluarea juridică exactă trebuie efectuată întotdeauna de consilieri calificați, dar lecția operațională este clară. Primele 24 până la 72 de ore sunt la fel de bune ca pregătirea finalizată cu luni înainte.
Dacă SBOM-urile sunt incomplete, dacă inboxul CVD este monitorizat informal, dacă contractele cu furnizorii nu impun notificarea vulnerabilităților sau dacă politica de răspuns la incidente nu distinge raportarea vulnerabilităților de produs de incidentele de confidențialitate sau operaționale, termenul legal va avansa mai repede decât procesul dumneavoastră de colectare a dovezilor.
Utilizați ISO/IEC 27001:2022 ca structură de bază pentru pregătirea CRA
ISO/IEC 27001:2022 nu înlocuiește conformitatea juridică cu CRA, dar este cea mai bună structură de sistem de management pentru integrarea obligațiilor CRA în guvernanța de zi cu zi.
Clauzele 4.1 până la 4.4 impun organizației să înțeleagă contextul intern și extern, părțile interesate, cerințele, interfețele cu alte organizații și domeniul de aplicare al SMSI ISO/IEC 27001:2022. Pentru pregătirea CRA, aceasta înseamnă că domeniul de aplicare al SMSI trebuie să identifice produsele cu elemente digitale, responsabilitățile aferente ciclului de viață al produsului, componentele găzduite, fluxurile de build, dependențele open-source, furnizorii, utilizatorii, importatorii, distribuitorii, clienții reglementați și autoritățile relevante.
Clauzele 6.1.1 până la 6.1.3 impun evaluarea riscurilor și tratamentul riscurilor, inclusiv proprietari de risc, consecințe, probabilitate, decizii de tratament, Declarația de aplicabilitate și acceptarea riscului rezidual. Raportarea CRA trebuie tratată ca un scenariu de risc privind securitatea produsului în cadrul acestui proces, nu ca un exercițiu de interpretare juridică de urgență.
ISO/IEC 27002:2022 ISO/IEC 27002:2022 oferă apoi structura practică a controalelor. Cele mai importante controale pentru raportarea vulnerabilităților CRA sunt:
| Control ISO/IEC 27002:2022 | Denumirea corectă a controlului | Rol în pregătirea CRA |
|---|---|---|
| 8.8 | Managementul vulnerabilităților tehnice | Identifică, evaluează, prioritizează, tratează și urmărește vulnerabilitățile |
| 8.25 | Ciclul de viață al dezvoltării securizate | Integrează securitatea produsului, revizuirea dependențelor și ingineria securizată în dezvoltare |
| 5.21 | Gestionarea securității informațiilor în lanțul de aprovizionare TIC | Conectează componentele furnizorilor, intrările SBOM și notificările din amonte cu riscul de produs |
| 5.20 | Tratarea securității informațiilor în acordurile cu furnizorii | Transformă obligațiile furnizorilor în clauze contractuale aplicabile |
| 5.24 | Planificarea și pregătirea managementului incidentelor de securitate a informațiilor | Definește rolurile în incident, playbook-urile, escaladarea, raportarea și gestionarea probelor |
| 5.26 | Răspunsul la incidentele de securitate a informațiilor | Susține conținerea, eradicarea, recuperarea și comunicările controlate |
| 8.15 | Jurnalizare | Păstrează dovezile pentru evaluarea exploatării și reconstrucția incidentului |
| 8.16 | Activități de monitorizare | Detectează semnale de exploatare și susține deciziile privind exploatarea activă |
În Zenith Controls: The Cross-Compliance Guide, Clarysec mapează controlul ISO/IEC 27002:2022 8.8, Managementul vulnerabilităților tehnice, ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea. Atributele sale se aliniază conceptelor de securitate cibernetică Identify și Protect, cu managementul amenințărilor și al vulnerabilităților drept capabilitate operațională.
Această abordare contează. Raportarea CRA nu se referă doar la notificarea autorităților. Se referă la demonstrarea faptului că exista o capabilitate preventivă de management al vulnerabilităților înainte ca raportul să ajungă la organizație.
Construiți modelul operațional în jurul CVD, SBOM și al termenului de raportare
Un flux credibil de gestionare a vulnerabilităților CRA începe înainte ca un cercetător să vă contacteze. Începe cu capacitatea de a primi rapoarte de vulnerabilitate, de a le valida, de a identifica componentele afectate, de a evalua exploatarea, de a coordona atenuarea, de a comunica cu utilizatorii și de a păstra dovezi.
Primul element de bază este un canal public de raportare a vulnerabilităților. Politica privind divulgarea coordonată a vulnerabilităților Clarysec, clauza 6.1 privind cerințele de implementare, prevede:
Canale publice de divulgare: Organizația trebuie să mențină un canal clar pentru raportarea vulnerabilităților, cum ar fi o adresă de e-mail dedicată pentru contact de securitate (de exemplu, security@company.com) sau un formular web. Aceste informații trebuie publicate pe pagina de securitate a site-ului companiei împreună cu cheia publică PGP a organizației, pentru a permite transmiteri criptate.
Aceasta rezolvă o deficiență de audit frecventă. Multe companii afirmă că acceptă rapoarte de vulnerabilitate, dar calea de raportare este ascunsă, neadministrată sau direcționată printr-o coadă generală de suport. În context CRA, canalul de raportare devine punctul declanșator pentru luarea la cunoștință din perspectivă juridică, evaluarea severității și captarea dovezilor.
Al doilea element de bază este triajul. Politica privind divulgarea coordonată a vulnerabilităților, clauza 6.4 privind cerințele de implementare, prevede:
Triaj și confirmare de primire: La primirea unui raport, VRT trebuie să îl înregistreze și să transmită cercetătorului o confirmare de primire în termen de 2 zile lucrătoare, atribuind o referință de urmărire. VRT trebuie să efectueze o evaluare preliminară a severității, de exemplu utilizând scorarea CVSS, și să valideze problema, inclusiv cu sprijinul echipelor IT și de dezvoltare, acolo unde este necesar, într-un termen-țintă de 5 zile lucrătoare. Vulnerabilitățile critice, cum ar fi cele care permit execuția de cod de la distanță sau o încălcare majoră a securității datelor, trebuie accelerate.
Pentru pregătirea CRA, acea înregistrare de triaj trebuie extinsă cu câmpuri care susțin decizia juridică de raportare:
| Câmp de triaj CRA | De ce contează | Proprietar al dovezilor |
|---|---|---|
| Starea exploatării active | Stabilește dacă raportarea vulnerabilității conform CRA poate fi aplicabilă | Echipa de răspuns la vulnerabilități |
| Produsul și versiunea afectate | Leagă problema de produsele cu elemente digitale și de impactul asupra clienților | Securitatea produsului |
| Potrivire cu dependența din SBOM | Confirmă dacă există componente afectate în build-urile lansate | Inginerie sau DevSecOps |
| Indicator de incident sever de produs | Separă gestionarea vulnerabilității de raportarea incidentelor de securitate a produsului | Centrul de operațiuni de securitate |
| Decizie de notificare reglementară | Înregistrează dacă se aplică notificarea conform CRA, NIS2, DORA, GDPR sau contractului | Juridic, CISO și Conformitate |
Al treilea element de bază este disciplina SBOM. Politica de dezvoltare securizată Clarysec, clauza 5.4 privind cerințele de guvernanță, prevede:
Utilizarea codului open-source sau de la terți trebuie aprobată, urmărită și validată prin: 5.4.1 Analiza compoziției software (SCA) 5.4.2 Revizuirea licențelor (GPL, MIT, BSD etc.) 5.4.3 Scanarea vulnerabilităților cunoscute (CVE-uri, OSS Index etc.)
Pentru organizațiile mai mici, Politica privind cerințele de securitate a aplicațiilor - SME Clarysec, clauza 6.4.2 privind cerințele de implementare a politicii, stabilește aceeași așteptare în formă practică:
Dezvoltatorul sau furnizorul IT trebuie să mențină o înregistrare pentru fiecare componentă externă utilizată, inclusiv:
Acea înregistrare a componentelor devine setul minim de dovezi pentru răspunsul la vulnerabilități bazat pe SBOM. Trebuie să conecteze numele componentei, versiunea, sursa, furnizorul sau depozitul, licența, versiunea produsului, data build-ului și starea scanării de vulnerabilitate. Atunci când sosește un CVE, un raport de la un cercetător sau o notificare de la furnizor, echipa trebuie să poată răspunde în câteva ore: „Ce produse lansate conțin această componentă?”
Mapați CRA, NIS2, DORA și GDPR într-o singură matrice decizională de notificare
Cyber Resilience Act nu va funcționa izolat. O singură vulnerabilitate de produs poate declanșa raportarea CRA, evaluarea unui incident conform NIS2, obligații de furnizare de dovezi către clienți conform DORA, evaluarea unei încălcări conform GDPR și obligații contractuale de notificare.
NIS2 Article 21 impune entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizatorice adecvate. Aceste măsuri includ analiza riscului, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția, dezvoltarea și mentenanța securizate, gestionarea și divulgarea vulnerabilităților, evaluarea eficacității, igiena cibernetică, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor, autentificarea multifactor și comunicațiile securizate.
NIS2 Article 23 stabilește un model etapizat de raportare a incidentelor: avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificarea incidentului în termen de 72 de ore, actualizări intermediare dacă sunt solicitate și un raport final nu mai târziu de o lună de la notificarea incidentului. NIS2 Article 20 creează, de asemenea, răspunderea organelor de conducere pentru aprobarea și supravegherea măsurilor de management al riscurilor de securitate cibernetică.
DORA se aplică de la 17 ianuarie 2025 și creează un cadru uniform de reziliență operațională digitală al UE pentru entitățile financiare. Pentru furnizorii SaaS, furnizorii de software și furnizorii TIC, DORA apare frecvent prin contractele cu clienții. Clientul dumneavoastră din sectorul financiar poate fi entitatea reglementată DORA, dar gestionarea vulnerabilităților, dovezile SBOM, suportul pentru incidente, drepturile de audit și angajamentele de notificare ale organizației dumneavoastră pot fi necesare pentru ca acel client să își îndeplinească propriile obligații.
GDPR adaugă o altă ramură. Dacă vulnerabilitatea sau incidentul cauzează distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date cu caracter personal, accidental sau ilegal, este necesară evaluarea unei încălcări a securității datelor cu caracter personal. GDPR Article 5 include, de asemenea, integritatea, confidențialitatea și responsabilitatea, ceea ce înseamnă că organizația trebuie să poată demonstra procesul decizional.
Politica de răspuns la incidente Clarysec, clauza 6.4.1 privind cerințele de implementare a politicii, susține deja această evaluare multi-regim:
Dacă un incident duce la expunerea confirmată sau probabilă a datelor cu caracter personal sau a altor date reglementate, Juridicul și DPO trebuie să evalueze aplicabilitatea: 6.4.1.1 GDPR Article 33 (notificare în termen de 72 de ore către autoritatea de supraveghere) 6.4.1.2 GDPR Article 34 (notificarea persoanelor vizate, atunci când se aplică un risc ridicat) 6.4.1.3 NIS2 Article 23 (notificare în termen de 24 de ore de la luarea la cunoștință a incidentului) 6.4.1.4 DORA Article 17 (raportarea incidentelor severe legate de TIC)
Pentru pregătirea CRA, extindeți acest playbook pentru a include evaluarea raportării conform CRA Article 14 pentru vulnerabilități exploatate activ și incidente severe care afectează securitatea produsului.
O matrice decizională unificată previne rularea de către echipe a unor playbook-uri de raportare separate și inconsistente:
| Întrebare declanșatoare | CRA | NIS2 | DORA | GDPR | Dovezi |
|---|---|---|---|---|---|
| Vulnerabilitatea este exploatată activ într-un produs cu elemente digitale? | Evaluați raportarea conform CRA Article 14 | Poate susține evaluarea unui incident semnificativ | Poate susține clasificarea unui incident TIC sau a unei amenințări | Evaluați dacă sunt afectate date cu caracter personal | Înregistrare de triaj, informații privind amenințările, jurnale |
| Securitatea produsului sau furnizarea serviciului a fost perturbată sever? | Evaluați raportarea incidentului sever | Evaluați incidentul semnificativ | Evaluați impactul unui incident major legat de TIC | De regulă, numai dacă a avut loc o încălcare a securității datelor cu caracter personal | Cronologia incidentului, analiză de impact |
| Sunt afectați clienți din sectorul financiar? | Raportarea de produs se poate aplica în continuare | Depinde de domeniul de aplicare al entității | Clientul poate avea nevoie de dovezi DORA | Depinde de rolurile privind datele | Lista clienților, contracte, anexă DORA |
| Datele cu caracter personal au fost expuse sau accesate? | Poate afecta severitatea și notificarea utilizatorilor | Poate afecta evaluarea impactului | Poate afecta impactul asupra clientului | Este necesară evaluarea încălcării | Evaluarea DPO, probe criminalistice |
| Este implicată o componentă a unui furnizor? | Producătorul trebuie în continuare să aibă vizibilitate asupra impactului asupra produsului | Dovezi privind riscul din lanțul de aprovizionare | Pot fi necesare dovezi privind terții TIC | Analiză privind persoana împuternicită sau operatorul | SBOM, notificare furnizor, clauză contractuală |
Pentru IMM-uri, Politica de răspuns la incidente - SME Clarysec, clauza 5.3.2 privind cerințele de guvernanță, oferă același principiu într-o formă mai simplă:
Termenele de răspuns, inclusiv recuperarea datelor și obligațiile de notificare, trebuie documentate și aliniate la cerințele legale, cum ar fi cerința GDPR de notificare în termen de 72 de ore a încălcării securității datelor cu caracter personal.
Pregătirea CRA extinde pur și simplu acest principiu de la notificarea încălcării securității datelor cu caracter personal la raportarea vulnerabilităților de produs și a incidentelor de securitate a produsului.
Dovezile de la furnizori sunt acum dovezi privind securitatea produsului
Multe vulnerabilități relevante pentru CRA vor proveni din afara codului propriu. Ele pot proveni din pachete open-source, module firmware, SDK-uri, API-uri găzduite, instrumente de build, servicii cloud, componente subcontractate sau biblioteci din amonte. Aceasta face ca guvernanța furnizorilor să fie centrală pentru pregătirea CRA.
Clauza 8.1 din ISO 27001:2022 impune organizațiilor să controleze procesele, produsele sau serviciile furnizate extern care sunt relevante pentru SMSI. Controlul ISO/IEC 27002:2022 5.21, Gestionarea securității informațiilor în lanțul de aprovizionare TIC, oferă ancora de control.
În Zenith Controls, Clarysec mapează controlul 5.21 ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea. Capabilitatea sa operațională este securitatea relațiilor cu furnizorii, iar domeniile sale includ guvernanță, ecosistem și protecție. Ideea este simplă: controalele furnizorilor nu sunt documente de achiziții. Sunt controale de protecție a ecosistemului.
Politica de securitate privind terții și furnizorii - SME Clarysec, clauza 5.3 privind cerințele de guvernanță, stabilește baza contractuală:
Contractele trebuie să includă clauze obligatorii care acoperă:
Pentru programele organizațiilor mari, Zenith Blueprint: An Auditor’s 30-Step Roadmap, faza Controls in Action, pasul 23, controalele organizaționale 5.19 până la 5.37, explică controlul ISO/IEC 27002:2022 5.20, Tratarea securității informațiilor în acordurile cu furnizorii:
Încrederea, atunci când vine vorba despre furnizori, nu se poate baza pe presupuneri. Ea trebuie codificată.
Pentru pregătirea CRA, acordurile cu furnizorii trebuie să includă clauze de securitate a produsului care susțin un răspuns rapid la vulnerabilități:
| Clauză cu furnizorul | Relevanță CRA | Dovezi de solicitat |
|---|---|---|
| Notificarea vulnerabilităților | Asigură că furnizorii din amonte vă alertează rapid atunci când componenta lor este afectată | Înregistrări ale notificărilor de vulnerabilitate de la furnizori și SLA-uri |
| SBOM sau inventar de componente | Susține analiza impactului pe versiunile produsului | SBOM, listă de componente sau atestare |
| Suport pentru actualizare securizată | Permite măsuri corective și instrucțiuni pentru clienți | Note de lansare a patch-urilor și plan de remediere |
| Coordonarea divulgării | Previne mesaje publice inconsecvente și divulgarea prematură | Jurnal de coordonare CVD |
| Asistență pentru incidente | Susține analiza criminalistică digitală, evaluarea impactului asupra utilizatorilor și raportarea | Înregistrări de suport și note de investigație |
| Drepturi de audit și asigurare | Ajută la satisfacerea cerințelor clienților, autorităților de reglementare și auditului intern | Rapoarte de audit și atestări de control |
DORA consolidează aceeași direcție. Entitățile financiare trebuie să gestioneze riscul asociat terților TIC, să mențină registre ale contractelor de servicii TIC, să evalueze criticitatea, să efectueze verificări prealabile, să gestioneze riscul de concentrare, să definească măsuri contractuale de protecție, să securizeze drepturile de audit și să planifice ieșirile. Dacă vindeți software sau servicii TIC entităților financiare, așteptați-vă ca acești clienți să întrebe dacă raportarea vulnerabilităților și procesul SBOM pot susține nevoile lor de dovezi DORA privind incidentele, reziliența și terții.
Fluxul de pregătire CRA al Clarysec
Clarysec ajută clienții să operaționalizeze raportarea CRA într-un SMSI aliniat la ISO 27001:2022 printr-un flux practic.
1. Adăugați obligațiile CRA în registrul cerințelor SMSI
Începeți cu clauzele 4.1 până la 4.4 din ISO 27001:2022. Actualizați contextul organizațional, părțile interesate și domeniul de aplicare pentru a include produsele cu elemente digitale, expunerea pe piața UE, utilizatorii, importatorii, distribuitorii, autoritățile de reglementare, CSIRT-urile, furnizorii și clienții reglementați.
Creați intrări în registrul cerințelor pentru raportarea vulnerabilităților CRA, raportarea incidentelor severe de securitate a produsului conform CRA, notificarea incidentelor NIS2, obligațiile de suport pentru clienți conform DORA, evaluarea încălcării securității datelor cu caracter personal conform GDPR, notificarea contractuală a incidentelor, angajamentele CVD și comunicările cu cercetătorii.
Aceasta oferă auditorilor o cale trasabilă de la obligația externă la controlul intern.
2. Creați un formular de preluare a vulnerabilităților de produs
Bazați formularul de preluare pe Politica privind divulgarea coordonată a vulnerabilităților. Acesta trebuie să captureze identitatea raportorului, datele de contact securizate, versiunea produsului, modulul, mediul, dovada de concept, pașii de reproducere, starea exploatării, expunerea potențială a datelor, impactul asupra serviciului, potrivirea cu componenta din SBOM, severitatea CVSS sau echivalentă, proprietarul, referința de urmărire și punctul de control reglementar.
Formularul trebuie să creeze automat un tichet în coada de răspuns la vulnerabilități. De asemenea, trebuie să pornească un cronometru pentru decizia de notificare, chiar dacă răspunsul final este „nu este raportabil”.
3. Conectați datele SBOM cu lansările
Pentru fiecare versiune de produs lansată, mențineți un SBOM sau un inventar echivalent de componente. Dovezile minime utile includ numele componentei, versiunea, sursa, licența, furnizorul sau depozitul, versiunea produsului, data build-ului și starea scanării de vulnerabilitate.
Politica de dezvoltare securizată și Politica privind cerințele de securitate a aplicațiilor - SME oferă baza de politică pentru SCA, revizuirea componentelor și înregistrările componentelor externe.
4. Păstrați dovezi din prima zi
Fiecare tichet de vulnerabilitate relevant pentru CRA trebuie să păstreze:
- Raportul inițial
- Marcajul temporal al confirmării de primire
- Notele de triaj
- Raționamentul severității CVSS sau echivalente
- Rezultatele potrivirii SBOM
- Evaluarea exploatării
- Jurnale, indicatori și instantanee criminalistice
- Comunicările cu furnizorii
- Acceptarea riscului, dacă atenuarea este întârziată
- Planul de patch, notele de lansare și dovezile de testare
- Deciziile de notificare a clienților și autorităților
- Intrările pentru raportul final și lecțiile învățate
Aceasta se aliniază cu clauza 8.1 din ISO 27001:2022, care impune informații documentate suficiente pentru a demonstra că procesele au funcționat conform planificării, și cu clauzele 8.2 și 8.3, care impun rezultate documentate ale evaluării riscurilor și ale tratamentului riscurilor.
5. Testați cu un scenariu realist de dependență
Rulați un exercițiu tabletop folosind o vulnerabilitate simulată, exploatată activ, într-o dependență. Includeți echipele de inginerie, securitate, juridic, confidențialitate, produs, comunicare, management al furnizorilor și echipele orientate către clienți. Testul trebuie să demonstreze că organizația poate identifica versiunile afectate, evalua exploatarea, lua o decizie de notificare, contacta furnizorii, pregăti instrucțiuni pentru utilizatori și păstra dovezi.
Cum vor testa auditorii pregătirea pentru raportarea vulnerabilităților CRA
O revizuire a pregătirii CRA va fi rareori limitată la o listă de verificare CRA. Auditori diferiți vor testa aceleași dovezi prin cadre diferite.
În Zenith Controls, Clarysec mapează controlul ISO/IEC 27002:2022 5.24, Planificarea și pregătirea managementului incidentelor de securitate a informațiilor, ca un control corectiv care susține confidențialitatea, integritatea și disponibilitatea. Acesta se aliniază la Respond și Recover, cu guvernanță și managementul evenimentelor de securitate a informațiilor drept capabilități operaționale.
Acest control este puntea dintre descoperirea vulnerabilităților și raportarea reglementară.
| Profilul auditorului | Ce va întreba | Dovezi care satisfac întrebarea |
|---|---|---|
| Auditor ISO 27001:2022 | Este raportarea vulnerabilităților integrată în evaluarea riscurilor, tratamentul riscurilor, controalele din Anexa A și procesele SMSI documentate? | Domeniul de aplicare al SMSI, registrul de riscuri, SoA, procedură privind vulnerabilitățile, politică CVD, înregistrări ale incidentelor, analiză efectuată de management |
| Evaluator de controale ISO/IEC 27002:2022 | Sunt controalele 8.8, 8.25, 5.21, 5.24, 5.20 și controalele conexe implementate consecvent? | Registre de patch-uri, SBOM-uri, puncte de control SDLC securizat, clauze cu furnizorii, playbook-uri de incident, înregistrări ale dovezilor |
| Autoritate sau evaluator NIS2 | Sunt operaționale guvernanța Article 20, măsurile Article 21 și procedurile de raportare Article 23? | Procese-verbale ale consiliului, măsuri de risc, proceduri de incident, înregistrări de notificare, dovezi privind lanțul de aprovizionare |
| Auditor orientat pe DORA | Pot incidentele TIC, vulnerabilitățile, dependențele de terți, testarea și comunicările cu clienții să susțină obligațiile de reziliență ale sectorului financiar? | Inventar al dependențelor TIC, clasificări ale incidentelor, înregistrări de testare, registrul furnizorilor, dovezi contractuale |
| Revizor GDPR | A evaluat organizația dacă vulnerabilitatea a creat o încălcare a securității datelor cu caracter personal și a documentat responsabilitatea? | Evaluarea încălcării, notele DPO, înregistrarea deciziei Article 33 și 34, maparea fluxului de date, constatări criminalistice |
| Evaluator NIST CSF 2.0 | Poate organizația să guverneze, să identifice, să protejeze, să detecteze, să răspundă și să recupereze printr-un singur model bazat pe risc? | Current and Target Profiles, program de risc asociat furnizorilor, metrici de detecție, dovezi de răspuns și recuperare |
NIST CSF 2.0 este deosebit de util ca strat de comunicare la nivelul consiliului de administrație. Funcțiile sale GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND și RECOVER ajută la explicarea modului în care raportarea vulnerabilităților de produs se încadrează în guvernanța securității cibernetice la nivel de organizație, în loc să fie tratată ca o excepție de inginerie.
Deficiențe frecvente de pregătire CRA care trebuie remediate înainte de 2026
Clarysec observă aceleași lacune în mod repetat.
Prima este CVD fără raportare. O companie are o adresă de e-mail de securitate sau un fișier security.txt, dar nu are o cale internă de la raportul cercetătorului la evaluarea notificării juridice.
A doua este SBOM fără proprietar. Ingineria poate genera un SBOM în timpul build-ului, dar nimeni nu deține acuratețea pentru produsele lansate și nu explică modul în care constatările SBOM alimentează răspunsul la vulnerabilități.
A treia este un certificat ISO fără domeniu de produs. SMSI acoperă IT-ul corporativ și operațiunile SaaS, dar nu software-ul integrat, firmware-ul, infrastructura de actualizare a produsului, fluxurile de build sau divulgarea vulnerabilităților.
A patra este existența contractelor cu furnizorii fără clauze privind vulnerabilitățile. Achizițiile solicită confidențialitate și protecția datelor, dar nu notificarea vulnerabilităților, transparența componentelor, asistență pentru incidente, divulgare coordonată sau dovezi de audit.
A cincea este răspunsul la incidente fără logică pentru vulnerabilitățile de produs. Planul de incident acoperă ransomware, phishing și încălcări ale securității datelor cu caracter personal, dar nu vulnerabilități de produs exploatate activ, în care sistemele clienților pot fi expuse riscului înainte ca propriul mediu al producătorului să fie compromis.
A șasea este gestionarea manuală a dovezilor DORA pentru clienți. Echipele de vânzări sau de succes al clienților răspund de la caz la caz la chestionarele din sectorul financiar, în timp ce securitatea nu are un pachet standard de dovezi care să arate gestionarea vulnerabilităților, guvernanța SBOM, suportul pentru incidente și controalele furnizorilor.
Fiecare lacună poate fi remediată. Fiecare devine costisitoare dacă este descoperită în timpul unei vulnerabilități active.
Listă de verificare pe 90 de zile pentru pregătirea raportării vulnerabilităților CRA
Folosiți următoarele 90 de zile pentru a stabili o bază defensabilă:
- Identificați produsele cu elemente digitale introduse sau puse la dispoziție pe piața UE.
- Actualizați domeniul de aplicare al SMSI și analiza părților interesate pentru a include părțile interesate CRA.
- Adăugați evaluarea raportării conform CRA Article 14 în registrul cerințelor legale și de reglementare.
- Publicați și monitorizați un canal securizat de raportare a vulnerabilităților.
- Creați o echipă de răspuns la vulnerabilități cu roluri juridice, de produs, inginerie, securitate și comunicare.
- Mențineți SBOM-uri sau inventare de componente pentru versiunile de produs lansate.
- Conectați rezultatele SCA cu tichetele de vulnerabilitate și lansările de produs.
- Adăugați criterii de exploatare activă și de incident sever de produs în formularele de triaj.
- Creați o matrice decizională combinată pentru notificări CRA, NIS2, DORA, GDPR și contractuale.
- Actualizați contractele cu furnizorii cu clauze privind notificarea vulnerabilităților, SBOM, asistența pentru incidente și coordonarea divulgării.
- Mențineți registre de patch-uri și dovezi de remediere.
- Testați fluxul cu o vulnerabilitate simulată, exploatată activ, într-o dependență.
- Prezentați rezultatele managementului, împreună cu lacunele, riscurile reziduale și proprietarii remedierii.
- Adăugați pachetul de dovezi în auditul intern și în analiza efectuată de management.
Politica de management al vulnerabilităților și al patch-urilor - SME Clarysec, clauza 6.2.1 privind cerințele de implementare a politicii, susține baza de monitorizare:
Funcția IT trebuie să monitorizeze vulnerabilitățile utilizând:
Aceeași politică, clauza 5.4.1 privind cerințele de guvernanță, adaugă pista de audit:
Trebuie menținut un registru al patch-urilor și acesta trebuie revizuit în timpul auditurilor și al activităților de răspuns la incidente
Acel registru al patch-urilor poate deveni unul dintre cele mai importante artefacte într-un raport final CRA. El demonstrează descoperirea, prioritizarea, remedierea, testarea și închiderea.
Faceți ca septembrie 2026 să fie lipsit de surprize
Cel mai bun eveniment de raportare CRA nu este ușor pentru că vulnerabilitatea este simplă. Este ușor pentru că organizația a exersat deja fluxul.
Înainte de septembrie 2026, Clarysec vă poate ajuta să transformați raportarea vulnerabilităților într-un sistem pregătit pentru audit, prin maparea SMSI ISO 27001:2022 existent, a procesului CVD, a capabilității SBOM, a clauzelor cu furnizorii și a playbook-urilor de răspuns la incidente față de așteptările CRA, NIS2, DORA, GDPR și NIST CSF.
Începeți cu o evaluare focalizată a pregătirii pentru raportarea vulnerabilităților CRA. Clarysec va revizui politicile, dovezile SBOM, contractele cu furnizorii, tichetele de vulnerabilitate, playbook-urile de incident și pista de audit. Apoi vom utiliza Zenith Blueprint și Zenith Controls pentru a construi o foaie de parcurs practică de remediere, nu un dosar teoretic de conformitate.
Dacă utilizați deja politicile Clarysec, le vom ajusta pentru raportarea CRA. Dacă nu, vă putem ajuta să implementați setul potrivit de politici, inclusiv Politica privind divulgarea coordonată a vulnerabilităților, Politica de dezvoltare securizată, Politica de răspuns la incidente, Politica de management al vulnerabilităților și al patch-urilor - SME, Politica privind cerințele de securitate a aplicațiilor - SME și Politica de securitate privind terții și furnizorii - SME, după caz.
Septembrie 2026 este suficient de aproape pentru planificare și suficient de departe pentru pregătire disciplinată. Organizațiile care acționează acum nu vor întreba „Cine deține această vulnerabilitate?” în primele 24 de ore. Vor avea deja răspunsul, dovezile și calea de raportare.
Contactați Clarysec pentru a programa o evaluare a pregătirii pentru raportarea vulnerabilităților CRA și pentru a transforma complexitatea reglementară într-un avantaj defensabil de securitate a produsului.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
