Postępowanie z podatnościami i SBOM w CRA

Czego dotyczy Załącznik I część II CRA?

Załącznik I część II określa wymagania dotyczące postępowania producenta w przypadku wykrycia podatności produktu z elementami cyfrowymi.

O ile część I dotyczy cech samego produktu (zob. Zasadnicze wymagania w zakresie cyberbezpieczeństwa), o tyle część II reguluje procesy: identyfikowanie, dokumentowanie i usuwanie podatności w czasie. Zgodnie z art. 13 producent zapewnia skuteczne — i zgodne z wymaganiami Załącznika I część II — postępowanie z podatnościami przez cały okres wsparcia produktu. Czym jest ten okres i jak długo trwa, wyjaśniamy w artykule Obowiązki producentów i okres wsparcia (art. 13).

Co to jest SBOM i czy CRA go wymaga?

SBOM (software bill of materials) to zestawienie podstawowych materiałów do produkcji oprogramowania — wykaz komponentów i zależności wchodzących w skład produktu.

CRA posługuje się pojęciem zestawienia podstawowych materiałów do produkcji oprogramowania. SBOM służy identyfikowaniu i dokumentowaniu komponentów produktu, co jest warunkiem skutecznego zarządzania podatnościami — nie da się usunąć podatności w bibliotece, o której istnieniu się nie wie. Rozporządzenie odnosi się też do udostępniania informacji o tym, gdzie można uzyskać dostęp do takiego zestawienia. SBOM nabiera szczególnego znaczenia przy komponentach open source wbudowanych w produkt komercyjny — producent odpowiada za podatności w całym łańcuchu zależności.

Czym jest skoordynowane ujawnianie podatności?

Skoordynowane ujawnianie podatności to uporządkowany proces przyjmowania i obsługi zgłoszeń o podatnościach, tak aby zostały usunięte, zanim informacja o nich stanie się publiczna.

Zgodnie z art. 13 ust. 8 producent musi posiadać odpowiednią politykę i procedury, w tym politykę regulującą skoordynowane ujawnianie podatności, o której mowa w Załączniku I część II pkt 5 — do celów przetwarzania i eliminowania potencjalnych podatności zgłaszanych przez źródła wewnętrzne lub zewnętrzne. W praktyce oznacza to m.in. udostępnienie kanału zgłoszeń (np. polityki bezpieczeństwa, adresu kontaktowego dla badaczy).

Jakie procesy obejmuje postępowanie z podatnościami?

Postępowanie z podatnościami obejmuje ich identyfikację i dokumentowanie, usuwanie przez aktualizacje zabezpieczeń oraz informowanie o usuniętych podatnościach.

W szczególności obejmuje to następujące obszary:

Identyfikacja i dokumentowanie: Identyfikowanie i dokumentowanie podatności i komponentów produktu, w tym sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania (SBOM).
Usuwanie bez zbędnej zwłoki: Eliminowanie podatności bez zbędnej zwłoki, w tym przez dostarczanie aktualizacji zabezpieczeń.
Testowanie i przeglądy: Regularne testy i przeglądy bezpieczeństwa produktu.
Informowanie i ujawnianie: Publiczne udostępnianie informacji o usuniętych podatnościach oraz polityka skoordynowanego ujawniania podatności (część II pkt 5).
Bezpieczna dystrybucja aktualizacji: Bezpieczne rozpowszechnianie aktualizacji w celu terminowego usuwania podatności.

Jak postępowanie z podatnościami łączy się z obowiązkiem zgłaszania?

Obsługa podatności łączy się z odrębnym obowiązkiem sprawozdawczym: zgłaszaniem aktywnie wykorzystywanych podatności i poważnych incydentów.

To dwa powiązane, lecz odrębne reżimy. Postępowanie z podatnościami (Załącznik I część II) to proces wewnętrzny; zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów (art. 14) to obowiązek wobec organów, z własnymi terminami (24 godziny / 72 godziny). Ten drugi omawiamy w artykule Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów. Warto zestawić to z analogicznym obowiązkiem wynikającym z KSC — terminy 24h, 72h i 1 miesiąc obowiązujące podmioty kluczowe i ważne są zbliżone, lecz mają inną podstawę prawną i adresata zgłoszenia.

Jak możemy Ci pomóc?

W Legal Geek pomagamy zaprojektować politykę postępowania z podatnościami i skoordynowanego ujawniania podatności zgodną z CRA, ustawić proces SBOM oraz powiązać go z obowiązkiem raportowania z art. 14. Dzięki temu zespół ma jeden, spójny obieg od zgłoszenia po aktualizację i — gdy trzeba — zawiadomienie organu.

Co dalej w cyklu?

Powiązane artykuły

Preguntas frecuentes

Czy CRA wymaga SBOM?

CRA posługuje się pojęciem zestawienia podstawowych materiałów do produkcji oprogramowania (SBOM) w ramach postępowania z podatnościami (Załącznik I część II). Służy ono identyfikowaniu komponentów i zależności produktu.

Co to jest skoordynowane ujawnianie podatności?

To uporządkowany proces przyjmowania i obsługi zgłoszeń o podatnościach. Zgodnie z art. 13 ust. 8 producent musi posiadać politykę skoordynowanego ujawniania podatności (Załącznik I część II pkt 5).

Jak długo producent musi obsługiwać podatności?

Przez cały okres wsparcia produktu, który co do zasady wynosi co najmniej pięć lat (art. 13). Szczegóły w artykule o obowiązkach producentów.

Czym różni się postępowanie z podatnościami od zgłaszania incydentów?

Postępowanie z podatnościami (Załącznik I część II) to proces wewnętrzny producenta. Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów (art. 14) to obowiązek wobec organów, z terminami 24 i 72 godzin.

CRA

Pomożemy Ci z CRA

Akt o cyberodporności (CRA) nakłada nowe obowiązki na producentów i importerów produktów z elementami cyfrowymi. Sprawdzimy, czy Twoja organizacja jest objęta CRA i co powinieneś zrobić.

Analiza, czy Twoje produkty objęte są rozporządzeniem CRA
Klasyfikacja produktów (domyślne / klasa I / klasa II)
Harmonogram wdrożenia wymogów do 11 grudnia 2027 r.
Wdrożenie zarządzania podatnościami (SBOM, 24h reporting)

Tomasz Klecor Socio Director · Navegador FinTech. Jurista.

Nombre y apellidos / Nombre de empresa

Dirección de correo electrónico

Número de teléfono

Mensaje

Tus datos serán tratados conforme a nuestra política de privacidad.

sobre nosotros

FinTech

AML

E-commerce

RGPD

AI / NIS2

kreator

Legal Geek Tracker

consultoría

Blog

Podcast

Descargas

Postępowanie z podatnościami i SBOM — Załącznik I część II CRA

Czego dotyczy Załącznik I część II CRA?

Co to jest SBOM i czy CRA go wymaga?

Czym jest skoordynowane ujawnianie podatności?

Jakie procesy obejmuje postępowanie z podatnościami?

Jak postępowanie z podatnościami łączy się z obowiązkiem zgłaszania?

Jak możemy Ci pomóc?

Co dalej w cyklu?

Powiązane artykuły

Preguntas frecuentes

Czy CRA wymaga SBOM?

Co to jest skoordynowane ujawnianie podatności?

Jak długo producent musi obsługiwać podatności?

Czym różni się postępowanie z podatnościami od zgłaszania incydentów?

Pomożemy Ci z CRA

Dziękujemy za wiadomość

No te vayas todavía

FinTech

AML

E-commerce

RGPD

AI / NIS2

sobre nosotros

confían en nosotros

legaltech

base de conocimiento

Czego dotyczy Załącznik I część II CRA?

Co to jest SBOM i czy CRA go wymaga?

Czym jest skoordynowane ujawnianie podatności?

Jakie procesy obejmuje postępowanie z podatnościami?

Jak postępowanie z podatnościami łączy się z obowiązkiem zgłaszania?

Jak możemy Ci pomóc?

Co dalej w cyklu?

Powiązane artykuły

Preguntas frecuentes

Czy CRA wymaga SBOM?

Co to jest skoordynowane ujawnianie podatności?

Jak długo producent musi obsługiwać podatności?

Czym różni się postępowanie z podatnościami od zgłaszania incydentów?

Pomożemy Ci z CRA

Dziękujemy za wiadomość

Artículos relacionados

Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów — art. 14 CRA

CRA a NIS2, DORA i akt w sprawie sztucznej inteligencji — jak się przenikają

Nadzór rynku i kary za naruszenie CRA — rozdział V i VII

Lee también

CRA a NIS2, DORA i akt w sprawie sztucznej inteligencji — jak się przenikają

Nadzór rynku i kary za naruszenie CRA — rozdział V i VII

Ocena zgodności, oznakowanie CE i dokumentacja techniczna — art. 27–32 CRA