Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. Obowiązek raportowania to jeden z nielicznych elementów CRA, który rusza wcześniej niż reszta — od 11 września 2026 r. Warto przygotować się na niego z wyprzedzeniem, bo terminy są krótkie.
Co trzeba zgłaszać na podstawie art. 14 CRA?
Producent zgłasza dwa rodzaje zdarzeń: aktywnie wykorzystywane podatności produktu oraz poważne incydenty mające wpływ na bezpieczeństwo produktu.
Obowiązek dotyczy zdarzeń związanych z produktem z elementami cyfrowymi. Zgłoszeń dokonuje się za pośrednictwem pojedynczej platformy sprawozdawczej ustanowionej na podstawie art. 16, która rozdziela zgłoszenia do właściwych CSIRT-ów i ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa).
W jakich terminach trzeba zgłaszać?
Zgłaszanie jest trzyetapowe: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny i sprawozdanie końcowe.
Terminy liczy się od chwili, w której producent dowiedział się o podatności lub incydencie:
| Etap | Termin | Czego dotyczy |
|---|---|---|
| Wczesne ostrzeżenie | bez zbędnej zwłoki, w każdym razie w ciągu 24 godzin | aktywnie wykorzystywana podatność / poważny incydent |
| Zgłoszenie podatności lub incydentu | bez zbędnej zwłoki, w każdym razie w ciągu 72 godzin | szersze informacje o zdarzeniu i podjętych środkach |
| Sprawozdanie końcowe — podatność | nie później niż 14 dni po udostępnieniu środka naprawczego lub łagodzącego | m.in. opis podatności, jej dotkliwości i skutków |
| Sprawozdanie końcowe — incydent | w terminie jednego miesiąca od zgłoszenia 72-godzinnego | m.in. szczegółowy opis incydentu, jego dotkliwości i skutków |
Czym jest pojedyncza platforma sprawozdawcza?
Pojedyncza platforma sprawozdawcza to wspólny punkt zgłoszeń ustanowiony na podstawie art. 16, przez który producent przekazuje zgłoszenia organom.
Dzięki temu producent nie musi raportować osobno do wielu organów w różnych państwach — zgłoszenie składa w jednym miejscu, a platforma kieruje je do właściwych CSIRT-ów oraz ENISA. To rozwiązanie ma ograniczyć obciążenie administracyjne i przyspieszyć reakcję na zagrożenia. Warto zestawić ten mechanizm z analogicznym obowiązkiem zgłaszania incydentów poważnych w ramach krajowego systemu cyberbezpieczeństwa, szczegółowo omówionym w artykule Zgłaszanie incydentów poważnych w KSC — terminy 24h, 72h i 1 miesiąc w praktyce.
Czy mikroprzedsiębiorstwa też muszą zgłaszać w 24 godziny?
Mikroprzedsiębiorstwa i małe przedsiębiorstwa mają obowiązek zgłaszania, ale nie grożą im kary pieniężne za niedotrzymanie 24-godzinnego terminu wczesnego ostrzegania.
Zgodnie z przepisami o karach (art. 64) administracyjne kary pieniężne nie mają zastosowania do producentów będących mikroprzedsiębiorstwami lub małymi przedsiębiorstwami w przypadku niedotrzymania terminu wczesnego ostrzeżenia o aktywnie wykorzystywanych podatnościach lub poważnych incydentach. To wyraz zasady proporcjonalności — sam obowiązek pozostaje, łagodniejszy jest reżim sankcyjny. Nadzór i kary omawiamy szerzej w artykule Nadzór rynku i kary za naruszenie CRA.
Od kiedy obowiązuje raportowanie z art. 14?
Obowiązki sprawozdawcze z art. 14 stosuje się od 11 września 2026 r. — wcześniej niż pozostałe przepisy CRA.
To data, którą warto zaznaczyć w kalendarzu osobno. Pełny kalendarz wdrożenia CRA z wszystkimi kluczowymi terminami omawiamy w osobnym artykule cyklu. Warto też pamiętać, że obowiązki zgłaszania ściśle wiążą się z zarządzaniem podatnościami i SBOM — dobrze skonstruowany rejestr komponentów ułatwia szybkie zidentyfikowanie, których produktów dotyczy aktywnie wykorzystywana podatność.
Jak możemy Ci pomóc?
W Legal Geek pomagamy zbudować procedurę zgłaszania zgodną z art. 14: wyznaczyć odpowiedzialnych, przygotować szablony wczesnego ostrzeżenia, zgłoszenia i sprawozdania końcowego oraz połączyć ten obieg z wewnętrznym postępowaniem z podatnościami. Przy krótkich terminach 24 i 72 godzin gotowy proces decyduje o tym, czy zdążysz.
