Artikel 14 Tillverkarnas rapporteringsskyldigheter

Summary What does Article 14 of the CRA regulation say?

This is one of the more detailed and operationally significant articles in the regulation, setting out the mandatory incident and vulnerability reporting obligations for manufacturers.

It establishes a structured, time-bound notification process that manufacturers must follow when they become aware of either an actively exploited vulnerability in their product or a severe security incident affecting it.

Notifications must be made via the single reporting platform introduced by Article 16, and the article works in close conjunction with that article to define how information flows to the relevant CSIRT designated as coordinator and to ENISA.

The article also addresses the practical question of which Member State's CSIRT a manufacturer should report to, providing a clear hierarchy of criteria for determining this, including for manufacturers with no main establishment in the Union.

Important points:

Manufacturers must report actively exploited vulnerabilities and severe security incidents through a three-stage process: an early warning within 24 hours, a fuller notification within 72 hours, and a final report once corrective measures are available.
Manufacturers must also inform affected users of any actively exploited vulnerability or severe incident, and where they fail to do so in a timely manner, the CSIRTs designated as coordinators may step in to provide that information to users.
The Commission is required to adopt delegated acts specifying the terms and conditions for delaying the dissemination of notifications on cybersecurity-related grounds, as referenced in Article 16.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. En tillverkare ska till den CSIRT-enhet som utsetts till samordnare i enlighet med punkt 7 i denna artikel och samtidigt till Enisa anmäla alla aktivt utnyttjade sårbarheter i produkten med digitala element som tillverkaren får kännedom om. Tillverkaren ska anmäla den aktivt utnyttjade sårbarheten via den gemensamma rapporteringsplattform som inrättats enligt artikel 16.
1. För den anmälan som avses i punkt 1 ska tillverkaren
  1. utan onödigt dröjsmål och under alla omständigheter senast 24 timmar efter att ha fått kännedom om den, lämna in en tidig varning om en aktivt utnyttjad sårbarhet och, i tillämpliga fall, ange de medlemsstater på vars territorium tillverkaren känner till att produkten med digitala element har tillhandahållits,
  2. såvida inte relevant information redan har lämnats, utan onödigt dröjsmål och under alla omständigheter senast 72 timmar efter att ha fått kännedom om den aktivt utnyttjade sårbarheten, lämna in en anmälan om sårbarhet, som ska innehålla allmän information, om sådan finns tillgänglig, om den berörda produkten med digitala element, den allmänna karaktären av utnyttjandet och sårbarheten i fråga samt eventuella korrigerande eller riskreducerande åtgärder som vidtagits och korrigerande eller riskreducerande åtgärder som användarna kan vidta, och som också, i tillämpliga fall, ska ange hur känslig tillverkaren anser att den anmälda informationen är,
  3. såvida inte relevant information redan har lämnats, senast 14 dagar efter det att en korrigerande eller riskreducerande åtgärd blivit tillgänglig, lämna in en slutrapport, som ska innehålla minst följande:
    En beskrivning av sårbarheten och dess allvarlighetsgrad och konsekvenser.
    I förekommande fall information om en fientlig aktör som har utnyttjat eller som utnyttjar sårbarheten.
    Detaljer om säkerhetsuppdateringen eller andra korrigerande åtgärder som har gjorts tillgängliga för att avhjälpa sårbarheten.
1. En tillverkare ska till den CSIRT-enhet som utsetts till samordnare i enlighet med punkt 7 i denna artikel och samtidigt till Enisa anmäla alla allvarliga incidenter som påverkar säkerheten för produkten med digitala element som tillverkaren får kännedom om. Tillverkaren ska anmäla incidenten via den gemensamma rapporteringsplattform som inrättats enligt artikel 16.
1. För den anmälan som avses i punkt 3 ska tillverkaren
  1. lämna in en tidig varning om en allvarlig incident som påverkar säkerheten för produkten med digitala element, utan onödigt dröjsmål och under alla omständigheter senast 24 timmar efter att ha fått kännedom om den, och åtminstone ange om tillverkaren misstänker att incidenten orsakats av olagliga eller fientliga handlingar, och i tillämpliga fall även ange de medlemsstater på vars territorium tillverkaren känner till att produkten med digitala element har tillhandahållits,
  2. såvida inte relevant information redan har lämnats, utan onödigt dröjsmål och under alla omständigheter senast 72 timmar efter att ha fått kännedom om incidenten, lämna in en incidentanmälan, som ska innehålla allmän information, om sådan finns tillgänglig, om arten av incident, en första bedömning av incidenten samt eventuella korrigerande eller riskreducerande åtgärder som vidtagits och korrigerande eller riskreducerande åtgärder som användarna kan vidta, och som också, i tillämpliga fall, ska ange hur känslig tillverkaren anser att den anmälda informationen är,
  3. såvida inte relevant information redan har lämnats, inom en månad efter inlämningen av den incidentanmälan som avses i led b, lämna in en slutrapport, som ska innehålla minst följande:
    En detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser.
    Den typ av hot eller grundorsak som sannolikt har utlöst incidenten.
    Tillämpade och pågående riskreducerande åtgärder.
1. Vid tillämpning av punkt 3 ska en incident som påverkar säkerheten för produkten med digitala element anses vara allvarlig om
  1. den inverkar negativt på eller kan inverka negativt på förmågan hos en produkt med digitala element att skydda tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för känsliga eller viktiga data eller funktioner, eller
  2. den har lett eller kan leda till att en skadlig kod införts eller använts i en produkt med digitala element eller i nätverks- och informationssystemet hos en användare av produkten med digitala element.
1. Vid behov får den CSIRT-enhet som utsetts till samordnare som först tog emot anmälan begära att tillverkarna lämnar en delrapport om relevanta statusuppdateringar om den aktivt utnyttjade sårbarheten eller allvarliga incidenten som påverkar säkerheten för produkten med digitala element.
1. De anmälningar som avses i punkterna 1 och 3 i denna artikel ska lämnas in via den gemensamma rapporteringsplattform som avses i artikel 16 med hjälp av en av de slutpunkter för elektronisk anmälan som avses i artikel 16.1. Anmälan ska lämnas in med hjälp av slutpunkten för elektronisk anmälan hos den CSIRT-enhet som utsetts till samordnare i den medlemsstat där tillverkarna har sitt huvudsakliga verksamhetsställe i unionen och ska samtidigt göras tillgänglig för Enisa.
2. Vid tillämpning av denna förordning ska en tillverkare anses ha sitt huvudsakliga verksamhetsställe i unionen i den medlemsstat där de cybersäkerhetsrelaterade besluten avseende dess produkter med digitala element i huvudsak fattas. Om en sådan medlemsstat inte kan fastställas ska det huvudsakliga verksamhetsstället anses vara beläget i den medlemsstat där den berörda tillverkaren har det verksamhetsställe som har flest anställda i unionen.
3. Om en tillverkare inte har något huvudsakligt verksamhetsställe i unionen ska tillverkaren lämna in de anmälningar som avses i punkterna 1 och 3 med hjälp av slutpunkten för elektronisk anmälan hos den CSIRT-enhet som utsetts till samordnare i den medlemsstat som fastställs enligt följande ordning och på grundval av den information som tillverkaren har tillgång till:
  1. Den medlemsstat där tillverkarens representant som agerar för tillverkarens räkning för det största antalet produkter med digitala element från den tillverkaren är etablerad.
  2. Den medlemsstat där den importör som släpper ut det största antalet produkter med digitala element från den tillverkaren är etablerad.
  3. Den medlemsstat där den distributör som tillhandahåller det största antalet produkter med digitala element från den tillverkaren är etablerad.
  4. Den medlemsstat där det största antalet användare av produkter med digitala element från den tillverkaren finns.
4. När det gäller tredje stycket d får en tillverkare lämna in anmälningar om eventuella efterföljande aktivt utnyttjade sårbarheter eller allvarliga incidenter som påverkar säkerheten för produkten med digitala element till samma CSIRT-enhet som utsetts till samordnare till vilken den först rapporterade.
1. Efter att ha fått kännedom om en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för produkten med digitala element, ska tillverkaren underrätta de drabbade användarna av produkten med digitala element, och när så är lämpligt alla användare, om den sårbarheten eller incidenten och, vid behov, om riskreducering och eventuella korrigerande åtgärder som användarna kan vidta för att begränsa konsekvenserna av denna sårbarhet eller incident, om lämpligt i ett strukturerat, maskinläsbart format som är enkelt att automatiskt behandla. Om tillverkaren underlåter att underrätta användarna av produkten med digitala element i tid får de CSIRT-enheter som utsetts till samordnare som mottagit anmälan lämna sådan information till användarna när detta anses vara proportionellt och nödvändigt för att förebygga eller mildra konsekvenserna av sårbarheten eller incidenten.
1. Senast den 11 december 2025 ska kommissionen anta delegerade akter i enlighet med artikel 61 i denna förordning för att komplettera denna förordning genom att specificera villkoren för att tillämpa de cybersäkerhetsrelaterade skälen till att skjuta upp spridningen av anmälningar som avses i artikel 16.2 i denna förordning. Kommissionen ska samarbeta med det CSIRT-nätverk som inrättats enligt artikel 15 i direktiv (EU) 2022/2555 och Enisa vid utarbetandet av utkasten till delegerad akt.
1. Kommissionen får genom genomförandeakter ytterligare specificera formatet och förfarandena för de anmälningar som avses i denna artikel samt i artiklarna 15 och 16. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2. Kommissionen ska samarbeta med CSIRT-nätverket och Enisa vid utarbetandet av dessa utkast till genomförandeakter.

Relevant recitals

Skäl 65 Simultaneous notifications to CSIRT and ENISA

Tillverkarna bör samtidigt, via den gemensamma rapporteringsplattformen, anmäla aktivt utnyttjade sårbarheter i produkter med digitala element samt allvarliga incidenter som påverkar dessa produkters säkerhet till både den enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utsetts till samordnare och till Enisa. Anmälningarna bör lämnas in med hjälp av slutpunkten för elektronisk anmälan hos en CSIRT-enhet som utsetts till samordnare och bör samtidigt vara tillgängliga för Enisa.

Skäl 66 Notification of actively exploited vulnerabilities

Tillverkarna bör anmäla aktivt utnyttjade sårbarheter för att säkerställa att de CSIRT-enheter som utsetts till samordnare, och Enisa, har en adekvat överblick över sådana sårbarheter och förses med den information som de behöver för att utföra sina uppgifter som anges i direktiv (EU) 2022/2555 och höja den allmänna cybersäkerhetsnivån för de väsentliga och viktiga entiteter som avses i artikel 3 i det direktivet, och för att säkerställa att marknadskontrollmyndigheterna fungerar effektivt. I och med att de flesta produkter med digitala element saluförs på hela den inre marknaden bör varje utnyttjad sårbarhet i en produkt med digitala element anses som ett hot mot en fungerande inre marknad. Enisa bör, i samförstånd med tillverkaren, meddela åtgärdade sårbarheter till den europeiska sårbarhetsdatabas som inrättats enligt artikel 12.2 i direktiv (EU) 2022/2555. Den europeiska sårbarhetsdatabasen kommer att hjälpa tillverkarna att upptäcka kända sårbarheter i deras produkter som kan utnyttjas, för att säkerställa att säkra produkter tillhandahålls på marknaden.

Skäl 67 Notification of severe incidents

Tillverkarna bör också anmäla alla allvarliga incidenter som påverkar säkerheten för produkter med digitala element till den CSIRT-enhet som utsetts till samordnare och Enisa. För att säkerställa att användarna kan reagera snabbt på allvarliga incidenter som påverkar säkerheten för deras produkter med digitala element, bör tillverkarna också underrätta sina användare om alla sådana incidenter och, om tillämpligt, om eventuella korrigerande åtgärder som användarna kan vidta för att begränsa konsekvenserna av incidenten, exempelvis genom att offentliggöra relevant information på sina webbplatser eller, om tillverkaren kan kontakta användarna och det är motiverat med tanke på cybersäkerhetsriskerna, genom att vända sig direkt till användarna.

Skäl 68 Actively exploited vulnerabilities

Aktivt utnyttjade sårbarheter rör fall där en tillverkare fastställer att en säkerhetsöverträdelse som påverkar dess användare eller någon annan fysisk eller juridisk person har orsakats av en fientlig aktör som utnyttjar en brist i en av de produkter med digitala element som tillverkaren tillhandahåller på marknaden. Exempel på sådana sårbarheter skulle kunna vara svagheter i en produkts identifierings- och autentiseringsfunktioner. Sårbarheter som upptäcks utan ont uppsåt för att i god tro testa, utreda, korrigera eller delge information i syfte att stödja systemägarens och dess användares säkerhet eller trygghet bör inte omfattas av kravet på obligatorisk anmälan. Allvarliga incidenter som påverkar säkerheten för produkten med digitala element avser å andra sidan situationer där en cybersäkerhetsincident påverkar tillverkarens utvecklings-, produktions- eller underhållsprocesser på ett sådant sätt att det skulle kunna leda till en ökad cybersäkerhetsrisk för användare eller andra personer. En sådan allvarlig incident skulle kunna vara en situation då en angripare har lyckats införa en skadlig kod i den kanal genom vilken tillverkaren släpper säkerhetsuppdateringar till användarna.

Skäl 71 Sensitivity of information in notification

När tillverkarna anmäler en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för produkten med digitala element bör de ange hur känslig de anser att den anmälda informationen är. Den CSIRT-enhet som utsetts till samordnare och som först tar emot anmälan bör ta hänsyn till denna information när den bedömer huruvida anmälan ger upphov till exceptionella omständigheter som motiverar att spridningen av anmälan till de andra relevanta CSIRT-enheter som utsetts till samordnare på grundval av motiverade cybersäkerhetsrelaterade skäl skjuts upp. Den bör också ta hänsyn till denna information när den bedömer huruvida anmälan om en aktivt utnyttjad sårbarhet ger upphov till ovanligt exceptionella omständigheter som motiverar att den fullständiga anmälan inte samtidigt görs tillgänglig för Enisa. Slutligen bör CSIRT-enheter som utsetts till samordnare kunna beakta denna information när de fastställer lämpliga åtgärder för att begränsa de risker som härrör från sådana sårbarheter och incidenter.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.