Proizvajalci programske in strojne opreme ter digitalnih izdelkov za trg EU bodo morali od septembra 2026 v 24 urah prijavljati aktivno izkoriščene varnostne ranljivosti Evropski agenciji za kibernetsko varnost ENISA. Kazni za kršitev znašajo do 15 milijonov evrov ali 2,5 odstotka globalnega letnega prometa.
Zakon o kibernetski odpornosti (Cyber Resilience Act) je začel veljati decembra 2024. ENISA je 20. novembra pridobila status CVE Root – najvišjo raven pooblastil v globalnem sistemu za upravljanje ranljivosti – in prevzela vlogo osrednjega evropskega koordinatorja namesto ameriških institucij.
Kdo mora prijavljati?
Programske hiše, proizvajalci strojne opreme, IoT-naprav, ponudniki oblačnih storitev in proizvajalci industrijske krmilne opreme, ki prodajajo v EU. Banke kot je NLB, telekomunikacijski operaterji Telekom Slovenije in A1, energetska podjetja in bolnišnice pa že prijavljajo incidente po direktivi NIS2.
Kako poteka postopek?
ENISA razvija enotno platformo za prijavljanje Single Reporting Platform. Ko podjetje odkrije, da ima njegov izdelek varnostno ranljivost, ki jo hekerji že izkoriščajo, ima za prijavo 24 ur časa. Boris Cipot iz Black Ducka je za IT Security Guru dejal, da bodo proizvajalci dobili hitrejšo dodelitev CVE-identifikatorjev in jasnejšo pravno podlago po pravu EU.
Zakaj nadzor prevzema EU?
Ameriška organizacija MITRE, ki že leta upravlja program CVE, je bila začetkom leta pred ustavitvijo zaradi umika financiranja. Ameriška CISA je v zadnjem trenutku podaljšala financiranje, kar je pospešilo odločitev EU za vzpostavitev lastnega sistema, poroča BankInfoSecurity.
Preberite več:
SI-CERT, slovenski nacionalni center za odzivanje na incidente, bo zdaj ranljivosti prijavljal neposredno agenciji ENISA namesto ameriškim institucijam. ENISA napoveduje usposabljanje za vse udeležence v sistemu, podjetja pa imajo le deset mesecev za pripravo postopkov za hitro odkrivanje in prijavljanje ranljivosti.
