Přeskočit na obsah
SynergyBit
CRA služby

Proces řízení zranitelností dle CRA

Zaveďte řízení zranitelností, které CRA vyžaduje po celý životní cyklus produktu.

CRA nepožaduje jen bezpečný produkt při uvedení na trh – vyžaduje, abyste zranitelnosti aktivně řešili po celou dobu jeho podpory. To znamená mít zavedený proces, který zranitelnosti zachytí, vyhodnotí, opraví a transparentně komunikuje.

Pomůžeme vám tento proces postavit tak, aby splňoval požadavky přílohy I (část II) i oznamovací povinnosti vůči agentuře ENISA. Výsledkem je funkční rutina, ne jen dokument do šuplíku.

Co dostanete

Procedura řízení zranitelností

Zdokumentovaný proces příjmu, třídění, hodnocení (CVSS) a nápravy zranitelností s jasnými rolemi a lhůtami.

Registr zranitelností a SBOM

Evidence zranitelností provázaná se soupisem komponent (SBOM), abyste věděli, co se vás ze zveřejněných CVE týká.

Koordinované zveřejňování (CVD)

Politika koordinovaného zveřejňování zranitelností, kontaktní místo pro hlášení a šablona security advisory ve formátu CSAF.

Reporting a aktualizace

Runbook pro hlášení aktivně zneužívaných zranitelností do 24 h agentuře ENISA a mechanismus distribuce bezpečnostních aktualizací.

Jak to probíhá

  1. 01

    Analýza současného stavu

    Zmapujeme, jak dnes zachycujete a řešíte zranitelnosti, a porovnáme to s požadavky CRA.

  2. 02

    Návrh procesu

    Sestavíme proceduru, registr, CVD politiku a reporting runbook na míru vašemu týmu a produktům.

  3. 03

    Zavedení a zkouška

    Proces zavedeme, vyzkoušíme na reálném scénáři a vyladíme role, lhůty i šablony.

Výsledek pro vás

  • Proces splňující přílohu I (část II) CRA
  • Připravenost na hlášení do 24 h agentuře ENISA
  • Rychlejší a doložitelná náprava zranitelností
  • Důvěryhodná komunikace se zákazníky i výzkumníky

Časté dotazy

Do kdy musíme zranitelnosti hlásit?
Aktivně zneužívanou zranitelnost je třeba oznámit do 24 hodin od zjištění (předběžné hlášení) příslušnému CSIRT a agentuře ENISA, s navazujícími lhůtami. Oznamovací povinnosti platí už od září 2026 – proces je proto vhodné mít hotový dříve.
Co je koordinované zveřejňování zranitelností (CVD)?
Je to politika, jak přijímat hlášení zranitelností od třetích stran (např. od výzkumníků) a jak je řešit a zveřejňovat. CRA vyžaduje mít zavedené kontaktní místo a postup – připravíme vám obojí.
Musíme vydávat security advisory?
CRA požaduje zveřejňovat informace o opravených zranitelnostech. Připravíme šablonu strukturovaného security advisory ve formátu CSAF, který je strojově čitelný a stává se standardem.

Související služby

Zpět na služby

CRA konzultace

Cílená konzultace s expertem na Cyber Resilience Act. Vyřešíme vaše konkrétní otázky, ověříme rozhodnutí a nasměrujeme další postup.

Více o službě

Příprava technické dokumentace

Sestavíme technickou dokumentaci podle přílohy VII CRA – od popisu produktu a analýzy rizik po SBOM, řízení zranitelností a prohlášení o shodě.

Více o službě

Posouzení dopadu / scoping CRA

Vstupní posouzení dopadu CRA na vaše portfolio – určíme dotčené produkty, vaši roli, kategorii a rozsah souladu jako základ celé cesty.

Více o službě

Začněte s CRA dřív, než vás dožene termín

Nezávazná konzultace vám během chvíle ukáže, kde stojíte a jaký je nejkratší cestou k souladu.

Domluvit konzultaci