钛和专家说 | 企业如何准备CRA强制上报？SRP平台各阶段技术字段要求概览

首页

新闻资讯

新闻详情

钛和专家说 | 企业如何准备CRA强制上报？SRP平台各阶段技术字段要求概览

发布时间：2026/06/26

微信扫一扫，分享该页面

2026年9月11日，是CRA合规中一个非常关键的时间点。从这一天起，CRA第14条规定的报告义务将率先开始适用。企业一旦获悉其产品存在“已被恶意利用的漏洞”，或发生“对产品安全产生影响的严重事件”，就需要在规定时限内通过官方报告机制进行通报。更重要的是，这项义务并不只影响未来新上市产品。对于已经投放欧盟市场、且仍属于CRA管控范围的产品，也需要纳入报告义务和漏洞响应体系。

过去，很多企业已经知道CRA有“24 小时、72 小时、最终报告”的要求，但真正的问题是：“到底要报哪些内容？哪些信息必须准备？哪些信息可以后续补充？”ENISA最近在Single Reporting Platform（SRP）FAQ中更新的Q16，正是这次最值得关注的内容。它让CRA第14条从抽象的法规义务，进一步变成了平台化、字段化的实际填报要求。

钛和集团信息安全实验室基于对CRA法规及ENISA技术动态的持续跟踪，已为企业梳理出SRP各阶段填报字段对应的技术信息清单与准备要点，帮助企业将法规要求转化为可落地、可追溯的内部响应机制。

微信图片_2026-06-26_220310_873.jpg

SRP是什么？——结构化报告义务的核心平台

SRP，即 Single Reporting Platform，是CRA下用于提交报告的单一报告平台。

未来企业将通过SRP报告两类事项：

已被恶意利用的漏洞；
对产品安全产生影响的严重事件。

企业提交报告后，相关信息将发送至协调CSIRT，并在通常情况下同步向ENISA可用。换句话说，CRA报告义务不是简单“写一封说明邮件”，而是需要按照官方平台字段，分阶段提交结构化信息。

三阶段报告——不是一次性写完，而是逐步递进

CRA第14条的报告逻辑可以概括为三步：

微信图片_2026-06-26_220319_069.png

这三个阶段并不是要求企业在 24 小时内完成完整调查，而是要求企业随着调查进展逐步补充信息。简单理解：

24 小时：先告诉监管机构风险已经发生；
72 小时：提交当前已掌握的技术判断和处置措施；
最终报告：形成完整的影响分析、修复措施和事件闭环。

微信图片_2026-06-26_220328_235.jpg

24小时早期预警——重点是“先报风险范围”

24小时阶段的重点不是提交完整技术报告，而是让监管机构第一时间知道风险已经发生，并初步了解影响范围。

通常需要准备的信息包括：

报告类型：漏洞还是严重事件；
企业信息；
受影响产品；
产品类型或产品类别；
受影响或可能受影响的成员国；
报告标题和基础识别信息。

微信图片_20260624155008_968_20.png

这一阶段最考验企业的是：能否快速判断哪些产品、哪些版本、哪些欧盟市场可能受影响。如果企业没有产品清单、版本清单、投放国家清单和SBOM，24小时内完成判断会非常困难。

72小时初始报告——Q16最有价值的部分

72小时报告是ENISA FAQ Q16中最有实操价值的内容。在这一阶段，企业需要基于当时已经掌握的信息，进一步提交漏洞或事件的初步技术情况。

如果是已被恶意利用的漏洞，重点包括：

漏洞的基本信息；
CVE 或其他漏洞编号（如已有）；
漏洞性质和初步技术描述；
攻击者可能如何利用该漏洞；
企业已经采取的措施；
建议用户采取的缓解措施；
报告信息的敏感性评估。

如果是严重安全事件，则重点包括：

事件发生或发现时间；
事件性质；
是否疑似由恶意行为导致；
对产品安全的初步影响；
企业已采取的处置措施；
用户可采取的缓解措施；
信息敏感性评估。

🌟这里需要特别注意一点：
72 小时报告是基于当时可获得的信息，不是最终结案报告。

如果部分信息尚未查明，可以如实说明仍在调查中，而不是等全部调查完成后才开始报告。

最终报告——形成完整技术和处置闭环

最终报告分为两类：

1️⃣对于已被恶意利用的漏洞，最终报告通常需要在纠正或缓解措施可用后14天内提交。内容应包括漏洞详细描述、严重程度、影响分析、恶意行为者信息（如掌握），以及安全更新、补丁或其他纠正措施的细节。

2️⃣对于严重安全事件，最终报告通常需要在72小时通知后1个月内提交。内容应包括事件详细描述、严重程度、根因分析、影响范围，以及已实施和持续中的缓解措施。

最终报告的重点不是“补交材料”，而是证明企业已经完成从发现、判断、处置、通知到修复的完整闭环。

微信图片_2026-06-26_220337_365.jpg

一个容易被忽视的字段——敏感性评估

ENISA FAQ Q16中有一个值得企业特别关注的字段：信息敏感性评估。

如果报告内容涉及尚未公开的漏洞细节、补丁尚未分发、更新渠道受损、密钥材料或供应链攻击等敏感信息，过早或过广泛传播可能反而扩大攻击面。因此，企业需要在报告中合理标注信息敏感性，为协调 CSIRT 判断后续信息分发方式提供参考。

🌟但需要注意：
敏感性评估不是不报告的理由，也不是企业单方决定延迟披露的工具。

它更像是SRP报告中的风险控制字段，用于帮助监管侧在“快速共享风险”和“避免扩大攻击面”之间进行平衡。

钛和专家建议——企业现在应该准备什么？

面对CRA第14条，企业不能只等SRP平台正式开放后再研究怎么填写。现在就应提前准备：

产品型号、版本和欧盟投放国家清单；
SBOM 和第三方组件漏洞影响判断机制；
已被恶意利用漏洞的判定标准；
严重安全事件的判定标准；
24 小时、72 小时和最终报告模板；
PSIRT 流程和跨部门升级机制；
用户通知和缓解措施模板。

微信图片_2026-06-26_220341_611.jpg

ENISA SRP FAQ Q16的更新说明，CRA第14条已经不再只是“24 小时 / 72 小时”的时间要求，而是正在变成可填报、可审查、可追溯的平台化合规要求。

真正的挑战是企业能否在事件发生后迅速完成产品范围识别、漏洞或事件判断、技术影响分析、用户缓解措施制定和最终修复闭环。

CRA第14条不是一项单纯的上报义务，而是对企业漏洞管理、事件响应、SBOM管理和产品上市后支持能力的一次综合压力测试。

钛和集团信息安全实验室将持续关注ENISA SRP平台测试期及官方FAQ更新动态，并可为企业提供CRA第14条报告义务、PSIRT流程、CVD政策、SBOM管理及漏洞响应机制建设相关支持。

上一篇：配齐ISO 21780全套测试能力！钛和集团全面升级48V轻混系统检测能力，赋能车企高质量发展下一篇：喜讯｜国内首家民营GMP+注册实验室：钛和Fapas能力验证结果获“Satisfactory（满意）”评级