OBL-ART14-03Binding
Abschlussbericht zur Schwachstelle innerhalb von 14 Tagen an ENISA übermitteln
- Gilt für
- Manufacturer
- Quellenangaben
- Art. 14(3)Art. 14(5)
- Produktklassen
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Einfache Sprache
Innerhalb von 14 Tagen nach der ersten Kenntnisnahme einer aktiv ausgenutzten Schwachstelle ist ENISA ein vollständiger Bericht zu übermitteln. Zu diesem Zeitpunkt ist eine vollständige Darstellung erforderlich: Art der Schwachstelle, Schweregrad und Behebungsmaßnahmen. Dies ist Schritt drei der Kette: 24 Stunden, dann 72 Stunden, dann 14 Tage.
Rechtstext
Artikel 14(3) der Verordnung (EU) 2024/2847 verpflichtet Hersteller, spätestens 14 Tage nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle einen Abschlussbericht an ENISA zu übermitteln, der enthält:
- Eine vollständige Beschreibung der Schwachstelle einschließlich Schweregrad und Auswirkungen
- Gegebenenfalls: die beteiligten Bedrohungsakteure (sofern bekannt und kommunizierbar)
- Informationen zu den ergriffenen Korrektur- oder Minderungsmaßnahmen
- Ob die Schwachstelle öffentlich bekannt gemacht wurde
- Den zugewiesenen CVE (oder Begründung, warum kein CVE zugewiesen wurde)
Artikel 14(5) legt fest, dass der Bericht über die einheitliche ENISA- Meldeplattform eingereicht wird.
Gültigkeit ab
Diese Pflicht gilt ab 11. September 2026.
Erforderlicher Inhalt des Abschlussberichts
- Vollständige Schwachstellenbeschreibung – umfassende technische Analyse
- Grundursachenanalyse – Ursprung der Schwachstelle
- CVSS-Score – endgültig, ggf. nach vollständiger Analyse neu bewertet
- Betroffene Versionen – alle betroffenen Produktversionen und -varianten
- CVE-Identifier – von einer CNA vergebene CVE-Nummer oder Begründung bei fehlender CVE-Vergabe
- Durchgeführte Behebung – Versionsnummer des Updates, Veröffentlichungsdatum, Bereitstellungsmechanismus
- Nutzerbenachrichtigung – Beschreibung der Nutzerinformation und des Zeitplans
- Status der öffentlichen Bekanntmachung – ob eine Sicherheitsmitteilung veröffentlicht wurde und wo
- Informationen zum Bedrohungsakteur – sofern bekannt, ob ein bestimmter Akteur die Schwachstelle ausnutzt
Die dreistufige Meldekette nach Art. 14
| Schritt | Frist | Status |
|---|---|---|
| Frühwarnung (OBL-ART14-01) | 24 Stunden | Kenntniserlangung bestätigt |
| Detaillierte Meldung (OBL-ART14-02) | 72 Stunden | Technische Details verfügbar |
| Abschlussbericht | 14 Tage | Vollständige Analyse und Behebung |
Nachweise, die Sie möglicherweise benötigen
- Zeitgestempelter Abschlussberichteingang der ENISA-Plattform
- CVE-Zuweisungsaufzeichnung
- Veröffentlichte Sicherheitsmitteilung
- Aufzeichnungen zur Nutzerbenachrichtigung
- Internes Vorfall-Postmortem oder Grundursachenanalysedokument