OBL-ART14-03Binding
Soumettre à l'ENISA un rapport final de vulnérabilité dans les 14 jours
- S'applique à
- Manufacturer
- Citations sources
- Art. 14(3)Art. 14(5)
- Classes de produits
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Langage clair
Dans les 14 jours suivant la première prise de connaissance d'une faille active, un rapport complet doit être envoyé à l'ENISA. À ce stade, l'analyse complète doit être disponible : nature de la faille, gravité et modalités de correction. Il s'agit de la troisième étape de la chaîne : 24 heures, puis 72 heures, puis 14 jours.
Texte juridique
L'article 14(3) du règlement (UE) 2024/2847 exige que, au plus tard 14 jours après avoir eu connaissance d'une vulnérabilité activement exploitée, les fabricants soumettent à l'ENISA un rapport final contenant :
- Une description complète de la vulnérabilité, y compris sa gravité et son impact
- Le cas échéant : le(s) acteur(s) de la menace impliqué(s) (si connus et communicables)
- Des informations sur les mesures correctives ou d'atténuation prises
- L'indication de la divulgation publique éventuelle de la vulnérabilité
- Le CVE attribué (ou la justification de l'absence d'attribution de CVE)
L'article 14(5) précise que le rapport est soumis via la plateforme unique de signalement ENISA.
Date d'entrée en vigueur
Cette obligation s'applique à compter du 11 septembre 2026.
Contenu requis du rapport final
- Description complète de la vulnérabilité — analyse technique complète
- Analyse de la cause profonde — origine de la vulnérabilité
- Score CVSS — final, réévalué si nécessaire après l'analyse complète
- Versions affectées — toutes les versions et variantes du produit concernées
- Identifiant CVE — numéro CVE attribué par un CNA, ou motif de non-attribution
- Remédiation déployée — numéro de version du correctif, date de publication, mécanisme de livraison
- Notification des utilisateurs — description des modalités et du calendrier d'information des utilisateurs
- Statut de divulgation publique — indication de la publication d'un bulletin de sécurité et de son emplacement
- Informations sur l'acteur de la menace — si connus, indication de l'exploitation par un acteur spécifique
La chaîne de signalement en trois étapes de l'art. 14
| Étape | Délai | Statut |
|---|---|---|
| Avertissement précoce (OBL-ART14-01) | 24 heures | Prise de connaissance confirmée |
| Notification détaillée (OBL-ART14-02) | 72 heures | Détails techniques disponibles |
| Rapport final | 14 jours | Analyse complète et remédiation terminée |
Preuves éventuellement requises
- Soumission horodatée du rapport final depuis la plateforme ENISA
- Enregistrement d'attribution du CVE
- Bulletin de sécurité publié
- Enregistrements de notification des utilisateurs
- Document de bilan post-incident ou d'analyse de la cause profonde