Vulnerabilità attivamente sfruttata
Una vulnerabilità per la quale esistono prove di sfruttamento attivo in ambienti reali. Il CRA impone ai fabbricanti di notificare le vulnerabilità attivamente sfruttate nei propri prodotti al CSIRT di riferimento e all'ENISA entro 24 ore dalla relativa conoscenza, ai sensi dell'articolo 14(2)(a).
Citazioni fonti
Vedi anche
Testo normativo
L'articolo 14(2)(a) del Regolamento (UE) 2024/2847 impone ai fabbricanti di notificare senza indugio e, in ogni caso, entro 24 ore dalla conoscenza di una vulnerabilità attivamente sfruttata.
L'articolo 3(47) definisce una vulnerabilità attivamente sfruttata come quella:
«per la quale esistono prove che un attore di minaccia la stia sfruttando in sistemi in uso reale».
Perché conta la soglia delle 24 ore
La notifica tempestiva consente alle autorità di:
- Allertare altri fabbricanti interessati dallo stesso componente vulnerabile
- Pubblicare indicazioni di mitigazione prima che sia disponibile una patch
- Coordinare la risposta attraverso la rete CSIRT dell'UE
Flusso di notifica
- 24 h — Notifica iniziale al CSIRT di riferimento (e all'ENISA)
- 72 h — Notifica di aggiornamento con valutazione della gravità
- 14 giorni — Relazione finale con dettagli sulla correzione
Il CSIRT può trasmettere le informazioni all'ENISA, che le aggregherà nella banca dati europea delle vulnerabilità.