Segnalare ad ENISA le vulnerabilità attivamente sfruttate e gli incidenti
- Si applica a
- Manufacturer
- Citazioni fonti
- Art. 14(1)Art. 14(2)Art. 14(3)
- Classi di prodotto
- DefaultImportant — Class IImportant — Class IICritical
Linguaggio semplice
Se si scopre — o si viene informati — che una vulnerabilità nel proprio prodotto è attivamente sfruttata da attaccanti, è necessario segnalarla urgentemente ad ENISA. Si dispone di 24 ore per inviare un'allerta precoce, 72 ore per inviare una notifica completa e 14 giorni per inviare una relazione finale con il piano di remediation. Il mancato rispetto di questi termini costituisce una violazione normativa. Questo termine decorre dall'11 settembre 2026.
Testo giuridico
L'articolo 14, paragrafo 1, del regolamento (UE) 2024/2847 richiede che i fabbricanti che vengano a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave che interessa il loro prodotto notifichino ENISA senza indebito ritardo tramite la piattaforma di segnalazione unica.
Tempistiche di segnalazione (Art. 14(2)–(3)):
| Segnalazione | Termine |
|---|---|
| Allerta precoce | 24 ore dalla presa di conoscenza |
| Notifica vulnerabilità / incidente | 72 ore dalla presa di conoscenza |
| Relazione finale | 14 giorni dalla presa di conoscenza |
Applicabile dal
11 settembre 2026 — gli obblighi dell'Art. 14 si applicano prima del regolamento completo (11 dicembre 2027). Pianificare di conseguenza il processo di risposta agli incidenti.
Requisiti fondamentali
- Allerta precoce entro 24 ore — segnale ad ENISA che è in corso un evento grave
- Notifica entro 72 ore — dettagli della vulnerabilità o dell'incidente
- Relazione finale entro 14 giorni — misure di remediation, causa principale, cronologia
- Piattaforma di segnalazione unica ENISA — utilizzare la piattaforma quando è operativa
- Notifica agli utenti interessati — l'Art. 14(8) richiede la notifica agli utenti interessati senza indebito ritardo
Documentazione che potrebbe essere necessaria
- Documentazione del processo di risposta agli incidenti / PSIRT
- Politica di divulgazione delle vulnerabilità
- Registrazioni delle segnalazioni dalla piattaforma ENISA
- Cronologia interna (quando si è venuti a conoscenza, quando si è segnalato)