Presentare ad ENISA una notifica dettagliata della vulnerabilità entro 72 ore
- Si applica a
- Manufacturer
- Citazioni fonti
- Art. 14(2)Art. 14(5)
- Classi di prodotto
- DefaultImportant — Class IImportant — Class IICritical
Linguaggio semplice
Dopo l'allerta precoce entro 24 ore ad ENISA, si dispone di un massimo di 72 ore dalla prima presa di conoscenza per inviare una notifica di follow-up più dettagliata. Questa deve includere i dettagli del prodotto, le informazioni sulla vulnerabilità e le misure di sicurezza adottate o pianificate. Il termine decorre dal momento in cui si viene a conoscenza dello sfruttamento attivo — non da quando si confermano i dettagli completi.
Testo giuridico
L'articolo 14, paragrafo 2, del regolamento (UE) 2024/2847 richiede che i fabbricanti, senza indebito ritardo e in ogni caso entro 72 ore dalla presa di conoscenza di una vulnerabilità attivamente sfruttata, notifichino ad ENISA:
- La vulnerabilità
- Il/i prodotto/i interessato/i
- La gravità e l'impatto della vulnerabilità
- Le misure correttive o di mitigazione adottate o pianificate
- Se la vulnerabilità è stata divulgata pubblicamente
L'articolo 14, paragrafo 5, specifica che le notifiche vengono presentate tramite la piattaforma di segnalazione unica ENISA, che invia le informazioni ai CSIRT nazionali competenti.
Data di entrata in vigore
Tale obbligo si applica dall'11 settembre 2026.
Contenuto richiesto della notifica
La notifica entro 72 ore deve includere:
- Identificazione del prodotto — nome, versione, dati del fabbricante
- Descrizione della vulnerabilità — dettagli tecnici incluso il CVE (se assegnato)
- Punteggio CVSS — valutazione della gravità
- Prove dello sfruttamento attivo — come si è venuti a conoscenza dello sfruttamento attivo
- Popolazione di utenti interessati — portata dell'impatto
- Misure di mitigazione — misure già adottate per contenere il rischio
- Piano di remediation — tempistica pianificata per la patch e meccanismo di distribuzione
- Stato della notifica agli utenti — se gli utenti sono stati informati
Relazione con l'allerta precoce entro 24 ore
| Fase | Termine | Contenuto richiesto |
|---|---|---|
| Allerta precoce (OBL-ART14-01) | 24 ore | Esistenza di una vulnerabilità attivamente sfruttata |
| Notifica dettagliata | 72 ore | Dettagli tecnici, gravità, misure correttive |
| Relazione finale (OBL-ART14-03) | 14 giorni | Analisi completa e dettagli completi di remediation |
Documentazione che potrebbe essere necessaria
- Registrazioni con timestamp delle segnalazioni dalla piattaforma ENISA
- Cronologia interna che mostra quando è stata stabilita la presa di conoscenza
- Copia della notifica presentata (oscurata ove necessario per motivi di sicurezza)
- Registrazioni che dimostrano la notifica entro 72 ore dalla presa di conoscenza