OBL-ART14-03Binding
Presentare ad ENISA una relazione finale sulla vulnerabilità entro 14 giorni
- Si applica a
- Manufacturer
- Citazioni fonti
- Art. 14(3)Art. 14(5)
- Classi di prodotto
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Linguaggio semplice
Si dispone di 14 giorni dalla prima presa di conoscenza di una vulnerabilità attiva per inviare ad ENISA una relazione completa. A questo punto è necessario fornire il quadro completo: qual era la vulnerabilità, quanto era grave e come è stata corretta. Si tratta della terza fase della catena: 24 ore, poi 72 ore, poi 14 giorni.
Testo giuridico
L'articolo 14, paragrafo 3, del regolamento (UE) 2024/2847 richiede che, entro 14 giorni dalla presa di conoscenza di una vulnerabilità attivamente sfruttata, i fabbricanti presentino ad ENISA una relazione finale contenente:
- Una descrizione completa della vulnerabilità, inclusa la sua gravità e il suo impatto
- Ove applicabile: gli attori della minaccia coinvolti (se noti e comunicabili)
- Informazioni sulle misure correttive o di mitigazione adottate
- Se la vulnerabilità è stata divulgata pubblicamente
- Il CVE assegnato (o motivazione per la mancata assegnazione di un CVE)
L'articolo 14, paragrafo 5, specifica che la relazione viene presentata tramite la piattaforma di segnalazione unica ENISA.
Data di entrata in vigore
Tale obbligo si applica dall'11 settembre 2026.
Contenuto richiesto della relazione finale
- Descrizione completa della vulnerabilità — analisi tecnica completa
- Analisi della causa principale — dove ha avuto origine la vulnerabilità
- Punteggio CVSS — finale, rivalutato se necessario dopo l'analisi completa
- Versioni interessate — tutte le versioni e varianti del prodotto nell'ambito
- Identificatore CVE — numero CVE assegnato da un CNA, o motivo per cui non ne è stato assegnato uno
- Remediation distribuita — numero di versione dell'aggiornamento, data di rilascio, meccanismo di distribuzione
- Notifica agli utenti — descrizione delle modalità e della tempistica della comunicazione agli utenti
- Stato della divulgazione pubblica — se è stato pubblicato un advisory di sicurezza e dove
- Informazioni sull'attore della minaccia — se noto, se un attore specifico sta sfruttando la vulnerabilità
La catena di segnalazione in tre fasi dell'Art. 14
| Fase | Termine | Stato |
|---|---|---|
| Allerta precoce (OBL-ART14-01) | 24 ore | Presa di conoscenza confermata |
| Notifica dettagliata (OBL-ART14-02) | 72 ore | Dettagli tecnici disponibili |
| Relazione finale | 14 giorni | Analisi completa e remediation |
Documentazione che potrebbe essere necessaria
- Segnalazione finale con timestamp dalla piattaforma ENISA
- Registrazione dell'assegnazione CVE
- Advisory di sicurezza pubblicato
- Registrazioni delle notifiche agli utenti
- Documento di postmortem interno o analisi della causa principale