CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART14-04Binding

Notificare agli utenti le vulnerabilità attivamente sfruttate senza indebito ritardo

Si applica a
Manufacturer
Citazioni fonti
Art. 14(4)
Last reviewed

Linguaggio semplice

Se una vulnerabilità nel prodotto viene utilizzata per attaccare gli utenti, è necessario informarli immediatamente. Non aspettare la correzione. Comunicare qual è il rischio e cosa possono fare per proteggersi. Utilizzare i normali canali di aggiornamento o di allerta — ma agire rapidamente.

Testo giuridico

L'articolo 14, paragrafo 4, del regolamento (UE) 2024/2847 richiede che i fabbricanti notifichino agli utenti dei prodotti con elementi digitali interessati da una vulnerabilità attivamente sfruttata, senza indebito ritardo, con informazioni sufficienti a consentire a tali utenti di adottare misure di protezione.

Tale obbligo di notifica si svolge in parallelo agli obblighi di segnalazione ad ENISA (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03) — la notifica ad ENISA non sostituisce la notifica agli utenti.

Data di entrata in vigore

Tale obbligo si applica dall'11 settembre 2026.

Contenuto richiesto della notifica agli utenti

La notifica agli utenti deve includere:

  1. Prodotto e versioni interessate — quali esatti prodotti e versioni firmware/software sono interessati
  2. Natura della vulnerabilità — descrizione in linguaggio semplice del rischio
  3. Conferma dello sfruttamento — dichiarazione che è stato osservato uno sfruttamento attivo
  4. Misure di mitigazione disponibili — misure che gli utenti possono adottare immediatamente (soluzioni alternative, modifiche alla configurazione, isolamento di rete) in attesa di una correzione completa
  5. Disponibilità dell'aggiornamento — se è disponibile una patch e come ottenerla; se non ancora disponibile, una tempistica prevista
  6. Indicazioni sull'urgenza — priorità raccomandata per l'applicazione dell'aggiornamento

Canali di notifica

Utilizzare canali raggiungibili dagli utenti che potrebbero non verificare proattivamente gli aggiornamenti:

  • Allerta di sicurezza nel prodotto (notifica push o banner)
  • E-mail agli utenti registrati
  • Avviso in evidenza sul sito web del prodotto/supporto
  • Note di aggiornamento dell'app store / della piattaforma

La scelta del canale deve essere proporzionata alla gravità e alla sfruttabilità.

Documentazione che potrebbe essere necessaria

  • Registrazioni della notifica agli utenti — timestamp, contenuto, canali utilizzati
  • Conferma di consegna (ricevute e-mail, analisi delle notifiche)
  • Advisory di sicurezza pubblicato con indicazioni di remediation per gli utenti
  • Registrazioni che dimostrano che la notifica ha preceduto o accompagnato il rilascio della patch
Notificare agli utenti le vulnerabilità attivamente sfruttate senza indebito ritardo — Hub Conformità CRA