Notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi

L'articolo 24, paragrafo 2, del regolamento (UE) 2024/2847 prevede che i gestori di software open-source notifichino, senza indebito ritardo e in ogni caso entro il termine stabilito dagli atti di esecuzione, al CSIRT designato come coordinatore ai sensi dell'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555:

• qualsiasi vulnerabilità attivamente sfruttata contenuta nei componenti software open-source che amministrano; e
• qualsiasi incidente grave che abbia un impatto sulla sicurezza di tali componenti software open-source.

A seguito della notifica, il CSIRT tratta le informazioni segnalate in modo riservato e assiste il gestore del software open-source nella divulgazione della vulnerabilità conformemente alle pratiche di divulgazione coordinata delle vulnerabilità.

1. Trigger: sfruttamento attivo — l'obbligo sorge quando si viene a conoscenza che una vulnerabilità nel proprio software è attivamente sfruttata
2. Trigger: incidente grave — l'obbligo sorge anche per gravi incidenti di sicurezza che incidono sulle proprietà di sicurezza del software
3. Destinatario: coordinatore CSIRT — notificare il CSIRT nazionale designato come coordinatore ai sensi dell'Art. 12 della direttiva NIS 2, non ENISA direttamente
4. Senza indebito ritardo — notifica tempestiva; il termine esatto sarà stabilito dall'atto di esecuzione
5. Riservatezza — il CSIRT gestisce le informazioni segnalate in modo riservato e supporta la divulgazione coordinata

• Notifica inviata al coordinatore CSIRT (data, contenuto, metodo)
• Processo interno per il monitoraggio e il rilevamento dello sfruttamento attivo
• Registro degli incidenti che documenta quando è stata acquisita la conoscenza e le azioni adottate
• Cronologia della divulgazione coordinata