CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
最初のCRA必須期限 — 18ヶ月早く適用

第14条 — 脆弱性の報告・通知義務

2026年9月11日より、対象範囲内のすべての製造業者は、積極的に悪用されている脆弱性および重大インシデントをENISAに報告する必要があります — CRAの残りの規定が2027年12月に適用される前に。

第14条が求めること

規則(EU)2024/2847の第14条は、製造業者が製品の脆弱性が攻撃者によって実際に悪用されていることや重大インシデントが発生したことを発見した場合に、ENISAへの必須の3段階報告チェーンを作成します。

これは影響を受けるユーザーへの通知(第14(4)条)とは別のものであり、同時に行わなければなりません。ENISAへの報告はユーザーへの通知に代わるものではありません。

報告はENISA単一報告プラットフォームを通じて提出され、関連する国家CSIRT(s)に情報が転送されます。このプラットフォームは2026年9月11日までに運用開始する必要があります。

3段階報告チェーン

タイマーは製造業者が積極的な悪用を認識した時点から始まります — 脆弱性が確認または完全に分析された時点からではありません。

1Art. 14(2)

24時間

早期警告

重大なイベントが進行中であることをENISAに知らせます。最小限の詳細で十分 — 速度が優先事項です。

2Art. 14(2)

72時間

完全通知

ENISAへの詳細通知:製品識別、脆弱性の説明、深刻度、影響、および実施済みまたは計画中の是正・緩和措置。

3Art. 14(3)

14日

最終報告

完全な分析:CVE識別子、CVSSスコア、根本原因、実施済みの修復措置、脆弱性が公開されたかどうか、およびユーザーが通知されたことの確認。

影響を受けるユーザーへの通知(第14(4)条)

ENISAの報告チェーンと並行して、製造業者は影響を受けるユーザーに不当な遅延なく通知する必要があります。完全な修正を待たないでください — ユーザーは以下を知る必要があります:

  • どの製品とバージョンが影響を受けているか
  • 脆弱性の性質と積極的な悪用が観察されたこと
  • パッチが利用可能になる前にすぐに実施できる緩和措置
  • パッチが利用可能かどうか、どのように入手するか — または予想されるリリーススケジュール

誰が遵守する必要があるか

製造業者 ✓

対象範囲内のデジタル要素を含む製品のすべての製造業者 — 製品クラスに関わらず。第14条は2026年9月11日よりすべての製造業者に適用されます。

輸入業者・販売業者 —

第14条に基づいてENISAへの直接報告は求められていません。ただし、製造業者が第14条の期限を守れるよう、不当な遅延なく脆弱性情報を製造業者に伝達する必要があります(第20条・第24条)。

第14条義務カード

4つの原子的義務 — それぞれが規則の条文に追跡可能で、証拠ガイダンスと平易な説明が付いています。

OBL-ART14-01Binding

積極的に悪用された脆弱性およびインシデントのENISAへの報告

製造業者は、製品内の積極的に悪用された脆弱性を、24時間以内(早期警告)および72時間以内(通知)にENISAの単一報告プラットフォームを通じて報告しなければならない。 最終報告は14日以内に提出が必要である。この義務は2026年9月11日から適用される。

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

72時間以内のENISAへの詳細な脆弱性通知の提出

製品内の積極的に悪用された脆弱性を認識してから72時間以内に、製造業者はENISAの単一報告プラットフォームを通じて詳細な脆弱性通知を提出しなければならない。 これは24時間の早期警告(OBL-ART14-01)に続くものであり、脆弱性および影響を受ける製品に関する技術的詳細を含まなければならない。

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

14日以内のENISAへの最終脆弱性報告の提出

積極的に悪用された脆弱性を認識してから14日以内に、製造業者は脆弱性の完全な説明、実施された是正措置、 脆弱性が公開開示されているかどうかまたはCVEが割り当てられているかどうかを含む最終報告をENISAに提出しなければならない。

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

積極的に悪用された脆弱性のユーザーへの不当な遅延のない通知

脆弱性が積極的に悪用されている場合、製造業者は影響を受けたユーザーに不当な遅延なく通知しなければならない。 通知には、パッチがリリースされる前に利用可能な緩和措置を含む、ユーザーが防護的な措置を取るのに十分な情報を含めなければならない。

Art. 14(4)
Manufacturer

コンプライアンス違反に対する制裁(第64条)

CRA概要ページですべての制裁金水準を確認する →

Art. 14 — Vulnerability & Incident Reporting

Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.

報告期限計算ツール

悪用脆弱性を認識した日時を入力して、ENISAへの3つの報告期限を計算します。

Open tool

ENISA報告支援ツール

第14条の3段階報告チェーンの各ステップのインタラクティブチェックリスト。

Open tool

CVDポリシービルダー

協調的脆弱性開示ポリシー、security.txt、ENISAワークフローテンプレートを生成します。

Open tool

期限前に準備する

すべての製造業者の義務を確認し、製品分類を理解し、すべてのCRA日程を含む完全な規制タイムラインを確認してください。

すべての義務規制タイムライン
Article 14 — Vulnerability reporting & notification obligations — CRAコンプライアンスハブ