積極的に悪用されている脆弱性
デジタル要素を含む製品において、悪意のある主体が実際に悪用しているという 信頼できる証拠が存在する脆弱性。製造業者は、認識してから24時間以内にENISA に報告する義務がある。この要件はCRAが定めるCVD体制の一部を構成する。
出典引用
法的根拠
規則(EU)2024/2847第13条(6)は製造業者に対して次の義務を課している:
「製造業者は、デジタル要素を含む製品に含まれる積極的に悪用されている 脆弱性を認識した後、遅滞なく、いかなる場合も24時間以内にENISAに通知 しなければならない。」
通知期限
| 期限 | 要件 |
|---|---|
| 24時間 | ENISAへの早期警告(初期通知) |
| 72時間 | 初期評価を含むインシデント報告 |
| 14日 | 詳細分析を含む最終報告 |
脆弱性に関するその他の義務との関係
製造業者は通知に加えて以下を行う必要がある:
- CVDポリシーに従って脆弱性を公開する — 第13条(9)
- 脆弱性を修正しセキュリティアップデートを提供する — 附属書I第II部
- 欧州脆弱性データベースの登録を更新する — 第13条(7)