重大インシデント
デジタル要素を含む製品の開発・製造・保守に使用される製造業者のネットワーク および情報システムのセキュリティに実際の悪影響を及ぼすインシデント。その ようなインシデントの発見は製造業者に対し、24時間以内に関連するCSIRTおよび ENISAへの強制的な通知義務を生じさせる。
出典引用
法的根拠
規則(EU)2024/2847第3条(39)はNIS 2指令(指令(EU)2022/2555)第6条(6)の 「インシデント」の定義を参照している。
通知期限(第14条(1))
| 期限 | 要件 |
|---|---|
| 24時間 | CSIRTとENISAへの早期警告 |
| 72時間 | 重大性の初期評価を含むインシデント通知 |
| 1ヶ月 | 詳細な分析と修復措置を含む最終報告 |
重大インシデントと積極的に悪用されている脆弱性の区別
| 種類 | 通知システム |
|---|---|
| 重大インシデント | 第14条(1) — CSIRT + ENISA + 場合によっては他機関 |
| 積極的に悪用されている脆弱性 | 第13条(6) — ENISA(脆弱性データベース) |
通知チャネル
- 通知は製造業者が所在する加盟国のCSIRTに送付する
- ENISAは欧州脆弱性データベースと提案されている中央通知システム(CVSS) を通じて直接通知を受け取る