OBL-ART14-01Binding
積極的に悪用された脆弱性およびインシデントのENISAへの報告
- 対象者
- Manufacturer
- 出典引用
- Art. 14(1)Art. 14(2)Art. 14(3)
Last reviewed
わかりやすい説明
製品の脆弱性が攻撃者によって積極的に悪用されていることを発見した場合、または通知を受けた場合は、ENISAに緊急に報告しなければならない。 24時間以内に早期警告を送り、72時間以内に完全な通知を送り、14日以内に修正計画を含む最終報告を送らなければならない。 これらの期限を守らないことは規制違反となる。この時計は2026年9月11日から始まる。
法律条文
規則(EU)2024/2847第14条第1項は、積極的に悪用された脆弱性または製品に影響する重大インシデントを認識した製造業者は、単一報告プラットフォームを通じてENISAに不当な遅延なく通知することを義務付けている。
報告タイムライン(第14条第2項〜第3項):
| 報告 | 期限 |
|---|---|
| 早期警告 | 認識から24時間以内 |
| 脆弱性/インシデント通知 | 認識から72時間以内 |
| 最終報告 | 認識から14日以内 |
適用開始日
2026年9月11日——第14条の義務は規則全体(2027年12月11日)よりも前に適用される。それに応じてインシデント対応プロセスを計画すること。
主な要件
- 24時間の早期警告——深刻な事象が進行中であることをENISAに通知する
- 72時間通知——脆弱性またはインシデントの詳細
- 14日間の最終報告——修正手順、根本原因、タイムライン
- ENISAの単一報告プラットフォーム——稼働開始後はプラットフォームを使用する
- 影響を受けたユーザーへの通知——第14条第8項は影響を受けたユーザーへの不当な遅延のない通知を義務付けている
必要となり得る証拠
- インシデント対応/PSIRTプロセス文書
- 脆弱性開示ポリシー
- ENISAの報告プラットフォームからの提出記録
- 内部タイムライン追跡(認識時期と報告時期)