OBL-ART14-02Binding
72時間以内のENISAへの詳細な脆弱性通知の提出
- 対象者
- Manufacturer
- 出典引用
- Art. 14(2)Art. 14(5)
Last reviewed
わかりやすい説明
ENISAへの24時間の早期警告の後、最初に認識してから最大72時間以内により詳細なフォローアップ通知を送付する。 これには製品の詳細、脆弱性情報、および実施済みまたは実施予定のセキュリティ措置を含めなければならない。 時計は完全な詳細を確認した時点からではなく、積極的な悪用を最初に認識した時点から始まる。
法律条文
規則(EU)2024/2847第14条第2項は、積極的に悪用された脆弱性を認識した後、不当な遅延なく、かつ72時間以内に、製造業者がENISAに以下を通知することを義務付けている:
- 脆弱性
- 影響を受ける製品
- 脆弱性の深刻度と影響
- 実施済みまたは予定されている是正または緩和措置
- 脆弱性が公開開示されているかどうか
第14条第5項は、通知がENISAの単一報告プラットフォームを通じて提出され、関連する国内CSIRT(s)に情報が伝達されることを規定している。
有効日
この義務は2026年9月11日から適用される。
必要な通知内容
72時間通知には以下を含めなければならない:
- 製品識別——名称、バージョン、製造業者の詳細
- 脆弱性の説明——CVE(割り当て済みの場合)を含む技術的詳細
- CVSSスコア——深刻度評価
- 積極的な悪用の証拠——積極的に悪用されていることをどのように知ったか
- 影響を受けたユーザー数——影響の範囲
- 緩和措置——リスクを封じ込めるために既に講じた措置
- 修正計画——計画されたパッチタイムラインと提供メカニズム
- ユーザー通知状況——ユーザーへの通知の有無
24時間の早期警告との関係
| ステップ | 期限 | 必要な内容 |
|---|---|---|
| 早期警告(OBL-ART14-01) | 24時間 | 積極的に悪用された脆弱性の存在 |
| 詳細通知 | 72時間 | 技術的詳細、深刻度、是正措置 |
| 最終報告(OBL-ART14-03) | 14日 | 完全な分析と完全な修正詳細 |
必要となり得る証拠
- ENISAの報告プラットフォームからのタイムスタンプ付き提出記録
- 認識がいつ確立されたかを示す内部タイムライン
- 提出した通知のコピー(セキュリティ上の理由から必要に応じて編集済み)
- 認識から72時間以内に通知が送付されたことを示す記録