OBL-ART14-03Binding
14日以内のENISAへの最終脆弱性報告の提出
- 対象者
- Manufacturer
- 出典引用
- Art. 14(3)Art. 14(5)
Last reviewed
わかりやすい説明
積極的な欠陥を最初に知ってから14日以内にENISAに完全な報告を送る。ここでは完全な内容が必要である:欠陥が何であったか、 どの程度深刻であったか、どのように修正したか。これは連鎖の第三段階である:24時間、次に72時間、次に14日。
法律条文
規則(EU)2024/2847第14条第3項は、積極的に悪用された脆弱性を認識してから14日以内に、製造業者がENISAに以下を含む最終報告を提出することを義務付けている:
- 深刻度と影響を含む脆弱性の完全な説明
- 該当する場合:関与する脅威アクター(既知で共有可能な場合)
- 実施された是正または緩和措置に関する情報
- 脆弱性が公開開示されているかどうか
- 割り当てられたCVE(またはCVEが割り当てられなかった理由)
第14条第5項は、報告がENISAの単一報告プラットフォームを通じて提出されることを規定している。
有効日
この義務は2026年9月11日から適用される。
最終報告の必要な内容
- 完全な脆弱性の説明——完全な技術的分析
- 根本原因分析——脆弱性がどこで生じたか
- CVSSスコア——完全な分析後に必要に応じて再評価した最終スコア
- 影響を受けたバージョン——スコープ内のすべての製品バージョンと変種
- CVE識別子——CNAが割り当てたCVE番号、またはCVEが割り当てられなかった理由
- 展開済みの修正——アップデートバージョン番号、リリース日、提供メカニズム
- ユーザー通知——ユーザーへの通知方法とタイムラインの説明
- 公開開示状況——セキュリティアドバイザリが公開されたかどうかとその場所
- 脅威アクター情報——既知の場合、特定のアクターが悪用しているかどうか
第14条の3段階報告連鎖
| ステップ | 期限 | 状況 |
|---|---|---|
| 早期警告(OBL-ART14-01) | 24時間 | 認識確認 |
| 詳細通知(OBL-ART14-02) | 72時間 | 技術的詳細が利用可能 |
| 最終報告 | 14日 | 完全な分析と修正 |
必要となり得る証拠
- ENISAプラットフォームからのタイムスタンプ付き最終報告の提出
- CVE割り当て記録
- 公開されたセキュリティアドバイザリ
- ユーザー通知記録
- 内部インシデントポストモーテムまたは根本原因分析文書