積極的に悪用された脆弱性のユーザーへの不当な遅延のない通知

規則（EU）2024/2847第14条第4項は、製造業者が積極的に悪用された脆弱性の影響を受けるデジタル要素を含む製品のユーザーに対して、不当な遅延なく、当該ユーザーが防護的な措置を取れるよう十分な情報を通知することを義務付けている。

この通知義務はENISAへの報告義務（OBL-ART14-01、OBL-ART14-02、OBL-ART14-03）と並行して実施される——ENISAへの通知はユーザーへの通知の代わりにはならない。

この義務は2026年9月11日から適用される。

ユーザーへの通知には以下を含めなければならない：

1. 影響を受ける製品とバージョン——どの製品とファームウェア/ソフトウェアバージョンが影響を受けるかを正確に
2. 脆弱性の性質——リスクのわかりやすい説明
3. 悪用の確認——積極的な悪用が観察されたという声明
4. 利用可能な緩和措置——完全な修正が出るまでユーザーが直ちに取れる措置（回避策、設定変更、ネットワーク分離）
5. アップデートの利用可能性——パッチが利用可能かどうかと入手方法；まだ利用できない場合は予想タイムライン
6. 緊急度ガイダンス——アップデート適用の推奨優先度

積極的にアップデートを確認しないユーザーにも届くチャンネルを使用する：

• 製品内のセキュリティアラート（プッシュ通知またはバナー）
• 登録ユーザーへのメール
• 製品/サポートウェブサイトの目立つ通知
• アプリストア/プラットフォームのアップデートノート

チャンネルの選択は深刻度と悪用可能性に比例したものでなければならない。

• ユーザー通知記録——タイムスタンプ、内容、使用チャンネル
• 配信確認（メール受信確認、通知分析）
• ユーザー向け修正ガイダンスを含む公開セキュリティアドバイザリ
• 通知がパッチリリースより前または同時に行われたことを示す記録