OBL-ART24-02Binding
積極的に悪用された脆弱性および重大インシデントの通知
- 対象者
- Open-source steward
- 出典引用
- Art. 24(2)
Last reviewed
わかりやすい説明
OSSの脆弱性が実際に悪用されていること、またはソフトウェアに重大なセキュリティインシデントが発生したことを認識した場合は、 不当な遅延なく関連するCSIRTコーディネーターに通知しなければならない。これは第14条の24時間報告ウィンドウよりも軽い義務だが、 「不当な遅延なく」は依然として迅速を意味する——数週間ではなく数日。CSIRTは対応を調整し脆弱性開示を支援する。
法律条文
規則(EU)2024/2847第24条第2項は、オープンソースソフトウェア管理者が不当な遅延なく、かつ実施行為によって定められた期限内に、指令(EU)2022/2555第12条第1項に基づいてコーディネーターとして指定されたCSIRTに以下を通知することを規定している:
- 管理するオープンソースソフトウェアコンポーネントに含まれる積極的に悪用された脆弱性;および
- 当該オープンソースソフトウェアコンポーネントのセキュリティに影響する重大インシデント。
通知後、CSIRTは報告された情報を秘密として取り扱い、協調的な脆弱性開示プラクティスに従ってオープンソースソフトウェア管理者が脆弱性を開示することを支援する。
主な要件
- トリガー:積極的な悪用——ソフトウェアの脆弱性が実際に悪用されていることを認識したときに義務が生じる
- トリガー:重大インシデント——ソフトウェアのセキュリティ特性に影響する重大なセキュリティインシデントにも義務が生じる
- 通知先:CSIRTコーディネーター——ENISAにではなく、NIS2指令第12条の下で国内CSIRTコーディネーターとして指定された機関に通知する
- 不当な遅延なく——迅速な通知;正確な期限は実施行為で定められる
- 秘密保持——CSIRTは報告された情報を秘密として取り扱い協調的開示を支援する
必要となり得る証拠
- CSIRTコーディネーターへの通知(日時、内容、方法)
- 積極的な悪用を監視・検出するための内部プロセス
- 認識した時期と実施した措置を記録したインシデントログ
- 協調的開示タイムライン