CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
첫 번째 CRA 필수 기한 — 18개월 일찍 적용

제14조 — 취약점 보고 및 통지 의무

2026년 9월 11일부터 모든 범위 내 제조업체는 적극적으로 악용되는 취약점과 심각한 사고를 ENISA에 보고해야 합니다 — CRA의 나머지 조항이 2027년 12월에 적용되기 전에.

제14조가 요구하는 것

규정 (EU) 2024/2847의 제14조는 제조업체가 제품의 취약점이 공격자에 의해 야생에서 적극적으로 악용되고 있거나 심각한 사고가 발생했음을 발견할 때마다 ENISA에 필수 3단계 보고 체인을 만듭니다.

이는 영향을 받는 사용자에게 통지하는 것(제14(4)조)과 별개이며, 이는 동시에 이루어져야 합니다. ENISA에 보고하는 것이 사용자 통지를 대체하지 않습니다.

보고는 ENISA 단일 보고 플랫폼을 통해 제출되며, 관련 국가 CSIRT에 정보를 전달합니다. 이 플랫폼은 2026년 9월 11일까지 운영되어야 합니다.

3단계 보고 체인

타이머는 제조업체가 적극적 악용을 인지한 시점부터 시작됩니다 — 취약점이 확인되거나 완전히 분석된 시점이 아닙니다.

1Art. 14(2)

24시간

조기 경보

심각한 사건이 진행 중임을 ENISA에 알립니다. 최소한의 세부 정보 필요 — 속도가 우선입니다.

2Art. 14(2)

72시간

전체 통지

ENISA에 상세 통지: 제품 식별, 취약점 설명, 심각도, 영향, 그리고 취해진 또는 계획된 교정 또는 완화 조치.

3Art. 14(3)

14일

최종 보고서

완전한 분석: CVE 식별자, CVSS 점수, 근본 원인, 배포된 수정 조치, 취약점이 공개적으로 공개되었는지 여부, 사용자에게 통지되었다는 확인.

영향을 받는 사용자에게 통지 (제14(4)조)

ENISA 보고 체인과 병행하여 제조업체는 영향을 받는 사용자에게 부당한 지연 없이 통지해야 합니다. 완전한 수정을 기다리지 마세요 — 사용자는 다음을 알아야 합니다:

  • 어떤 제품과 버전이 영향을 받는지
  • 취약점의 성격과 적극적 악용이 관찰되었다는 것
  • 패치가 제공되기 전에 즉시 취할 수 있는 완화 조치
  • 패치가 제공되는지 여부와 획득 방법 — 또는 예상 릴리스 일정

누가 준수해야 하는가

제조업체 ✓

모든 범위 내 디지털 요소 제품 제조업체 — 제품 클래스에 관계없이. 제14조는 2026년 9월 11일부터 모든 제조업체에 적용됩니다.

수입업체 및 유통업체 —

제14조에 따라 ENISA에 직접 보고할 필요는 없습니다. 그러나 제조업체가 제14조 기한을 맞출 수 있도록 부당한 지연 없이 취약점 정보를 제조업체에 전달해야 합니다(제20조/제24조).

제14조 의무 카드

4가지 원자적 의무 — 각각 규정 조항까지 추적 가능하며, 증거 지침 및 쉬운 설명이 포함되어 있습니다.

OBL-ART14-01Binding

적극적으로 악용되는 취약점 및 사고를 ENISA에 신고

제조업체는 제품의 적극적으로 악용되는 취약점을 단일 신고 플랫폼을 통해 24시간 이내(조기 경고) 및 72시간 이내(통보)에 ENISA에 신고하여야 합니다. 최종 보고서는 14일 이내에 제출되어야 합니다. 이 의무는 2026년 9월 11일부터 적용됩니다.

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

72시간 이내에 ENISA에 상세 취약점 통보 제출

제품에서 적극적으로 악용되는 취약점을 인지한 후 72시간 이내에 제조업체는 단일 신고 플랫폼을 통해 ENISA에 상세 취약점 통보를 제출하여야 합니다. 이는 24시간 조기 경고(OBL-ART14-01)에 이어지는 것으로, 영향을 받은 제품과 취약점에 관한 기술적 세부 사항을 포함하여야 합니다.

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

14일 이내에 ENISA에 최종 취약점 보고서 제출

적극적으로 악용되는 취약점을 인지한 후 14일 이내에 제조업체는 취약점에 대한 완전한 설명, 취한 시정 조치 및 취약점이 공개적으로 공개되었는지 여부 또는 CVE가 할당되었는지 여부를 포함하는 최종 보고서를 ENISA에 제출하여야 합니다.

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

지체 없이 사용자에게 적극적으로 악용되는 취약점 통보

취약점이 적극적으로 악용되고 있는 경우, 제조업체는 영향을 받은 사용자에게 지체 없이 통보하여야 합니다. 통보에는 패치가 출시되기 전에 사용자가 보호 조치를 취할 수 있도록 충분한 정보 및 이용 가능한 완화 조치가 포함되어야 합니다.

Art. 14(4)
Manufacturer

비준수에 대한 제재 (제64조)

CRA 개요 페이지에서 모든 제재 단계 확인하기 →

Art. 14 — Vulnerability & Incident Reporting

Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.

보고 기한 계산기

악용 취약점을 인지한 날짜와 시간을 입력하여 세 가지 ENISA 보고 기한을 계산합니다.

Open tool

ENISA 보고 도우미

제14조 3단계 보고 체인의 각 단계별 인터랙티브 체크리스트.

Open tool

CVD 정책 빌더

협력적 취약점 공개 정책, security.txt, ENISA 보고 워크플로 템플릿을 생성합니다.

Open tool

기한 전에 준비하세요

모든 제조업체 의무를 검토하고, 제품 분류를 이해하고, 모든 CRA 날짜가 포함된 전체 규제 타임라인을 확인하세요.

모든 의무규제 타임라인
Article 14 — Vulnerability reporting & notification obligations — CRA 컴플라이언스 허브