적극적으로 악용되는 취약점
악의적인 행위자가 실제로 악용하고 있다는 신뢰할 수 있는 증거가 있는 디지털 요소가 포함된 제품의 취약점. 제조업체는 인지한 후 24시간 이내에 지체 없이 ENISA에 보고해야 한다. 이 요건은 CRA가 규정하는 CVD 체계의 일부를 구성한다.
출처 인용
법적 근거
규정(EU) 2024/2847 제13조(6)은 제조업체에게 다음 의무를 부과한다:
「제조업체는 디지털 요소가 포함된 제품에 포함된 적극적으로 악용되는 취약점을 인지한 후 지체 없이, 어떠한 경우에도 24시간 이내에 ENISA에 통지해야 한다.」
통지 기한
| 기한 | 요건 |
|---|---|
| 24시간 | ENISA에 초기 경보 |
| 72시간 | 초기 평가를 포함한 인시던트 보고서 |
| 14일 | 상세 분석을 포함한 최종 보고서 |
기타 취약점 의무와의 관계
통지 외에 제조업체는 다음을 수행해야 한다:
- CVD 정책에 따라 취약점을 공개 — 제13조(9)
- 취약점을 수정하고 보안 업데이트 제공 — 부속서 I 제II부
- 유럽 취약점 데이터베이스 항목 업데이트 — 제13조(7)