OBL-ART14-01Binding
적극적으로 악용되는 취약점 및 사고를 ENISA에 신고
- 적용 대상
- Manufacturer
- 출처 인용
- Art. 14(1)Art. 14(2)Art. 14(3)
Last reviewed
쉬운 설명
제품의 취약점이 공격자에 의해 적극적으로 악용되고 있다는 사실을 발견하거나 통보받은 경우, ENISA에 긴급하게 신고하여야 합니다. 조기 경고 발송에 24시간, 상세 통보 발송에 72시간, 수정 계획이 포함된 최종 보고서 발송에 14일이 주어집니다. 이 기한을 놓치는 것은 규제 위반입니다. 이 시계는 2026년 9월 11일부터 시작됩니다.
법률 조문
규정(EU) 2024/2847 제14조 제1항은 적극적으로 악용되는 취약점 또는 제품에 영향을 미치는 심각한 사고를 인지한 제조업체가 단일 신고 플랫폼을 통해 지체 없이 ENISA에 통보하도록 의무화합니다.
신고 일정 (제14조 제2항~제3항):
| 신고 | 기한 |
|---|---|
| 조기 경고 | 인지 후 24시간 이내 |
| 취약점/사고 통보 | 인지 후 72시간 이내 |
| 최종 보고서 | 인지 후 14일 이내 |
적용 시작일
2026년 9월 11일 — 제14조 의무는 전체 규정(2027년 12월 11일) 이전에 적용됩니다. 이에 맞추어 사고 대응 프로세스를 계획하십시오.
주요 요건
- 24시간 조기 경고 — 심각한 이벤트가 진행 중임을 ENISA에 신호
- 72시간 통보 — 취약점 또는 사고의 세부 사항
- 14일 최종 보고서 — 수정 단계, 근본 원인, 일정
- ENISA 단일 신고 플랫폼 — 플랫폼이 운영될 때 사용
- 영향을 받은 사용자 통보 — 제14조 제8항은 지체 없이 영향을 받은 사용자에게 통보하도록 요구
필요할 수 있는 증거
- 사고 대응 / PSIRT 프로세스 문서
- 취약점 공개 정책
- ENISA 신고 플랫폼의 제출 기록
- 내부 일정 추적 기록 (인지 시점, 신고 시점)