OBL-ART14-02Binding
72시간 이내에 ENISA에 상세 취약점 통보 제출
- 적용 대상
- Manufacturer
- 출처 인용
- Art. 14(2)Art. 14(5)
Last reviewed
쉬운 설명
ENISA에 24시간 조기 경고를 보낸 후, 적극적 악용을 처음 인지한 시점으로부터 최대 72시간 이내에 더 상세한 후속 통보를 발송하여야 합니다. 여기에는 제품 세부 사항, 취약점 정보 및 취하였거나 계획 중인 보안 조치가 포함되어야 합니다. 시계는 완전한 세부 사항을 확인한 시점이 아닌 적극적 악용을 처음 인지한 시점 부터 시작됩니다.
법률 조문
규정(EU) 2024/2847 제14조 제2항은 제조업체가 적극적으로 악용되는 취약점을 인지한 후 지체 없이, 어떠한 경우에도 72시간 이내에 ENISA에 다음을 통보하도록 의무화합니다.
- 취약점
- 영향을 받은 제품
- 취약점의 심각도 및 영향
- 취하였거나 계획 중인 시정 또는 완화 조치
- 취약점이 공개적으로 공개되었는지 여부
제14조 제5항은 통보가 ENISA 단일 신고 플랫폼을 통해 제출되며, 이 정보가 관련 국가 CSIRT(들)에 전달됨을 규정합니다.
발효일
이 의무는 2026년 9월 11일부터 적용됩니다.
필수 통보 내용
72시간 통보에는 다음이 포함되어야 합니다.
- 제품 식별 — 명칭, 버전, 제조업체 정보
- 취약점 설명 — CVE(할당된 경우)를 포함한 기술적 세부 사항
- CVSS 점수 — 심각도 평가
- 적극적 악용 증거 — 적극적으로 악용되고 있음을 알게 된 경위
- 영향을 받은 사용자 수 — 영향 범위
- 완화 조치 — 위험을 억제하기 위해 이미 취한 단계
- 수정 계획 — 계획된 패치 일정 및 제공 메커니즘
- 사용자 통보 현황 — 사용자에게 통보하였는지 여부
24시간 조기 경고와의 관계
| 단계 | 기한 | 필수 내용 |
|---|---|---|
| 조기 경고 (OBL-ART14-01) | 24시간 | 적극적으로 악용되는 취약점의 존재 |
| 상세 통보 | 72시간 | 기술적 세부 사항, 심각도, 시정 조치 |
| 최종 보고서 (OBL-ART14-03) | 14일 | 완전한 분석 및 전체 수정 세부 사항 |
필요할 수 있는 증거
- ENISA 신고 플랫폼의 타임스탬프가 있는 제출 기록
- 인지 확립 시점을 보여주는 내부 일정
- 제출된 통보 사본 (보안을 위해 필요한 경우 편집)
- 인지 후 72시간 이내에 통보가 발송되었음을 보여주는 기록