OBL-ART14-03Binding
14일 이내에 ENISA에 최종 취약점 보고서 제출
- 적용 대상
- Manufacturer
- 출처 인용
- Art. 14(3)Art. 14(5)
Last reviewed
쉬운 설명
활성화된 취약점을 처음 알게 된 시점으로부터 14일 이내에 ENISA에 전체 보고서를 발송하여야 합니다. 이 시점에는 전체 내용이 필요합니다. 취약점이 무엇인지, 얼마나 심각한지, 어떻게 수정하였는지. 이는 연쇄 단계의 세 번째입니다. 24시간, 72시간, 14일 순입니다.
법률 조문
규정(EU) 2024/2847 제14조 제3항은 적극적으로 악용되는 취약점을 인지한 후 14일 이내에 제조업체가 다음을 포함하는 최종 보고서를 ENISA에 제출하도록 의무화합니다.
- 심각도 및 영향을 포함한 취약점의 완전한 설명
- 해당하는 경우: 관여된 위협 행위자 (알려진 경우 및 공유 가능한 경우)
- 취하였거나 계획 중인 시정 또는 완화 조치 관련 정보
- 취약점이 공개적으로 공개되었는지 여부
- 할당된 CVE (또는 CVE가 할당되지 않은 이유)
제14조 제5항은 보고서가 ENISA 단일 신고 플랫폼을 통해 제출됨을 규정합니다.
발효일
이 의무는 2026년 9월 11일부터 적용됩니다.
최종 보고서 필수 내용
- 완전한 취약점 설명 — 전체 기술 분석
- 근본 원인 분석 — 취약점의 발생 원인
- CVSS 점수 — 전체 분석 후 필요시 재평가된 최종 점수
- 영향을 받은 버전 — 범위 내의 모든 제품 버전 및 변형
- CVE 식별자 — CNA가 할당한 CVE 번호, 또는 할당되지 않은 이유
- 배포된 수정 사항 — 업데이트 버전 번호, 릴리스 날짜, 제공 메커니즘
- 사용자 통보 — 사용자에게 통보한 방법 및 일정 설명
- 공개 상태 — 보안 권고가 게시되었는지 여부 및 게시 위치
- 위협 행위자 정보 — 알려진 경우, 특정 행위자가 악용하고 있는지 여부
3단계 제14조 신고 연쇄
| 단계 | 기한 | 상태 |
|---|---|---|
| 조기 경고 (OBL-ART14-01) | 24시간 | 인지 확인 |
| 상세 통보 (OBL-ART14-02) | 72시간 | 기술적 세부 사항 이용 가능 |
| 최종 보고서 | 14일 | 완전한 분석 및 수정 |
필요할 수 있는 증거
- ENISA 플랫폼의 타임스탬프가 있는 최종 보고서 제출 기록
- CVE 할당 기록
- 게시된 보안 권고
- 사용자 통보 기록
- 내부 사고 사후 분석 또는 근본 원인 분석 문서