OBL-ART14-03Binding
Een eindrapport over de kwetsbaarheid indienen bij ENISA binnen 14 dagen
- Van toepassing op
- Manufacturer
- Bronvermeldingen
- Art. 14(3)Art. 14(5)
- Productklassen
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Eenvoudige taal
U heeft 14 dagen vanaf het eerste kennisnemen van een actieve fout om ENISA een volledig rapport te sturen. U heeft nu het volledige verhaal nodig: wat de fout was, hoe ernstig, en hoe u het heeft opgelost. Dit is stap drie van de keten: 24 uur, daarna 72 uur, daarna 14 dagen.
Wettekst
Artikel 14(3) van Verordening (EU) 2024/2847 vereist dat fabrikanten, uiterlijk 14 dagen na het kennisnemen van een actief uitgebuite kwetsbaarheid, een eindrapport indienen bij ENISA dat bevat:
- Een volledige beschrijving van de kwetsbaarheid, inclusief de ernst en de gevolgen
- Waar van toepassing: de betrokken dreigingsactor(en) (indien bekend en deelbaar)
- Informatie over de genomen corrigerende of mitigerende maatregelen
- Of de kwetsbaarheid openbaar is gemaakt
- De toegewezen CVE (of motivering waarom geen CVE is toegewezen)
Artikel 14(5) bepaalt dat het rapport wordt ingediend via het ENISA enkelvoudige meldingsplatform.
Ingangsdatum
Deze verplichting is van toepassing vanaf 11 september 2026.
Vereiste inhoud van het eindrapport
- Volledige kwetsbaarheidsbeschrijving — volledige technische analyse
- Grondoorzaakanalyse — waar de kwetsbaarheid vandaan komt
- CVSS-score — definitief, indien nodig opnieuw beoordeeld na volledige analyse
- Getroffen versies — alle productversies en varianten in scope
- CVE-identificator — CVE-nummer toegewezen door een CNA, of reden waarom geen CVE is toegewezen
- Ingezet herstel — versienummer van de update, releasedatum, leveringsmechanisme
- Gebruikersmelding — beschrijving van hoe gebruikers werden geïnformeerd en tijdlijn
- Status openbare openbaarmaking — of een beveiligingsadvies is gepubliceerd en waar
- Informatie over dreigingsactor — indien bekend, of een specifieke actor misbruik maakt
De drietraps Art. 14-meldingsketen
| Stap | Termijn | Status |
|---|---|---|
| Vroegtijdige waarschuwing (OBL-ART14-01) | 24 uur | Kennisnemen bevestigd |
| Gedetailleerde melding (OBL-ART14-02) | 72 uur | Technische details beschikbaar |
| Eindrapport | 14 dagen | Volledige analyse en herstel |
Bewijsmateriaal dat u mogelijk nodig heeft
- Tijdgestempeld eindrapport ingediend bij het ENISA-platform
- CVE-toewijzingsverslag
- Gepubliceerd beveiligingsadvies
- Verslagen van gebruikersmeldingen
- Intern incident-postmortem of grondoorzaakanalysedocument