Aktywnie eksploatowana podatność
Podatność w produkcie z elementami cyfrowymi, dla której istnieje wiarygodny dowód, że złośliwy podmiot ją wykorzystał. Producenci są zobowiązani do zgłaszania aktywnie eksploatowanych podatności do ENISA bez zbędnej zwłoki, a wstępne powiadomienie musi nastąpić nie później niż 24 godziny od momentu wykrycia. Wymóg ten stanowi część szerszego systemu CVD wymaganego przez CRA.
Cytowania źródeł
Zobacz też
Podstawa prawna
Artykuł 13(6) Rozporządzenia (UE) 2024/2847 nakłada na producentów obowiązek powiadamiania o aktywnie eksploatowanych podatnościach:
«Producent niezwłocznie, a w każdym razie w ciągu 24 godzin od uzyskania wiedzy, zgłasza ENISA każdą aktywnie eksploatowaną podatność zawartą w produkcie z elementami cyfrowymi».
Terminy powiadomień
| Termin | Wymaganie |
|---|---|
| 24 godziny | Wstępne powiadomienie do ENISA (wczesne ostrzeżenie) |
| 72 godziny | Raport z incydentu z wstępną oceną |
| 14 dni | Końcowy raport z pełną analizą |
Związek z innymi obowiązkami dotyczącymi podatności
Oprócz powiadamiania producenci muszą:
- Ujawnić podatność publicznie zgodnie z polityką CVD — Art. 13(9)
- Usunąć podatność i wdrożyć aktualizację zabezpieczeń — Załącznik I Część II
- Zaktualizować wpis w Europejskiej Bazie Danych Podatności — Art. 13(7)