Zgłaszanie aktywnie wykorzystywanych podatności i incydentów do ENISA
- Dotyczy
- Manufacturer
- Cytowania źródeł
- Art. 14(1)Art. 14(2)Art. 14(3)
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Prosty język
Jeżeli zostanie wykryte — lub zgłoszone — że podatność w produkcie jest aktywnie wykorzystywana przez atakujących, należy pilnie zgłosić to do ENISA. Na wczesne ostrzeżenie przysługuje 24 godziny, na pełne powiadomienie 72 godziny, a na końcowy raport z planem naprawczym 14 dni. Niedotrzymanie tych terminów stanowi naruszenie przepisów. Odliczanie rozpoczyna się od 11 września 2026 r.
Tekst prawny
Artykuł 14 ust. 1 rozporządzenia (UE) 2024/2847 wymaga, aby producenci, którzy dowiedzą się o aktywnie wykorzystywanej podatności lub poważnym incydencie dotyczącym ich produktu, powiadamiali ENISA bez zbędnej zwłoki za pośrednictwem pojedynczej platformy zgłoszeniowej.
Harmonogram zgłoszeń (Art. 14 ust. 2–3):
| Raport | Termin |
|---|---|
| Wczesne ostrzeżenie | 24 godziny od powzięcia wiedzy |
| Powiadomienie o podatności / incydencie | 72 godziny od powzięcia wiedzy |
| Końcowy raport | 14 dni od powzięcia wiedzy |
Termin stosowania
11 września 2026 r. — obowiązki z Art. 14 mają zastosowanie przed pełnym wejściem w życie rozporządzenia (11 grudnia 2027 r.). Należy odpowiednio zaplanować proces reagowania na incydenty.
Kluczowe wymagania
- Wczesne ostrzeżenie 24-godzinne — sygnał do ENISA o trwającym poważnym zdarzeniu
- Powiadomienie 72-godzinne — szczegóły dotyczące podatności lub incydentu
- Końcowy raport 14-dniowy — kroki naprawcze, przyczyna główna, harmonogram
- Pojedyncza platforma zgłoszeniowa ENISA — korzystanie z platformy po jej uruchomieniu
- Powiadomienie dotkniętych użytkowników — Art. 14 ust. 8 wymaga powiadomienia dotkniętych użytkowników bez zbędnej zwłoki
Dokumenty, które mogą być wymagane
- Dokumentacja procesu reagowania na incydenty / PSIRT
- Polityka ujawniania podatności
- Zapisy zgłoszeń z platformy zgłoszeniowej ENISA
- Wewnętrzne śledzenie czasu (kiedy powzięto wiedzę, kiedy złożono zgłoszenie)