Złożenie szczegółowego powiadomienia o podatności do ENISA w ciągu 72 godzin
- Dotyczy
- Manufacturer
- Cytowania źródeł
- Art. 14(2)Art. 14(5)
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Prosty język
Po 24-godzinnym wczesnym ostrzeżeniu do ENISA, od momentu pierwszego powzięcia wiedzy przysługuje do 72 godzin na przesłanie bardziej szczegółowego powiadomienia uzupełniającego. Musi ono zawierać dane produktu, informacje o podatności oraz podjęte lub planowane środki bezpieczeństwa. Odliczanie rozpoczyna się w chwili powzięcia wiedzy o aktywnym wykorzystaniu — nie od potwierdzenia wszystkich szczegółów.
Tekst prawny
Artykuł 14 ust. 2 rozporządzenia (UE) 2024/2847 wymaga, aby producenci bez zbędnej zwłoki, a w każdym przypadku nie później niż 72 godziny od powzięcia wiedzy o aktywnie wykorzystywanej podatności, powiadamiali ENISA o:
- Podatności
- Dotkniętym(-ych) produkcie(-ach)
- Wadze i skutkach podatności
- Podjętych lub planowanych działaniach naprawczych lub łagodzących
- Tym, czy podatność została publicznie ujawniona
Artykuł 14 ust. 5 określa, że powiadomienia są składane za pośrednictwem pojedynczej platformy zgłoszeniowej ENISA, która kieruje informacje do właściwego(-ych) krajowego(-ych) CSIRT.
Data wejścia w życie
Obowiązek ten ma zastosowanie od 11 września 2026 r.
Wymagana zawartość powiadomienia
Powiadomienie 72-godzinne musi zawierać:
- Identyfikacja produktu — nazwa, wersja, dane producenta
- Opis podatności — szczegóły techniczne, w tym CVE (jeżeli zostało przypisane)
- Ocena CVSS — ocena wagi
- Dowód aktywnego wykorzystania — jak wiadomo, że dochodzi do aktywnego wykorzystania
- Populacja dotkniętych użytkowników — zakres wpływu
- Środki łagodzące — kroki już podjęte w celu ograniczenia ryzyka
- Plan naprawczy — planowany harmonogram poprawki i mechanizm dostarczania
- Status powiadomienia użytkowników — czy użytkownicy zostali poinformowani
Związek z 24-godzinnym wczesnym ostrzeżeniem
| Krok | Termin | Wymagana zawartość |
|---|---|---|
| Wczesne ostrzeżenie (OBL-ART14-01) | 24 godz. | Stwierdzenie istnienia aktywnie wykorzystywanej podatności |
| Szczegółowe powiadomienie | 72 godz. | Szczegóły techniczne, waga, działania naprawcze |
| Końcowy raport (OBL-ART14-03) | 14 dni | Pełna analiza i szczegóły całkowitego usunięcia |
Dokumenty, które mogą być wymagane
- Znacznikowane czasem zapisy zgłoszeń z platformy zgłoszeniowej ENISA
- Wewnętrzny harmonogram wykazujący moment powzięcia wiedzy
- Kopia złożonego powiadomienia (zanonimizowana tam, gdzie jest to konieczne ze względów bezpieczeństwa)
- Zapisy potwierdzające złożenie powiadomienia w ciągu 72 godzin od powzięcia wiedzy