OBL-ART14-03Binding
Złożenie końcowego raportu o podatności do ENISA w ciągu 14 dni
- Dotyczy
- Manufacturer
- Cytowania źródeł
- Art. 14(3)Art. 14(5)
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Prosty język
Od momentu pierwszego powzięcia wiedzy o aktywnym błędzie przysługuje 14 dni na przesłanie do ENISA pełnego raportu. Na tym etapie wymagana jest pełna historia: czym była podatność, jak poważna i jak została naprawiona. Jest to krok trzeci z łańcucha: 24 godziny, następnie 72 godziny, następnie 14 dni.
Tekst prawny
Artykuł 14 ust. 3 rozporządzenia (UE) 2024/2847 wymaga, aby nie później niż 14 dni po powzięciu wiedzy o aktywnie wykorzystywanej podatności producenci złożyli do ENISA końcowy raport zawierający:
- Pełny opis podatności, w tym jej wagę i skutki
- W stosownych przypadkach: zaangażowani aktorzy zagrożeń (jeżeli są znani i mogą być udostępnione)
- Informacje o podjętych działaniach naprawczych lub łagodzących
- Informację o tym, czy podatność została publicznie ujawniona
- Przypisane CVE (lub uzasadnienie, dlaczego nie przypisano CVE)
Artykuł 14 ust. 5 określa, że raport jest składany za pośrednictwem pojedynczej platformy zgłoszeniowej ENISA.
Data wejścia w życie
Obowiązek ten ma zastosowanie od 11 września 2026 r.
Wymagana zawartość końcowego raportu
- Pełny opis podatności — pełna analiza techniczna
- Analiza przyczyny głównej — skąd pochodzi podatność
- Ocena CVSS — końcowa, ponownie oceniona w razie potrzeby po pełnej analizie
- Dotknięte wersje — wszystkie wersje i warianty produktu w zakresie
- Identyfikator CVE — numer CVE przypisany przez CNA lub powód braku przypisania
- Wdrożone działania naprawcze — numer wersji aktualizacji, data wydania, mechanizm dostarczania
- Powiadomienie użytkowników — opis sposobu i harmonogramu poinformowania użytkowników
- Status publicznego ujawnienia — czy opublikowano poradę bezpieczeństwa i gdzie
- Informacje o aktorach zagrożeń — jeżeli znane, czy konkretny aktor dokonuje eksploitacji
Trzyetapowy łańcuch zgłaszania z Art. 14
| Krok | Termin | Status |
|---|---|---|
| Wczesne ostrzeżenie (OBL-ART14-01) | 24 godz. | Potwierdzenie świadomości |
| Szczegółowe powiadomienie (OBL-ART14-02) | 72 godz. | Dostępne szczegóły techniczne |
| Końcowy raport | 14 dni | Pełna analiza i całkowite usunięcie |
Dokumenty, które mogą być wymagane
- Znacznikowane czasem złożenie końcowego raportu z platformy ENISA
- Zapis przypisania CVE
- Opublikowana porada bezpieczeństwa
- Zapisy powiadomień użytkowników
- Wewnętrzna analiza poincydentalna lub dokument analizy przyczyny głównej