CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART14-04Binding

Powiadamianie użytkowników o aktywnie wykorzystywanych podatnościach bez zbędnej zwłoki

Dotyczy
Manufacturer
Cytowania źródeł
Art. 14(4)
Last reviewed

Prosty język

Jeżeli błąd w produkcie jest używany do atakowania użytkowników, należy natychmiast ich o tym poinformować. Nie należy czekać na naprawę. Należy wyjaśnić, jakie ryzyko istnieje i co mogą teraz zrobić, aby zachować bezpieczeństwo. Należy korzystać z normalnych kanałów aktualizacji lub ostrzeżeń — ale działać szybko.

Tekst prawny

Artykuł 14 ust. 4 rozporządzenia (UE) 2024/2847 wymaga, aby producenci powiadamiali użytkowników produktów z elementami cyfrowymi dotkniętych aktywnie wykorzystywaną podatnością bez zbędnej zwłoki, podając informacje wystarczające, aby użytkownicy mogli podjąć środki ochronne.

Obowiązek ten działa równolegle z obowiązkami zgłaszania do ENISA (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03) — powiadomienie ENISA nie zastępuje powiadomienia użytkowników.

Data wejścia w życie

Obowiązek ten ma zastosowanie od 11 września 2026 r.

Wymagana zawartość powiadomienia dla użytkowników

Powiadomienie dla użytkowników musi zawierać:

  1. Dotknięty produkt i wersje — dokładnie, które produkty i wersje oprogramowania układowego/oprogramowania są dotknięte
  2. Charakter podatności — opis ryzyka w języku zrozumiałym dla użytkownika
  3. Potwierdzenie eksploitacji — stwierdzenie, że zaobserwowano aktywne wykorzystanie
  4. Dostępne środki łagodzące — kroki, które użytkownicy mogą podjąć natychmiast (obejścia, zmiany konfiguracji, izolacja sieciowa) w oczekiwaniu na pełną naprawę
  5. Dostępność aktualizacji — czy poprawka jest dostępna i jak ją uzyskać; jeżeli nie jest jeszcze dostępna — oczekiwany harmonogram
  6. Wskazówki dotyczące pilności — zalecany priorytet stosowania aktualizacji

Kanały powiadomień

Należy korzystać z kanałów dostępnych dla użytkowników, którzy mogą nie sprawdzać proaktywnie dostępności aktualizacji:

  • Wewnętrzny alert bezpieczeństwa produktu (powiadomienie push lub baner)
  • Wiadomość e-mail do zarejestrowanych użytkowników
  • Widoczny komunikat na stronie produktu/wsparcia
  • Notatki dotyczące aktualizacji w sklepie z aplikacjami / na platformie

Wybór kanału musi być proporcjonalny do wagi i możliwości eksploitacji.

Dokumenty, które mogą być wymagane

  • Zapisy powiadomień użytkowników — znacznik czasu, treść, użyte kanały
  • Potwierdzenie dostarczenia (potwierdzenia odbioru e-mail, analityka powiadomień)
  • Opublikowana porada bezpieczeństwa ze wskazówkami naprawczymi dla użytkowników
  • Zapisy potwierdzające, że powiadomienie poprzedzało lub towarzyszyło wydaniu poprawki
Powiadamianie użytkowników o aktywnie wykorzystywanych podatnościach bez zbędnej zwłoki — Hub zgodności CRA