Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów

Artykuł 24 ust. 2 rozporządzenia (UE) 2024/2847 stanowi, że opiekunowie oprogramowania open source powiadamiają bez zbędnej zwłoki, a w każdym przypadku w terminie ustanowionym przez akty wykonawcze, CSIRT wyznaczony jako koordynator na podstawie Art. 12 ust. 1 dyrektywy (UE) 2022/2555 o:

• wszelkich aktywnie wykorzystywanych podatnościach zawartych w zarządzanych przez nich komponentach oprogramowania open source; oraz
• wszelkich poważnych incydentach mających wpływ na bezpieczeństwo tych komponentów oprogramowania open source.

Po powiadomieniu CSIRT traktuje zgłoszone informacje jako poufne i wspiera opiekuna oprogramowania open source w ujawnieniu podatności zgodnie z praktykami skoordynowanego ujawniania podatności.

1. Wyzwalacz: aktywne wykorzystanie — obowiązek powstaje, gdy wiadomo, że podatność w oprogramowaniu jest aktywnie wykorzystywana na wolności
2. Wyzwalacz: poważny incydent — obowiązek powstaje również w przypadku poważnych incydentów bezpieczeństwa wpływających na właściwości bezpieczeństwa oprogramowania
3. Odbiorca: koordynator CSIRT — powiadomienie krajowego CSIRT wyznaczonego jako koordynator na podstawie dyrektywy NIS 2 Art. 12, a nie bezpośrednio ENISA
4. Bez zbędnej zwłoki — niezwłoczne powiadomienie; dokładny termin zostanie określony aktem wykonawczym
5. Poufność — CSIRT traktuje zgłoszone informacje jako poufne i wspiera skoordynowane ujawnianie

• Powiadomienie wysłane do koordynatora CSIRT (data, treść, metoda)
• Wewnętrzny proces monitorowania i wykrywania aktywnego wykorzystania
• Dziennik incydentów dokumentujący moment powzięcia wiedzy i podjęte działania
• Harmonogram skoordynowanego ujawniania