OBL-ART14-01Binding
向ENISA報告遭主動利用的漏洞及事件
製造商必須在24小時內(早期預警)和72小時內(通知)通過單一申報平台向ENISA報告其產品 中任何遭主動利用的漏洞。最終報告須在14天內提交。此義務自2026年9月11日起適用。
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
首個CRA硬性截止日期 — 提前18個月適用
第14條 — 漏洞報告與通知義務
從2026年9月11日起,所有在範圍內的製造商必須向ENISA報告被積極利用的漏洞和嚴重事件 — 早於其他CRA條款在2027年12月生效。
第14條要求什麼
法規(EU)2024/2847第14條建立了向ENISA報告的強制性三步報告鏈,適用於製造商發現其產品中的漏洞正被攻擊者在野外積極利用或發生嚴重事件的情況。
這與通知受影響使用者(第14(4)條)是分開的,後者必須同時進行。向ENISA報告不能替代通知使用者。
報告透過ENISA單一報告平台提交,該平台將資訊轉發給相關國家CSIRT。該平台必須在2026年9月11日前投入運營。
三步報告鏈
計時從製造商知悉積極利用時開始 — 而非從漏洞得到確認或完整分析時。
1Art. 14(2)
24小時
早期預警
向ENISA發出嚴重事件正在進行的訊號。需要最少細節 — 速度是優先事項。
2Art. 14(2)
72小時
完整通知
向ENISA的詳細通知:產品識別、漏洞描述、嚴重性、影響以及已採取或計劃採取的糾正或緩解措施。
3Art. 14(3)
14天
最終報告
完整分析:CVE標識符、CVSS評分、根本原因、已部署的修復措施以及已通知使用者的確認。
通知受影響使用者(第14(4)條)
與ENISA報告鏈並行,製造商必須及時通知受影響使用者。不要等待完整修復 — 使用者需要了解:
- 哪些產品和版本受到影響
- 漏洞性質及已觀察到積極利用
- 在修補程式可用前可立即採取的緩解措施
- 修補程式是否可用及如何獲取 — 或預期發布時間線
誰必須遵守
製造商 ✓
所有範圍內數位化產品製造商 — 無論產品類別如何。第14條從2026年9月11日起適用於每位製造商。
進口商和分銷商 —
無需在第14條下直接向ENISA報告。但必須及時將漏洞資訊傳遞給製造商(第20條/第24條)。
第14條義務卡片
四項原子義務 — 每項均可追溯至法規條款,包含證據指導和通俗解釋。
OBL-ART14-02Binding
在72小時內向ENISA提交詳細漏洞通知
在得知產品中存在遭主動利用的漏洞後72小時內,製造商必須通過單一申報平台向ENISA提交 詳細漏洞通知。這是在24小時早期預警(OBL-ART14-01)之後的步驟,必須包含有關漏洞和 受影響產品的技術詳情。
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
在14天內向ENISA提交漏洞最終報告
在得知遭主動利用的漏洞後14天內,製造商必須向ENISA提交最終報告,其中包含漏洞的完整 說明、已採取的矯正措施,以及漏洞是否已公開揭露或已分配CVE的資訊。
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
即時通知使用者遭主動利用的漏洞
當漏洞遭主動利用時,製造商必須無不當延遲地通知受影響的使用者。通知必須包含足夠的 資訊,使使用者能夠採取保護措施,包括在修補程式發布前可採用的緩解措施。
Art. 14(4)
Manufacturer
違規罰則(第64條)
Art. 14 — Vulnerability & Incident Reporting
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
在截止日期前做好準備
審查所有製造商義務,了解您的產品分類,並查看包含所有CRA日期的完整監管時間線。