積極遭利用的漏洞
有可靠證據顯示威脅行為者正在利用的安全漏洞。《網路韌性法》要求製造商 在得知其產品存在積極遭利用的漏洞後,應立即通知相關國家CSIRT,並於72小時 內向ENISA發出預警。
來源引用
監管背景
《網路韌性法》(歐盟法規2024/2847)第14條第(2)款規定製造商的強制通報義務:
"製造商在得知其產品存在積極遭利用的漏洞時,應立即通知相關國家CSIRT……"
認定標準
漏洞被視為「積極遭利用」須滿足:
- 可靠證據——不得僅為推測或理論上的可利用性
- 主動惡意利用——不得僅為概念驗證研究
- 威脅行為者的實際行動——正以惡意方式利用該漏洞
通報義務
| 事件類型 | 時限 | 接收機構 |
|---|---|---|
| 嚴重安全事件 | 24小時內初始通知 | CSIRT + ENISA |
| 積極遭利用的漏洞 | 發現後立即通知 | CSIRT(同時通知ENISA) |
與一般漏洞的差異
| 類型 | 通報義務 |
|---|---|
| 已知但未遭利用的漏洞 | 透過CVD流程協調揭露 |
| 積極遭利用的漏洞 | 立即強制通報 |