嚴重事件
對製造商用於數位元素產品開發、生產或維護的網路和資訊系統安全產生實際不利 影響的事件。嚴重事件觸發強制通報義務,須在24小時內通知CSIRT和ENISA。
來源引用
法律依據
歐盟法規2024/2847第14條(1)款規定:
"製造商在得知影響其產品安全的事件類型後,應立即……通知相關CSIRT…… 以及ENISA……"
構成「嚴重」事件的條件
事件被認定為「嚴重」須滿足:
- 實際不利影響(而非潛在或理論上的風險)
- 影響製造商系統(用於製造、開發或維護的系統)
- 影響安全——機密性、完整性或可用性受損
通報時限
| 通報類型 | 時限 |
|---|---|
| 初始通知 | 得知後24小時內 |
| 中期報告 | 如適用,72小時內 |
| 最終報告 | 事件解決後1個月內 |
通報接收機構
- 相關成員國CSIRT(網路安全事件應變小組)
- ENISA(歐盟網路安全局)
嚴重事件與遭利用漏洞的差異
| 事件類型 | 通報要求 |
|---|---|
| 嚴重事件 | CSIRT + ENISA(24小時) |
| 積極遭利用的漏洞 | CSIRT(得知利用情況後立即通報) |