OBL-ART14-02Binding
在72小時內向ENISA提交詳細漏洞通知
- 適用於
- Manufacturer
- 來源引用
- Art. 14(2)Art. 14(5)
Last reviewed
通俗語言
在向ENISA發出24小時早期預警後,您有最多72小時(從首次得知起)發送更詳細的後續通知。 這必須包含產品詳情、漏洞資訊,以及您已採取或計畫採取的安全措施。計時從您首次得知 遭主動利用時開始——而非確認完整詳情時。
法律條文
《歐盟法規》(EU) 2024/2847 第14條第(2)款要求,製造商無不當延遲地,且在得知遭主動 利用的漏洞後不遲於72小時,向ENISA通知:
- 漏洞
- 受影響的產品
- 漏洞的嚴重性和影響
- 已採取或計畫採取的矯正或緩解措施
- 漏洞是否已公開揭露
第14條第(5)款規定,通知通過ENISA單一申報平台提交,該平台將資訊轉送至相關國家CSIRT。
生效日期
此義務自2026年9月11日起適用。
必要通知內容
72小時通知必須包含:
- 產品識別 — 名稱、版本、製造商詳情
- 漏洞說明 — 技術詳情,包括CVE(若已分配)
- CVSS評分 — 嚴重性評估
- 遭主動利用的證據 — 您如何得知正遭主動利用
- 受影響使用者群 — 影響範圍
- 緩解措施 — 已採取的遏制風險步驟
- 修復計畫 — 計畫的修補時間表和交付機制
- 使用者通知狀態 — 是否已通知使用者
與24小時早期預警的關係
| 步驟 | 期限 | 必要內容 |
|---|---|---|
| 早期預警(OBL-ART14-01) | 24小時 | 遭主動利用漏洞的存在 |
| 詳細通知 | 72小時 | 技術詳情、嚴重性、矯正措施 |
| 最終報告(OBL-ART14-03) | 14天 | 完整分析和完整修復詳情 |
可能需要的證據
- ENISA申報平台的帶時間戳記提交記錄
- 顯示何時確立意識的內部時間軸
- 已提交通知的副本(必要時進行適當遮蔽)
- 顯示通知在得知後72小時內發送的記錄