OBL-ART14-03Binding
在14天內向ENISA提交漏洞最終報告
- 適用於
- Manufacturer
- 來源引用
- Art. 14(3)Art. 14(5)
Last reviewed
通俗語言
您有14天時間(從首次得知主動漏洞起)向ENISA發送完整報告。此時您需要完整的陳述: 漏洞是什麼、嚴重程度如何以及您如何修復。這是鏈條的第三步:24小時,然後72小時, 然後14天。
法律條文
《歐盟法規》(EU) 2024/2847 第14條第(3)款要求,在得知遭主動利用的漏洞後不遲於14天, 製造商向ENISA提交最終報告,包含:
- 漏洞的完整說明,包括其嚴重性和影響
- 如適用:涉及的威脅行為者(若已知且可分享)
- 已採取的矯正或緩解措施的資訊
- 漏洞是否已公開揭露
- 已分配的CVE(或未分配CVE的理由)
第14條第(5)款規定,報告通過ENISA單一申報平台提交。
生效日期
此義務自2026年9月11日起適用。
必要最終報告內容
- 完整漏洞說明 — 完整技術分析
- 根本原因分析 — 漏洞的來源
- CVSS評分 — 完整分析後的最終重新評估(如需要)
- 受影響版本 — 範疇內的所有產品版本和變體
- CVE識別符 — CNA分配的CVE編號,或未分配CVE的原因
- 已部署的修復措施 — 更新版本號、發布日期、交付機制
- 使用者通知 — 使用者被告知的方式和時間表說明
- 公開揭露狀態 — 是否已發布安全公告及其位置
- 威脅行為者資訊 — 若已知是否有特定行為者正在利用
第14條三步驟申報鏈
| 步驟 | 期限 | 狀態 |
|---|---|---|
| 早期預警(OBL-ART14-01) | 24小時 | 已確認意識 |
| 詳細通知(OBL-ART14-02) | 72小時 | 技術詳情已備妥 |
| 最終報告 | 14天 | 完整分析和修復 |
可能需要的證據
- ENISA平台的帶時間戳記最終報告提交記錄
- CVE分配記錄
- 已發布的安全公告
- 使用者通知記錄
- 內部事件事後分析或根本原因分析文件