即時通知使用者遭主動利用的漏洞

《歐盟法規》(EU) 2024/2847 第14條第(4)款要求，製造商應無不當延遲地通知受遭主動 利用漏洞影響的含數位元素之產品使用者，提供足以使其採取保護措施的資訊。

此通知義務與ENISA申報義務（OBL-ART14-01、OBL-ART14-02、OBL-ART14-03）同步進行 ——通知ENISA不能替代通知使用者。

此義務自2026年9月11日起適用。

對使用者的通知必須包含：

1. 受影響產品和版本 — 確切的哪些產品和韌體/軟體版本受到影響
2. 漏洞性質 — 以通俗語言描述的風險說明
3. 利用確認 — 聲明已觀察到遭主動利用
4. 可用的緩解措施 — 使用者在等待完整修復時可立即採取的步驟 （變通方法、配置更改、網路隔離）
5. 更新可用性 — 修補程式是否可用及如何獲取；若尚未可用，提供預期時間表
6. 緊迫性指引 — 建議套用更新的優先等級

使用可觸及可能不會主動檢查更新的使用者的管道：

• 產品內安全警報（推播通知或橫幅）
• 向已登記使用者發送電子郵件
• 在產品/支援網站上發布顯著通知
• 應用程式商店/平台更新說明

管道的選擇必須與嚴重性和可利用性相稱。

• 使用者通知記錄——時間戳記、內容、使用的管道
• 交付確認（電子郵件收據、通知分析）
• 含面向使用者修復指引的已發布安全公告
• 顯示通知在修補程式發布前或同時發出的記錄