通報遭主動利用的漏洞及嚴重事件

《歐盟法規》(EU) 2024/2847 第24條第(2)款規定，開源軟體管理者應無不當延遲地，且在 實施行為確立的時間框架內，通知依據《指令》(EU) 2022/2555第12條第(1)款被指定為協調員 的CSIRT：

• 其管理的開源軟體元件中包含的任何遭主動利用的漏洞；以及
• 對那些開源軟體元件的安全性有影響的任何嚴重事件。

收到通知後，CSIRT應對所報告的資訊保密，並支持開源軟體管理者依據協調漏洞揭露實踐 揭露漏洞。

1. 觸發條件：主動利用 — 當您得知您的軟體中的漏洞在野外正遭主動利用時，義務產生
2. 觸發條件：嚴重事件 — 對軟體安全特性有影響的嚴重安全事件也會觸發義務
3. 受理方：CSIRT協調員 — 通知依據NIS 2指令第12條被指定為協調員的國家CSIRT， 而非直接通知ENISA
4. 無不當延遲 — 及時通知；確切期限將由實施行為規定
5. 保密 — CSIRT保密處理所報告的資訊，並支持協調揭露

• 發送給CSIRT協調員的通知（日期、內容、方式）
• 監控和偵測主動利用的內部流程
• 記錄何時得知及採取行動的事件記錄
• 協調揭露時間表