OBL-ART14-01Binding
向ENISA报告被主动利用的漏洞和安全事件
制造商必须通过单一报告平台在24小时内(早期预警)和72小时内(通知)向ENISA报告其产品中任何被主动利用的漏洞。最终报告须在14天内提交。本义务自2026年9月11日起适用。
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
首个CRA硬性截止日期 — 提前18个月适用
第14条 — 漏洞报告与通知义务
从2026年9月11日起,所有在范围内的制造商必须向ENISA报告被积极利用的漏洞和严重事件 — 早于其他CRA条款在2027年12月生效。
第14条要求什么
法规(EU)2024/2847第14条建立了向ENISA报告的强制性三步报告链,适用于制造商发现其产品中的漏洞正被攻击者在野外积极利用或发生严重事件的情况。
这与通知受影响用户(第14(4)条)是分开的,后者必须同时进行。向ENISA报告不能替代通知用户。
报告通过ENISA单一报告平台提交,该平台将信息转发给相关国家CSIRT。该平台必须在2026年9月11日前投入运营。
三步报告链
计时从制造商知晓积极利用时开始 — 而非从漏洞得到确认或完整分析时。
1Art. 14(2)
24小时
早期预警
向ENISA发出严重事件正在进行的信号。需要最少细节 — 速度是优先事项。
2Art. 14(2)
72小时
完整通知
向ENISA的详细通知:产品识别、漏洞描述、严重性、影响以及已采取或计划采取的纠正或缓解措施。
3Art. 14(3)
14天
最终报告
完整分析:CVE标识符、CVSS评分、根本原因、已部署的修复措施以及已通知用户的确认。
通知受影响用户(第14(4)条)
与ENISA报告链并行,制造商必须及时通知受影响用户。不要等待完整修复 — 用户需要了解:
- 哪些产品和版本受到影响
- 漏洞性质及已观察到积极利用
- 在补丁可用前可立即采取的缓解措施
- 补丁是否可用及如何获取 — 或预期发布时间线
谁必须遵守
制造商 ✓
所有范围内数字化产品制造商 — 无论产品类别如何。第14条从2026年9月11日起适用于每位制造商。
进口商和分销商 —
无需在第14条下直接向ENISA报告。但必须及时将漏洞信息传递给制造商(第20条/第24条)。
第14条义务卡片
四项原子义务 — 每项均可追溯至法规条款,包含证据指导和通俗解释。
OBL-ART14-02Binding
在72小时内向ENISA提交详细漏洞通知
制造商在知悉产品中存在被主动利用的漏洞后72小时内,必须通过单一报告平台向ENISA提交详细漏洞通知。该通知紧随24小时早期预警(OBL-ART14-01)之后,必须包含漏洞和受影响产品的技术详情。
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
在14天内向ENISA提交漏洞最终报告
制造商在知悉被主动利用的漏洞后14天内,必须向ENISA提交最终报告,内容包括对漏洞的完整描述、已采取的纠正措施,以及该漏洞是否已公开披露或已分配CVE。
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
及时通知用户被主动利用的漏洞
当漏洞被主动利用时,制造商必须及时通知受影响的用户。通知内容必须包含足以让用户采取防护措施的信息,包括在补丁发布前可采用的缓解措施。
Art. 14(4)
Manufacturer
违规处罚(第64条)
Art. 14 — Vulnerability & Incident Reporting
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
在截止日期前做好准备
审查所有制造商义务,了解您的产品分类,并查看包含所有CRA日期的完整监管时间线。