严重事件
对制造商用于数字元素产品开发、生产或维护的网络和信息系统安全产生实际不利 影响的事件。严重事件触发强制报告义务,须在24小时内通知CSIRT和ENISA。
来源引用
法律依据
欧盟法规2024/2847第14条(1)款规定:
"制造商在获悉影响其产品安全的事件类型后,应立即……通知相关CSIRT…… 以及ENISA……"
构成"严重"事件的条件
事件被认定为"严重"须满足:
- 实际不利影响(而非潜在或理论上的风险)
- 影响制造商系统(用于制造、开发或维护的系统)
- 影响安全——机密性、完整性或可用性受损
报告时限
| 报告类型 | 时限 |
|---|---|
| 初始通知 | 获悉后24小时内 |
| 中期报告 | 如适用,72小时内 |
| 最终报告 | 事件解决后1个月内 |
报告接收机构
- 相关成员国CSIRT(网络安全事件响应团队)
- ENISA(欧盟网络安全局)
严重事件与被利用漏洞的区别
| 事件类型 | 报告要求 |
|---|---|
| 严重事件 | CSIRT + ENISA(24小时) |
| 被积极利用的漏洞 | CSIRT(获悉利用情况后立即报告) |