OBL-ART14-01Binding
向ENISA报告被主动利用的漏洞和安全事件
- 适用于
- Manufacturer
- 来源引用
- Art. 14(1)Art. 14(2)Art. 14(3)
Last reviewed
通俗语言
如果您发现——或被告知——您产品中的某个漏洞正在被攻击者主动利用,必须立即向ENISA报告。您有24小时发送早期预警,72小时发送完整通知,14天内发送包含修复计划的最终报告。错过这些截止日期即构成违规。此倒计时从2026年9月11日起开始。
法律文本
《欧盟法规(EU)2024/2847》第14条第1款要求,制造商一旦发现其产品中存在被主动利用的漏洞或严重事件,应及时通过单一报告平台通知ENISA。
报告时限(第14条第2-3款):
| 报告类型 | 截止时限 |
|---|---|
| 早期预警 | 知悉后24小时内 |
| 漏洞/事件通知 | 知悉后72小时内 |
| 最终报告 | 知悉后14天内 |
适用日期
2026年9月11日——第14条义务早于完整法规(2027年12月11日)适用。请据此规划您的事件响应流程。
主要要求
- 24小时早期预警——向ENISA发出正在发生严重事件的信号
- 72小时通知——提供漏洞或事件的详细信息
- 14天最终报告——修复步骤、根本原因、时间线
- ENISA单一报告平台——平台运营后使用该平台提交
- 通知受影响用户——第14条第8款要求及时通知受影响用户
可能需要的证据
- 事件响应/PSIRT流程文档
- 漏洞披露政策
- 来自ENISA报告平台的提交记录
- 内部时间线跟踪(知悉时间、报告时间)