OBL-ART14-02Binding
在72小时内向ENISA提交详细漏洞通知
- 适用于
- Manufacturer
- 来源引用
- Art. 14(2)Art. 14(5)
Last reviewed
通俗语言
在向ENISA发出24小时早期预警后,您从首次知悉起最多有72小时提交更详细的后续通知。通知内容必须包括产品详情、漏洞信息,以及您已采取或计划采取的安全措施。倒计时从您首次知悉主动利用之时开始——而非在确认全部细节之后。
法律文本
《欧盟法规(EU)2024/2847》第14条第2款要求,制造商在知悉被主动利用的漏洞后,及时且在任何情况下不晚于72小时内,就以下内容通知ENISA:
- 该漏洞
- 受影响的产品
- 漏洞的严重性和影响
- 已采取或计划采取的纠正或缓解措施
- 该漏洞是否已公开披露
第14条第5款规定,通知通过ENISA单一报告平台提交,平台将信息转发至相关国家CSIRT。
生效日期
本义务自2026年9月11日起适用。
通知必要内容
72小时通知必须包含:
- 产品标识——名称、版本、制造商详情
- 漏洞描述——技术详情,包括CVE(如已分配)
- CVSS评分——严重性评估
- 主动利用证据——您如何判断该漏洞正在被主动利用
- 受影响用户群体——影响范围
- 缓解措施——已采取的遏制风险步骤
- 修复计划——计划的补丁时间线和交付机制
- 用户通知状态——是否已通知用户
与24小时早期预警的关系
| 步骤 | 截止时限 | 必要内容 |
|---|---|---|
| 早期预警(OBL-ART14-01) | 24小时 | 存在被主动利用漏洞的事实 |
| 详细通知 | 72小时 | 技术详情、严重性、纠正措施 |
| 最终报告(OBL-ART14-03) | 14天 | 完整分析和完整修复详情 |
可能需要的证据
- 来自ENISA报告平台的带时间戳的提交记录
- 证明知悉时间节点的内部时间线
- 已提交通知的副本(必要时脱敏处理)
- 证明在知悉后72小时内发送通知的记录