OBL-ART14-03Binding
在14天内向ENISA提交漏洞最终报告
- 适用于
- Manufacturer
- 来源引用
- Art. 14(3)Art. 14(5)
Last reviewed
通俗语言
您从首次知悉某个活跃漏洞起有14天时间向ENISA发送完整报告。此时您需要提供完整情况:漏洞是什么、严重程度如何,以及您如何修复。这是三步链条的第三步:24小时、72小时,然后14天。
法律文本
《欧盟法规(EU)2024/2847》第14条第3款要求,制造商在知悉被主动利用的漏洞后不晚于14天内,向ENISA提交包含以下内容的最终报告:
- 对漏洞的完整描述,包括其严重性和影响
- 如适用:涉及的威胁行为者(如已知且可共享)
- 已采取的纠正或缓解措施的相关信息
- 该漏洞是否已公开披露
- 已分配的CVE(或未分配CVE的理由说明)
第14条第5款规定,报告通过ENISA单一报告平台提交。
生效日期
本义务自2026年9月11日起适用。
最终报告必要内容
- 完整漏洞描述——完整技术分析
- 根本原因分析——漏洞的起源
- CVSS评分——完整分析后的最终评分(如有必要重新评估)
- 受影响版本——所有在范围内的产品版本和变体
- CVE标识符——由CNA分配的CVE编号,或未分配CVE的理由
- 已部署的修复方案——更新版本号、发布日期、交付机制
- 用户通知——用户通知方式和时间线的描述
- 公开披露状态——是否已发布安全公告及其位置
- 威胁行为者信息——如已知,是否有特定行为者正在利用该漏洞
第14条三步报告链
| 步骤 | 截止时限 | 状态 |
|---|---|---|
| 早期预警(OBL-ART14-01) | 24小时 | 已确认知悉 |
| 详细通知(OBL-ART14-02) | 72小时 | 技术详情可获取 |
| 最终报告 | 14天 | 完整分析和修复方案 |
可能需要的证据
- 来自ENISA平台的带时间戳的最终报告提交记录
- CVE分配记录
- 已发布的安全公告
- 用户通知记录
- 内部事件事后分析或根本原因分析文件