及时通知用户被主动利用的漏洞

《欧盟法规（EU）2024/2847》第14条第4款要求，制造商应及时通知受被主动利用漏洞影响的含数字元素的产品用户，提供足以使这些用户采取防护措施的信息。

本通知义务与向ENISA报告的义务（OBL-ART14-01、OBL-ART14-02、OBL-ART14-03）并行运行——向ENISA报告不能替代向用户通知。

本义务自2026年9月11日起适用。

向用户的通知必须包含：

1. 受影响的产品和版本——精确说明哪些产品和固件/软件版本受影响
2. 漏洞性质——以通俗语言描述风险
3. 主动利用确认——声明已观察到主动利用行为
4. 可用的缓解措施——在完整修复方案出台之前用户可立即采取的步骤（变通方案、配置更改、网络隔离等）
5. 更新可用性——补丁是否可用及获取方式；若尚未提供，说明预期时间线
6. 紧迫性指引——建议应用更新的优先级

使用可触达可能不会主动检查更新的用户的渠道：

• 产品内安全警报（推送通知或横幅）
• 向已注册用户发送电子邮件
• 在产品/支持网站上发布醒目公告
• 应用商店/平台更新说明

渠道选择必须与漏洞的严重性和可利用性相称。

• 用户通知记录——时间戳、内容、使用的渠道
• 送达确认（电子邮件回执、通知分析数据）
• 包含用户修复指南的已发布安全公告
• 证明通知先于或伴随补丁发布的记录