根据CRA第14条,当制造商获悉以下两种情况时,必须向欧盟相关机构报告:
情况一:已被积极利用的漏洞(Actively Exploited Vulnerability) ——有可靠证据表明漏洞已被非授权行为者在真实环境中利用。
情况二:严重安全事件(Severe Security Incident) ——对产品保护敏感数据的能力产生负面影响,或导致恶意代码被引入的事件。
报告需通过ENISA(欧盟网络与信息安全局)开发的单一报告平台(SRP) 统一提交。
| 阶段 | 时限 | 内容要求 |
|---|---|---|
| 早期预警 | 获悉后24小时内 | 通知受影响产品、涉及的欧盟成员国 |
| 详细通知 | 72小时内 | 产品信息、漏洞利用方式、已采取的缓解措施、用户可采取的纠正措施 |
| 最终报告 | 修复方案可用后14天内 | 漏洞描述与严重程度、恶意行为者信息、修复方案或安全更新详情 |
| 阶段 | 时限 | 内容要求 |
|---|---|---|
| 早期预警 | 获悉后24小时内 | 事件是否由非法/恶意行为导致、受影响产品 |
| 详细通知 | 72小时内 | 事件性质、初步评估、已采取的缓解措施 |
| 最终报告 | 事件通知后1个月内 | 事件详细分析、严重程度和影响、根本原因、已采取的缓解措施 |
法规限定的通报时效极短——制造商若缺乏清晰的产品组件清单,将难以在24小时内精准判定哪些产品受特定漏洞影响。
这正是软件物料清单(SBOM) 成为合规核心的原因。CRA附件一明文规定,制造商必须“建立并维护机器可读的软件物料清单(SBOM)” 。SBOM需涵盖产品的所有直接依赖项,并采用行业标准格式(如SPDX或CycloneDX)。
行动建议:立即为所有出口欧盟的产品建立完整的SBOM,这是满足24小时报告时限的前提条件。
如需了解更详细的合规技术文件的支持,欢迎联系KMO科美欧实验室团队 -》 电话:+86 755-83642690 或 kmo@kmolab.com!
扫一扫,关注我们最新消息 工作时间:周一至周五 9:00-18:30
联系人:Lisa Liu
手机:18028790769
邮件:kmo@kmolab.com
地址:深圳市福田区深南中路3027号汇商中心2013-2016
