第4章:事件响应与披露
概述
事件响应框架 (Incident Response Framework) 涵盖了完整的 CRA 报告义务。自 2026 年 9 月 11 日 起,制造商须向 ENISA 或相关国家主管机构报告被积极利用的漏洞 (Actively Exploited Vulnerability) 和严重安全事件。
2026 年 9 月 11 日起的报告义务
根据 Art. 14 CRA 的报告义务于 2026 年 9 月 11 日生效。自该日期起,被积极利用的漏洞必须在 24 小时 内报告。
报告义务概览
| 事件 | 期限 | 接收方 | 模板 |
|---|---|---|---|
| 被积极利用的漏洞 | 24 小时 预警 | ENISA / CSIRT | 预警通知 |
| 漏洞更新 | 72 小时 通知 | ENISA / CSIRT | 漏洞通知 |
| 最终报告 | 14 天 | ENISA / CSIRT | 最终报告 |
| 严重安全事件 | 24 小时 预警 | ENISA / CSIRT | 事件报告 |
| 用户通知 | 立即 | 受影响用户 | 漏洞报告 |
章节结构
| 章节 | 主题 | CRA 引用 |
|---|---|---|
| 4.1 | 事件响应手册 — 升级级别、阶段、检查清单 | Art. 14, Annex I Part II |
| 4.2 | 漏洞披露政策 — 依据 ISO 29147 的协调漏洞披露 (CVD) | Art. 13(6) |
| 4.3 | ENISA 报告流程 — 期限、程序、文档记录 | Art. 14(1)-(3) |
| 4.4 | 沟通计划 — 内部/外部沟通渠道 | Art. 14(8) |
NIS2协同效应
运营事件响应流程和BSI报告义务(§32 BSIG)在NIS2合规文档中描述。产品漏洞通过此CRA流程报告,运营事件通过NIS2流程报告。