Logo

认证标准解读

Home 首页 归档 标签 Email

Cyber Resilience Act 授权法案 - CSIRTs 暂停通知规定

概述

Delegated Act on CSIRTs(CSIRT 授权法案)于 2025 年 12 月 11 日通过,规定了计算机安全事件响应组(CSIRTs)暂停通知通过单一报告平台(Single Reporting Platform)发布的条件和程序。

该授权法案是 Cyber Resilience Act (CRA) 漏洞报告制度的重要组成部分,目前正在公示期,待正式发布。

背景:CRA 漏洞报告制度

法规依据

CRA 第 13 条和第 14 条规定了制造商和开源软件管理者的漏洞报告义务:

主体 义务
制造商 发现正在被利用的漏洞后 24 小时内通知 ENISA,72 小时内提交详细报告
开源软件管理者 发现正在被利用的漏洞后通知 ENISA

单一报告平台

ENISA 运营的 Single Reporting Platform(单一报告平台)是 CRA 漏洞报告的统一入口:

  • 制造商通过平台提交漏洞报告
  • ENISA 分析和协调漏洞信息
  • CSIRTs 通过平台接收和发布通知

CSIRTs 暂停通知机制

法规依据

CRA 第 14(4) 条授权欧盟委员会制定授权法案,规定 CSIRTs 暂停通过单一报告平台发布通知的条件。

暂停通知的场景

场景 说明
信息安全风险 发布通知可能导致漏洞被恶意利用
协调披露需要 需要时间协调修复后再公开
国家安全考虑 涉及关键基础设施或国家安全

暂停程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
┌─────────────────────────────────────────────────────────────┐
│  CSIRTs 收到漏洞报告                                         │
└─────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────┐
│  评估发布风险                                                │
│  - 是否存在被恶意利用风险?                                   │
│  - 是否需要协调披露?                                        │
│  - 是否涉及国家安全?                                        │
└─────────────────────────────────────────────────────────────┘

                ┌─────────────┴─────────────┐
                ▼                           ▼
        ┌───────────────┐           ┌───────────────┐
        │  风险可控      │           │  存在风险      │
        │  正常发布通知   │           │  暂停发布通知   │
        └───────────────┘           └───────────────┘


                                    ┌───────────────┐
                                    │  定期审查      │
                                    │  条件满足后发布 │
                                    └───────────────┘

法案状态

项目 状态
通过日期 2025 年 12 月 11 日
当前状态 公示期(待发布)
公示期 通常为 2 个月
预期发布 2026 年 2 月

参考文件

对制造商的影响

漏洞报告流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
┌─────────────────────────────────────────────────────────────┐
│  制造商发现正在被利用的漏洞                                   │
└─────────────────────────────────────────────────────────────┘

                              ▼ (24 小时内)
┌─────────────────────────────────────────────────────────────┐
│  通过单一报告平台通知 ENISA                                   │
└─────────────────────────────────────────────────────────────┘

                              ▼ (72 小时内)
┌─────────────────────────────────────────────────────────────┐
│  提交详细漏洞报告                                            │
│  - 漏洞描述和影响                                            │
│  - 已采取的缓解措施                                          │
│  - 修复计划和时间表                                          │
└─────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────┐
│  CSIRTs 评估和处理                                           │
│  - 可能暂停通知发布                                          │
│  - 协调修复和披露                                            │
│  - 条件满足后公开发布                                         │
└─────────────────────────────────────────────────────────────┘

关键时间节点

日期 义务
2026-09-11 报告义务开始适用
2027-12-11 CRA 全面适用

合规建议

制造商应做的准备

  1. 建立漏洞响应流程

    • 明确漏洞发现和报告的责任人
    • 制定漏洞分类和评估标准
    • 建立 24/72 小时响应机制

  2. 注册单一报告平台

    • 提前注册并获得访问权限
    • 熟悉平台操作流程
    • 准备好报告模板

  3. 培训相关人员

    • 技术团队了解漏洞报告义务
    • 管理层了解合规要求
    • 建立内部协调机制

  4. 关注 CSIRTs 指南

    • 了解暂停通知的具体条件
    • 准备应对可能的协调披露要求

参考链接

, , , , , — 2026年3月18日

本文阅读量

评论

Search

    Made with ❤ and Hexo.js at Lynd · 280327097@qq.com.

    本站总访问量 | 访客数 人次