Aktiv ausgenutzte Schwachstelle
Eine Schwachstelle in einem Produkt mit digitalen Elementen, bei der ein böswilliger Akteur den Fehler aktiv ausnutzt, um die Sicherheit von Nutzern oder anderen betroffenen Personen zu verletzen. Die Entdeckung einer aktiv ausgenutzten Schwachstelle löst eine Meldepflicht an das zuständige CSIRT und ENISA innerhalb von 24 Stunden aus (Art. 14(1)), mit weiteren Meldungen nach 72 Stunden und nach der Behebung.
Quellenangaben
Siehe auch
Regulierungstext
Artikel 14(1) der Verordnung (EU) 2024/2847 verpflichtet Hersteller, jede aktiv ausgenutzte Schwachstelle zu melden:
„Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem als Koordinator benannten CSIRT... und ENISA."
Was gilt NICHT als aktive Ausnutzung
Schwachstellen, die entdeckt wurden durch:
- Gutgläubige Sicherheitstests oder -forschung
- Interne Prüfungen oder Bewertungen
- Verantwortungsvolle Offenlegung durch einen Forscher (ohne Hinweise auf böswillige Ausnutzung)
...gelten nach dem CRA nicht als aktiv ausgenutzt und lösen keine Meldepflicht nach Art. 14 aus.
Meldefristen
| Phase | Frist | Inhalt |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden nach Kenntnisnahme | Hinweis, dass Ausnutzung stattfindet |
| Schwachstellenmeldung | Innerhalb von 72 Stunden nach Kenntnisnahme | Art des Exploits und der Schwachstelle; Korrekturmaßnahmen |
| Abschlussbericht | ≤14 Tage nach Verfügbarkeit eines Fixes | Detaillierte Schwachstelleninformationen |
Gilt ab 11. September 2026
Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026, früher als das allgemeine CRA-Anwendungsdatum 11. Dezember 2027 (Art. 71(2)).