Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD)
Ein strukturierter Prozess, über den Schwachstellen in einem Produkt dem Hersteller so gemeldet werden können, dass der Hersteller sie diagnostizieren und beheben kann, bevor detaillierte Informationen an Dritte oder die Öffentlichkeit weitergegeben werden. Hersteller sind nach Anhang I Teil II des CRA verpflichtet, eine CVD-Richtlinie einzurichten und durchzusetzen.
Quellenangaben
Regulierungstext
Anhang I Teil II §5 der Verordnung (EU) 2024/2847 verpflichtet Hersteller:
„eine Richtlinie zur koordinierten Offenlegung von Schwachstellen einzuführen und durchzusetzen".
Wesentliche Elemente einer CVD-Richtlinie
Eine konforme CVD-Richtlinie sollte festlegen:
- Wie zu melden — eine Kontaktadresse oder einen Mechanismus für Sicherheitsforscher
- Reaktionsprozess — wie der Hersteller gemeldete Schwachstellen bestätigt, triagiert und untersucht
- Behebungszeitplan — angemessene Fristen für Entwicklung und Bereitstellung eines Fixes
- Offenlegungsbedingungen — wann und wie Informationen über die Schwachstelle und den Fix veröffentlicht werden
- Option für anonyme Meldungen — ob anonyme Berichte akzeptiert werden
Maschinenlesbares Format
Hersteller sollten erwägen, ihre Sicherheitsrichtlinien in maschinenlesbarem Format zu veröffentlichen, um automatisierte Verarbeitung zu erleichtern.
Einzige Anlaufstelle
Der CVD-Meldekanal sollte mit der einzigen Anlaufstelle des Herstellers nach Art. 13(17) verknüpft sein (siehe OBL-ART13-15).