Schwerwiegender Vorfall mit Auswirkungen auf die Sicherheit eines Produkts
Ein Vorfall, der tatsächlich nachteilige Auswirkungen auf die Sicherheit der Netz- und Informationssysteme eines Herstellers hat, die für die Entwicklung, Produktion oder Wartung eines Produkts mit digitalen Elementen genutzt werden. Die Entdeckung eines solchen Vorfalls löst eine Meldepflicht an das zuständige CSIRT und ENISA innerhalb von 24 Stunden aus.
Quellenangaben
Regulierungstext
Artikel 14(3) der Verordnung (EU) 2024/2847:
„Ein Hersteller meldet jeden schwerwiegenden Vorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen dem als Koordinator benannten CSIRT... und ENISA."
Abgrenzung zur aktiv ausgenutzten Schwachstelle
| Aktiv ausgenutzte Schwachstelle | Schwerwiegender Vorfall |
|---|---|
| Fehler im Produkt selbst wird ausgenutzt | Angriff auf die Entwicklungs-/Produktions-/Wartungsinfrastruktur des Herstellers |
| Risiko für Nutzer eingesetzter Produkte | Risiko, dass ausgelieferte Produkte kompromittiert sein könnten |
| Art. 14(1)-Meldung | Art. 14(3)-Meldung |
Beispiele
- Ransomware-Angriff auf Build-Server des Herstellers
- Kompromittierung der Signier-Infrastruktur des Herstellers
- Lieferketten-Angriff auf ein Drittpartei-Build-Tool in der CI/CD-Pipeline
- Unbefugter Zugriff auf das Quellcode-Repository des Herstellers
Meldefristen
Es gilt derselbe dreistufige Meldeprozess wie bei aktiv ausgenutzten Schwachstellen: 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht spätestens einen Monat nach Einreichung der Vorfallsmeldung.