Schwachstelle
Eine Schwäche in einem Produkt mit digitalen Elementen, die potenziell von einem Bedrohungsakteur ausgenutzt werden kann, um die Sicherheit dieses Produkts oder verbundener Systeme zu verletzen. Der CRA legt Herstellern weitreichende Pflichten zur Identifizierung, Behebung und Offenlegung von Schwachstellen während des gesamten Unterstützungszeitraums auf.
Quellenangaben
Siehe auch
Überblick
Obwohl der CRA „Schwachstelle" nicht direkt definiert, verwendet er den Begriff umfangreich, um ausnutzbare Schwächen zu beschreiben. Die praktische Bedeutung folgt der in Cybersicherheitsnormen (z. B. ISO/IEC 27001) weitgehend akzeptierten Definition.
Herstellerpflichten in Bezug auf Schwachstellen
| Pflicht | Referenz |
|---|---|
| Schwachstellen identifizieren und dokumentieren (einschließlich SBOM) | Anhang I Teil II §1 |
| Schwachstellen ohne Verzögerung beheben | Anhang I Teil II §2 |
| Regelmäßige Sicherheitstests durchführen | Anhang I Teil II §3 |
| Informationen zu behobenen Schwachstellen öffentlich bekannt geben | Anhang I Teil II §4 |
| CVD-Richtlinie einrichten | Anhang I Teil II §5 |
| Meldung über Kontaktadresse ermöglichen | Anhang I Teil II §6 |
| Sichere Update-Verteilung sicherstellen | Anhang I Teil II §7 |
| Kostenlose Sicherheitsupdates bereitstellen | Anhang I Teil II §8 |
Schwachstellen in Drittkomponenten
Hersteller müssen bei integrierten Drittkomponenten die gebotene Sorgfalt walten lassen (Art. 13(5)). Bei einer entdeckten Schwachstelle müssen sie:
- Diese dem Wartungsverantwortlichen der Komponente melden (Art. 13(6))
- Sie im eigenen Produkt beheben
Meldepflichtige Schwachstellen
Eine aktiv ausgenutzte Schwachstelle löst innerhalb von 24 Stunden eine Meldepflicht an ENISA und das zuständige CSIRT aus (Art. 14(1)).