Beim Inverkehrbringen keine bekannten ausnutzbaren Schwachstellen enthalten

Artikel 13(6) der Verordnung (EU) 2024/2847 und Anhang I Teil I §3 verlangen, dass Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen sicherstellen, dass das Produkt keine bekannten ausnutzbaren Schwachstellen enthält.

Diese Pflicht gilt:

• beim ersten Inverkehrbringen
• für jedes anschließend für Nutzer bereitgestellte Software-Update

1. Schwachstellenscan vor der Veröffentlichung – SCA- und SAST-Prüfungen vor jeder Veröffentlichung durchführen
2. CVE/EUVD-Abgleich – alle Komponenten (eigen und fremd) gegen die National Vulnerability Database (NVD), die EU Vulnerability Database (EUVD) und relevante Hinweisfeeds prüfen
3. Keine Auslieferung mit kritischen CVSS-Schwachstellen – keine bekannten kritischen oder hochgradig ausnutzbaren Schwachstellen ausliefern, sofern keine dokumentierte, zeitlich befristete Risikoakzeptanzentscheidung vorliegt
4. Prüfung im Update-Prozess – dieselbe Anforderung gilt für jedes Sicherheits-Update und jede Funktionsversion
5. Dokumentation zum Zeitpunkt der Veröffentlichung – die Schwachstellenstatus- Bewertung für jede ausgelieferte Version als Nachweis aufbewahren

„Bekannte ausnutzbare" Schwachstellen sind solche, für die ein CVE oder eine gleichwertige Meldung veröffentlicht wurde und für die ein praktikabler Ausnutzungspfad im Kontext des Produkts im Einsatz besteht. Theoretische oder stark bedingte Risiken, die im normalen Betrieb nicht ausgelöst werden können, werden nach dem Verhältnismäßigkeitsprinzip bewertet.

• SCA- und SAST-Scan-Berichte für jede Veröffentlichung
• Aufzeichnungen zu CVE/EUVD-Datenbankabfragen zum jeweiligen Veröffentlichungsdatum
• Risikoakzeptanzaufzeichnungen (für akzeptierte Restrisiken)
• Schwachstellen-Rückstand mit allen vor der Veröffentlichung behobenen Problemen
• Penetrationstestergebnisse für Hauptversionen