Richtlinie zur koordinierten Schwachstellenoffenlegung (CVD) einrichten und veröffentlichen

Artikel 13(7) der Verordnung (EU) 2024/2847 und Anhang I Teil II §1 verpflichten Hersteller:

• Schwachstellen und Komponenten des Produkts zu identifizieren und zu dokumentieren
• Eine Richtlinie zur koordinierten Schwachstellenoffenlegung einzurichten
• Maßnahmen zu treffen, die den Austausch von Informationen über potenzielle Schwachstellen erleichtern

Die CVD-Richtlinie muss öffentlich zugänglich sein, damit externe Melder sie auffinden können.

1. Öffentliche CVD-Richtlinie – auf der Website veröffentlicht und auffindbar
2. Sicherheitskontakt – dedizierte E-Mail-Adresse oder Webformular für Schwachstellenmeldungen (z. B. security@beispiel.com)
3. security.txt-Datei – gemäß RFC 9116 unter /.well-known/security.txt veröffentlichen, um die Kontaktangaben maschinenlesbar zu machen
4. Bestätigungszusage – Zeitrahmen für die Bestätigung des Eingangs einer Meldung angeben (ENISA empfiehlt ≤ 5 Werktage)
5. Offenlegungszeitplan – den koordinierten Offenlegungsprozess beschreiben, einschließlich des Umgangs mit Sperrfristen gegenüber Forschenden
6. Geltungsbereichsangabe – angeben, welche Produkte und Versionen die Richtlinie abdeckt

Auf Grundlage der ENISA-CVD-Leitlinien und CRA Anhang I Teil II:

• Kontaktadresse und bevorzugte Kontaktmethode
• PGP-/S/MIME-Schlüssel für verschlüsselte Einreichungen (empfohlen)
• Unterstützte Sprachen für Meldungen
• Bestätigungszeitraum
• Erwarteter Zeitrahmen für Behebungs-Updates
• Koordinierter Offenlegungsprozess (Sperrfrist, Anerkennung der Forschenden, CVE-Zuweisung)
• Safe-Harbour-Erklärung für gutgläubige Forschende

• Veröffentlichte CVD-Richtlinie (URL)
• /.well-known/security.txt-Datei
• Schwachstellen-Eingangsprotokoll (vertraulich – nicht öffentlich erforderlich)
• Aufzeichnungen über eingegangene Meldungen und deren Bearbeitung