Schwachstellen über den gesamten Unterstützungszeitraum behandeln und beheben

Artikel 13(10) der Verordnung (EU) 2024/2847 in Verbindung mit Anhang I Teil II verpflichtet Hersteller, Schwachstellen effektiv zu behandeln. Der Anhang legt folgende konkrete Anforderungen fest:

Anhang I Teil II – Anforderungen an die Schwachstellenbehandlung:

1. Schwachstellen und Komponenten des Produkts identifizieren und dokumentieren (SBOM)
2. Schwachstellen unverzüglich und proportional zum Risiko beheben
3. Effektive und regelmäßige Sicherheitsupdates anwenden
4. CVE-Identifier (von einer CVE-Nummerierungsbehörde) für Schwachstellen verwenden
5. Informationen über behobene Schwachstellen einschließlich CVSS-Score veröffentlichen
6. Eine Richtlinie zur koordinierten Schwachstellenoffenlegung einführen
7. Dritten die Meldung von Schwachstellen erleichtern
8. Informationen zu Schwachstellen auf Anfrage mit dem CSIRT-Netzwerk und ENISA teilen

1. Schwachstellenmanagement-Prozess – dokumentierter Workflow für Eingang, Triage, Behebung und Offenlegung
2. Zeitnahe Behebung – Reaktionszeit proportional zum CVSS-Score und zur Ausnutzbarkeit
3. CVE-Zuweisung – CVE-IDs von einer CNA (CVE Numbering Authority) einholen; ENISA fungiert als EU-CNA für CRA-bezogene CVEs
4. CVSS-Bewertung – CVSS (v3.1 oder neuer) mit Sicherheitsmitteilungen veröffentlichen
5. Sicherheitsmitteilungen – Mitteilungen für alle behobenen Schwachstellen veröffentlichen
6. Hinweis zum Support-Ende – Nutzer spätestens 12 Monate vor dem Ende des Unterstützungszeitraums informieren, damit sie Alternativen in Betracht ziehen können

• Richtlinie zum Schwachstellenmanagement und SLA-Ziele (Zeit bis zum Patch nach Schweregrad)
• Schwachstellen-Tracker oder Rückstand
• CVE-Zuweisungsaufzeichnungen
• Veröffentlichte Sicherheitsmitteilungen mit CVSS-Scores
• Aufzeichnungen zur Benachrichtigung über das Support-Ende