Nutzer bei aktiv ausgenutzten Schwachstellen unverzüglich informieren
- Gilt für
- Manufacturer
- Quellenangaben
- Art. 14(4)
- Produktklassen
- DefaultImportant — Class IImportant — Class IICritical
Einfache Sprache
Wird eine Schwachstelle im Produkt für Angriffe auf Nutzer ausgenutzt, sind diese unverzüglich zu informieren. Es darf nicht auf den Fix gewartet werden. Es sind das Risiko zu beschreiben und die sofort möglichen Schutzmaßnahmen anzugeben. Dafür sind die üblichen Update- oder Benachrichtigungskanäle zu nutzen – jedoch schnell.
Rechtstext
Artikel 14(4) der Verordnung (EU) 2024/2847 verpflichtet Hersteller, Nutzer von Produkten mit digitalen Elementen, die von einer aktiv ausgenutzten Schwachstelle betroffen sind, unverzüglich mit Informationen zu unterrichten, die es diesen Nutzern ermöglichen, Schutzmaßnahmen zu ergreifen.
Diese Benachrichtigungspflicht besteht gleichzeitig mit den ENISA-Meldepflichten (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03) – die Meldung an ENISA ersetzt nicht die Benachrichtigung der Nutzer.
Gültigkeit ab
Diese Pflicht gilt ab 11. September 2026.
Erforderlicher Inhalt der Nutzerbenachrichtigung
Die Benachrichtigung an Nutzer muss enthalten:
- Betroffenes Produkt und betroffene Versionen – präzise Angabe der betroffenen Produkte und Firmware-/Softwareversionen
- Art der Schwachstelle – verständliche Beschreibung des Risikos
- Bestätigung der aktiven Ausnutzung – Erklärung, dass eine aktive Ausnutzung beobachtet wurde
- Verfügbare Minderungsmaßnahmen – Schritte, die Nutzer sofort unternehmen können (Workarounds, Konfigurationsänderungen, Netzwerksegregation) bis zur vollständigen Behebung
- Verfügbarkeit von Updates – ob ein Patch verfügbar ist und wie er bezogen werden kann; falls noch nicht verfügbar: ein voraussichtlicher Zeitplan
- Dringlichkeitsempfehlung – empfohlene Priorität für das Einspielen des Updates
Benachrichtigungskanäle
Es sind Kanäle zu nutzen, über die auch Nutzer erreichbar sind, die nicht proaktiv nach Updates suchen:
- Produktinterner Sicherheitshinweis (Push-Benachrichtigung oder Banner)
- E-Mail an registrierte Nutzer
- Prominente Meldung auf der Produkt-/Support-Website
- App-Store-/Plattform-Update-Hinweise
Die Wahl des Kanals muss dem Schweregrad und der Ausnutzbarkeit angemessen sein.
Nachweise, die Sie möglicherweise benötigen
- Aufzeichnungen zur Nutzerbenachrichtigung – Zeitstempel, Inhalt, verwendete Kanäle
- Zustellungsbestätigung (E-Mail-Eingänge, Benachrichtigungsanalysen)
- Veröffentlichte Sicherheitsmitteilung mit nutzerorientierter Behebungsanleitung
- Aufzeichnungen, die belegen, dass die Benachrichtigung vor oder begleitend zur Patch-Veröffentlichung erfolgte