Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden

Artikel 24(2) der Verordnung (EU) 2024/2847 bestimmt, dass Betreiber von Open-Source-Software das gemäß Artikel 12(1) der Richtlinie (EU) 2022/2555 als Koordinator benannte CSIRT unverzüglich und innerhalb der in Durchführungsrechtsakten festgelegten Frist über Folgendes informieren müssen:

• jede aktiv ausgenutzte Schwachstelle in den von ihnen verwalteten Open-Source-Software-Komponenten;
• jeden schwerwiegenden Vorfall, der sich auf die Sicherheit dieser Open-Source-Software-Komponenten auswirkt.

Nach der Meldung behandelt das CSIRT die gemeldeten Informationen vertraulich und unterstützt den Betreiber der Open-Source-Software bei der Offenlegung der Schwachstelle gemäß den Praktiken zur koordinierten Schwachstellenoffenlegung.

1. Auslöser: aktive Ausnutzung – Pflicht entsteht, wenn bekannt wird, dass eine Schwachstelle in der eigenen Software in freier Wildbahn aktiv ausgenutzt wird
2. Auslöser: schwerwiegender Vorfall – Pflicht entsteht auch bei schwerwiegenden Sicherheitsvorfällen, die die Sicherheitseigenschaften der Software beeinträchtigen
3. Empfänger: CSIRT-Koordinator – das nach NIS-2-Richtlinie Art. 12 als Koordinator benannte nationale CSIRT informieren, nicht direkt ENISA
4. Unverzüglich – zügige Meldung; der genaue Zeitrahmen wird durch Durchführungsrechtsakt festgelegt
5. Vertraulichkeit – das CSIRT behandelt die gemeldeten Informationen vertraulich und unterstützt die koordinierte Offenlegung

• An CSIRT-Koordinator übermittelte Meldung (Datum, Inhalt, Methode)
• Interner Prozess zur Überwachung und Erkennung aktiver Ausnutzung
• Vorfallsprotokoll mit Zeitpunkt der Kenntniserlangung und ergriffenen Maßnahmen
• Zeitplan der koordinierten Offenlegung