CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART6-02Binding

Sicherstellen, dass Schwachstellenbehandlungsprozesse die grundlegenden Anforderungen erfüllen (Anhang I Teil II)

Gilt für
Manufacturer
Quellenangaben
Art. 6(b)Annex I Part II
Last reviewed

Einfache Sprache

Neben dem Produkt selbst müssen auch Ihre internen Schwachstellenbehandlungs- prozesse bestimmte Standards erfüllen. Das bedeutet: Prozesse zur Identifizierung von Schwachstellen, zur schnellen Behebung, zur Veröffentlichung einer SBOM, zum Betrieb einer CVD-Richtlinie, zur Information über behobene Schwachstellen und zur Verteilung von Sicherheitsupdates – sowohl während der Entwicklung als auch für den gesamten Unterstützungszeitraum nach der Markteinführung.

Rechtstext

Artikel 6(b) der Verordnung (EU) 2024/2847 bestimmt, dass Produkte mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden dürfen, wenn die vom Hersteller eingerichteten Prozesse den in Anhang I Teil II festgelegten grundlegenden Cybersicherheitsanforderungen entsprechen.

Anforderungen an die Schwachstellenbehandlung — Anhang I Teil II

Hersteller müssen Prozesse einrichten für:

  1. SBOM — Identifizierung und Dokumentation von Schwachstellen und Komponenten, einschließlich einer maschinenlesbaren Software-Stückliste (SBOM) für mindestens die Top-Level-Abhängigkeiten
  2. Zeitnahe Behebung — Behebung von Schwachstellen ohne ungebührliche Verzögerung, einschließlich der Bereitstellung von Sicherheitsupdates
  3. Regelmäßige Tests — wirksame und regelmäßige Sicherheitstests und -prüfungen
  4. Offenlegung behobener Schwachstellen — nach Bereitstellung eines Updates öffentliche Bekanntgabe von Informationen über behobene Schwachstellen
  5. CVD-Richtlinie — Einführung und Durchsetzung einer Richtlinie zur koordinierten Offenlegung von Schwachstellen
  6. Meldewege — Erleichterung der Schwachstellenmeldung über eine Kontaktadresse
  7. Sichere Updateverteilung — sichere Verteilung von Sicherheitsupdates (einschließlich automatischer Optionen)
  8. Kostenlose Updates — kostenlose Bereitstellung von Sicherheitsupdates für die Dauer des Unterstützungszeitraums
Sicherstellen, dass Schwachstellenbehandlungsprozesse die grundlegenden Anforderungen erfüllen (Anhang I Teil II) — CRA-Compliance-Hub