Gestionar y remediar vulnerabilidades durante todo el período de asistencia técnica

El artículo 13(10) del Reglamento (UE) 2024/2847, leído junto con el Anexo I Parte II, exige que los fabricantes gestionen las vulnerabilidades de forma eficaz. El anexo especifica los siguientes requisitos concretos:

Anexo I Parte II — Requisitos de gestión de vulnerabilidades:

1. Identificar y documentar las vulnerabilidades y los componentes del producto (SBOM)
2. Abordar las vulnerabilidades sin demora, proporcionalmente al riesgo
3. Aplicar actualizaciones de seguridad eficaces y periódicas
4. Utilizar identificadores CVE (de una autoridad de numeración CVE) para las vulnerabilidades
5. Publicar información sobre las vulnerabilidades corregidas, incluida la puntuación CVSS
6. Adoptar una política de divulgación coordinada de vulnerabilidades
7. Facilitar que terceros puedan notificar vulnerabilidades
8. Compartir información sobre vulnerabilidades con la red de CSIRT y ENISA cuando se solicite

1. Proceso de gestión de vulnerabilidades: flujo de trabajo documentado de recepción, clasificación, remediación y divulgación
2. Remediación oportuna: tiempo de respuesta proporcional a la puntuación CVSS y la explotabilidad
3. Asignación de CVE: obtener identificadores CVE de una CNA (autoridad de numeración CVE); ENISA actúa como CNA de la UE para los CVE relacionados con el RCA
4. Puntuación CVSS: publicar la puntuación CVSS (v3.1 o posterior) en los avisos de seguridad
5. Avisos de seguridad: publicar avisos para todas las vulnerabilidades corregidas
6. Aviso de fin de asistencia técnica: notificar a los usuarios como máximo 12 meses antes de que finalice la asistencia técnica para que puedan tomar medidas alternativas

• Política de gestión de vulnerabilidades y objetivos de SLA (tiempo para la aplicación de parches por gravedad)
• Registro o cartera de vulnerabilidades
• Registros de asignación de CVE
• Avisos de seguridad publicados con puntuaciones CVSS
• Registros de notificación de fin de asistencia técnica