Gérer et remédier aux vulnérabilités pendant toute la durée de support

L'article 13(10) du règlement (UE) 2024/2847, lu en combinaison avec l'Annexe I Partie II, exige que les fabricants gèrent efficacement les vulnérabilités. L'annexe précise les exigences concrètes suivantes :

Annexe I Partie II — Exigences en matière de gestion des vulnérabilités :

1. Identifier et documenter les vulnérabilités et les composants du produit (SBOM)
2. Traiter les vulnérabilités sans délai, proportionnellement au risque
3. Appliquer des mises à jour de sécurité efficaces et régulières
4. Utiliser des identifiants CVE (délivrés par une autorité de numérotation CVE) pour les vulnérabilités
5. Publier des informations sur les vulnérabilités corrigées, y compris le score CVSS
6. Adopter une politique de divulgation coordonnée des vulnérabilités
7. Faciliter le signalement de vulnérabilités par des tiers
8. Partager les informations sur les vulnérabilités avec le réseau CSIRT et l'ENISA sur demande

1. Processus de gestion des vulnérabilités — flux documenté de réception, triage, remédiation et divulgation
2. Remédiation dans les délais — délai de traitement proportionnel au score CVSS et à l'exploitabilité
3. Attribution de CVE — obtenir des identifiants CVE auprès d'une autorité de numérotation CVE (CNA) ; l'ENISA est le CNA de l'UE pour les CVE liés au CRA
4. Score CVSS — publier le score CVSS (v3.1 ou ultérieur) avec les bulletins de sécurité
5. Bulletins de sécurité — publier des bulletins pour toutes les vulnérabilités corrigées
6. Avis de fin de support — notifier les utilisateurs au plus tard 12 mois avant la fin du support afin qu'ils puissent prendre des dispositions alternatives

• Politique de gestion des vulnérabilités et objectifs de délai de traitement par niveau de sévérité
• Suivi ou arriéré de vulnérabilités
• Enregistrements d'attribution de CVE
• Bulletins de sécurité publiés avec scores CVSS
• Enregistrements de notification de fin de support