Vulnerabilità
Una debolezza in un prodotto con elementi digitali che potrebbe essere potenzialmente sfruttata da un attore di minaccia per violare la sicurezza di tale prodotto o dei sistemi connessi. Il CRA impone numerosi obblighi ai fabbricanti per identificare, correggere e divulgare le vulnerabilità per tutta la durata del periodo di assistenza.
Citazioni fonti
Vedi anche
Testo normativo
L'articolo 3(48) del Regolamento (UE) 2024/2847 definisce vulnerabilità come:
«una debolezza, una suscettibilità o un difetto di un prodotto con elementi digitali che può essere sfruttato da una minaccia informatica».
Ciclo di vita delle vulnerabilità ai sensi del CRA
Scoperta → Triage → Correzione → Divulgazione
| Fase | Obbligo del fabbricante |
|---|---|
| Identificazione | Monitorare continuamente le vulnerabilità (Allegato I, Parte II, pt. 5) |
| Triage | Descrivere e valutare la gravità, documentare le misure correttive |
| Correzione | Distribuire aggiornamenti di sicurezza senza indugio; informare gli utenti |
| Divulgazione | Notificare all'ENISA le vulnerabilità attivamente sfruttate entro 24 h |
Gestione coordinata delle vulnerabilità
Il CRA si basa sulla CVD. I fabbricanti sono incoraggiati a:
- Stabilire una politica di CVD (Allegato I, Parte II, pt. 5(a))
- Mantenere un canale di segnalazione sicuro
- Cooperare con i ricercatori di sicurezza
Conservazione dei dati
Le informazioni sulle vulnerabilità devono essere conservate nella documentazione tecnica per almeno dieci anni dopo la fine del periodo di assistenza.