Garantire l'assenza di vulnerabilità sfruttabili note al momento dell'immissione sul mercato
- Si applica a
- Manufacturer
- Citazioni fonti
- Art. 13(6)Annex I Part I §3
- Classi di prodotto
- DefaultImportant — Class IImportant — Class IICritical
Linguaggio semplice
Non si deve commercializzare consapevolmente un prodotto con vulnerabilità di sicurezza sfruttabili. Prima di ogni rilascio — compresi gli aggiornamenti software — verificare il codice proprio e tutti i componenti di terze parti rispetto ai database di vulnerabilità note (come NVD ed EUVD). Correggere ciò che si trova prima della commercializzazione.
Testo giuridico
L'articolo 13, paragrafo 6, del regolamento (UE) 2024/2847 e l'Allegato I Parte I §3 richiedono che, al momento dell'immissione sul mercato di un prodotto con elementi digitali, i fabbricanti garantiscano che il prodotto non contenga vulnerabilità sfruttabili note.
Tale obbligo si applica:
- alla prima immissione sul mercato
- per ogni successivo aggiornamento software reso disponibile agli utenti
Requisiti fondamentali
- Scansione pre-rilascio delle vulnerabilità — eseguire controlli SCA e SAST prima di ogni rilascio
- Verifica CVE/EUVD — verificare tutti i componenti (di prima e terza parte) rispetto al National Vulnerability Database (NVD), al database europeo delle vulnerabilità (EUVD) e ai relativi feed di advisory
- Nessuna commercializzazione con CVSS critico — non commercializzare con vulnerabilità sfruttabili note di livello critico o alto, salvo in presenza di una decisione documentata e limitata nel tempo di accettazione del rischio
- Verifica nella pipeline di aggiornamento — lo stesso gate "nessuna vulnerabilità nota" si applica a ogni aggiornamento di sicurezza e rilascio di funzionalità inviato agli utenti
- Documentazione al rilascio — conservare la valutazione dello stato delle vulnerabilità per ogni versione distribuita come prova
Chiarimento dell'ambito
"Sfruttabile nota" indica le vulnerabilità per le quali è stato pubblicato un CVE o un advisory equivalente e per le quali esiste un percorso di sfruttamento pratico nel contesto del prodotto come distribuito. I rischi teorici o altamente condizionali che non possono essere esercitati nel normale utilizzo sono valutati secondo il principio di proporzionalità al rischio.
Documentazione che potrebbe essere necessaria
- Report di scansione SCA e SAST per ogni rilascio
- Registrazioni delle query al database CVE/EUVD alla data di ogni rilascio
- Registrazioni di accettazione del rischio (per il rischio residuo accettato)
- Backlog delle vulnerabilità che mostra tutti i problemi risolti prima del rilascio
- Risultati dei test di penetrazione per le versioni principali