Istituire e pubblicare una politica di divulgazione coordinata delle vulnerabilità (CVD)

L'articolo 13, paragrafo 7, del regolamento (UE) 2024/2847 e l'Allegato I Parte II §1 richiedono che i fabbricanti:

• Identifichino e documentino le vulnerabilità e i componenti contenuti nel prodotto
• Dispongano di una politica di divulgazione coordinata delle vulnerabilità
• Adottino misure per facilitare la condivisione di informazioni sulle potenziali vulnerabilità

La politica CVD deve essere accessibile al pubblico in modo che i segnalanti esterni possano trovarla.

1. Politica CVD pubblica — pubblicata sul sito web e facilmente reperibile
2. Contatto di sicurezza — indirizzo e-mail dedicato o modulo web per le segnalazioni di vulnerabilità (es. security@example.com)
3. File security.txt — pubblicato in /.well-known/security.txt ai sensi di RFC 9116 per rendere il contatto rilevabile automaticamente
4. Impegno di conferma di ricezione — indicare un termine per la conferma di ricevimento (ENISA raccomanda ≤ 5 giorni lavorativi)
5. Tempistica di divulgazione — descrivere il processo di divulgazione coordinata, inclusa la gestione dei periodi di embargo con i ricercatori
6. Dichiarazione di ambito — indicare quali prodotti e versioni sono coperti dalla politica

Sulla base delle linee guida CVD di ENISA e dell'Allegato I Parte II del CRA:

• Indirizzo di contatto e metodo di contatto preferito
• Chiave PGP / S/MIME per invii crittografati (raccomandato)
• Lingue supportate per le segnalazioni
• Termine di conferma di ricezione
• Tempistica prevista per gli aggiornamenti di rimedio
• Processo di coordinamento della divulgazione (embargo, riconoscimento del ricercatore, assegnazione CVE)
• Dichiarazione di porto sicuro per i ricercatori in buona fede

• Politica CVD pubblicata (URL)
• File /.well-known/security.txt
• Registro delle vulnerabilità ricevute (riservato — non richiesto pubblicamente)
• Registrazioni delle segnalazioni ricevute e delle relative modalità di gestione