Gestire e rimediare le vulnerabilità per tutta la durata del periodo di supporto

L'articolo 13, paragrafo 10, del regolamento (UE) 2024/2847, letto congiuntamente all'Allegato I Parte II, richiede che i fabbricanti gestiscano efficacemente le vulnerabilità. L'allegato specifica i seguenti requisiti concreti:

Allegato I Parte II — Requisiti di gestione delle vulnerabilità:

1. Identificare e documentare le vulnerabilità e i componenti del prodotto (SBOM)
2. Affrontare le vulnerabilità senza ritardo, in modo proporzionato al rischio
3. Applicare aggiornamenti di sicurezza efficaci e regolari
4. Utilizzare identificatori CVE (da un'autorità di numerazione CVE) per le vulnerabilità
5. Pubblicare informazioni sulle vulnerabilità corrette, incluso il punteggio CVSS
6. Adottare una politica di divulgazione coordinata delle vulnerabilità
7. Facilitare la segnalazione di vulnerabilità da parte di terzi
8. Condividere informazioni sulle vulnerabilità con la rete CSIRT e ENISA su richiesta

1. Processo di gestione delle vulnerabilità — flusso di lavoro documentato per ricezione, triage, remediation e divulgazione
2. Remediation tempestiva — tempo di risposta proporzionato al punteggio CVSS e alla sfruttabilità
3. Assegnazione CVE — ottenere ID CVE da un CNA (CVE Numbering Authority); ENISA opera come CNA UE per i CVE relativi al CRA
4. Punteggio CVSS — pubblicare il punteggio CVSS (v3.1 o successivo) con gli advisory di sicurezza
5. Advisory di sicurezza — pubblicare advisory per tutte le vulnerabilità corrette
6. Avviso di fine supporto — notificare agli utenti non oltre 12 mesi prima della scadenza del supporto affinché possano adottare soluzioni alternative

• Politica di gestione delle vulnerabilità e obiettivi SLA (tempo di patch per livello di gravità)
• Tracker o backlog delle vulnerabilità
• Registrazioni di assegnazione CVE
• Advisory di sicurezza pubblicati con punteggi CVSS
• Registrazioni delle notifiche di fine supporto