サポート期間全体にわたる脆弱性の対処および修正

規則（EU）2024/2847第13条第10項は、附属書I第II部と合わせて読むと、製造業者が脆弱性を効果的に対処することを義務付けている。附属書は以下の具体的な要件を規定している：

附属書I第II部——脆弱性対処要件：

1. 製品に含まれる脆弱性およびコンポーネントを特定・文書化する（SBOM）
2. リスクに比例して遅延なく脆弱性に対処する
3. 効果的かつ定期的なセキュリティアップデートを適用する
4. 脆弱性にCVE識別子（CVE番号付与機関からのもの）を使用する
5. CVSSスコアを含む修正された脆弱性に関する情報を公開する
6. 協調的な脆弱性開示ポリシーを採用する
7. 第三者が脆弱性を報告しやすくする
8. 要請に応じてCSIRTネットワークおよびENISAと脆弱性情報を共有する

1. 脆弱性管理プロセス——文書化された受付・トリアージ・修正・開示のワークフロー
2. 適時の修正——CVSSスコアおよび悪用可能性に比例した対応時間
3. CVE割り当て——CNA（CVE番号付与機関）からCVE IDを取得する；ENISAはCRA関連CVEのEU CNAとして機能する
4. CVSSスコアリング——セキュリティアドバイザリにCVSS（v3.1以降）スコアを公開する
5. セキュリティアドバイザリ——修正されたすべての脆弱性についてアドバイザリを公開する
6. サポート終了通知——ユーザーが代替手段を講じられるよう、サポート終了の少なくとも12ヶ月前に通知する

• 脆弱性管理ポリシーおよびSLAターゲット（深刻度別パッチ適用期限）
• 脆弱性トラッカーまたはバックログ
• CVE割り当て記録
• CVSSスコア付きの公開セキュリティアドバイザリ
• サポート終了通知記録