Actief misbruikte kwetsbaarheid
Een kwetsbaarheid waarvoor bewijs bestaat van actief misbruik in echte omgevingen. De CRA vereist dat fabrikanten actief misbruikte kwetsbaarheden in hun producten binnen 24 uur na ontdekking melden bij de aangewezen CSIRT en ENISA, op grond van artikel 14(2)(a).
Bronvermeldingen
Wettekst
Artikel 14(2)(a) van Verordening (EU) 2024/2847 verplicht fabrikanten onverwijld en uiterlijk binnen 24 uur na ontdekking van een actief misbruikte kwetsbaarheid melding te doen.
Artikel 3(47) definieert een actief misbruikte kwetsbaarheid als:
«een kwetsbaarheid waarvoor bewijs bestaat dat een bedreigingsactor er misbruik van maakt in systemen die in gebruik zijn».
Waarom de drempel van 24 uur ertoe doet
Vroegtijdige melding stelt autoriteiten in staat om:
- Andere fabrikanten te waarschuwen die zijn getroffen door hetzelfde kwetsbare onderdeel
- Mitigatieaanbevelingen te publiceren voordat een patch beschikbaar is
- Respons te coördineren via het EU CSIRT-netwerk
Meldingsstroom
- 24 u — eerste melding bij de aangewezen CSIRT (en ENISA)
- 72 u — vervolgmelding met ernstbeoordeling
- 14 dagen — eindrapport met hersteldetails
De CSIRT kan informatie doorsturen naar ENISA, die deze aggregeert in de Europese kwetsbaarhedendatabank.