Gecoördineerde openbaarmaking van kwetsbaarheden (CVD)
Een proces waarbij ontdekkers van kwetsbaarheden de fabrikant privé informeren zodat deze een oplossing kan ontwikkelen en publiceren voordat de kwetsbaarheid openbaar wordt gemaakt. De CRA verplicht fabrikanten een CVD-beleid op te stellen als onderdeel van hun kwetsbaarheidsbeheersverplichtingen uit Bijlage I, Deel II.
Bronvermeldingen
Wettekst
Bijlage I, Deel II, punt 5(a) van Verordening (EU) 2024/2847 verplicht fabrikanten:
«een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden op te stellen en toe te passen».
CVD-beleid: kernonderdelen
Een CRA-conform CVD-beleid moet omvatten:
- Meldingskanaal — een veilig en toegankelijk middel voor onderzoekers om kwetsbaarheden te melden (bijv. security.txt, versleuteld e-mail)
- Termijnen — maximale tijd tussen privémelding en publieke openbaarmaking
- Triageproces — hoe gemelde kwetsbaarheden worden beoordeeld en geprioriteerd
- Coördinatie — samenwerking met CSIRT's indien nodig
CVD-meldingsregels in de CRA
| Gebeurtenis | Vereiste actie |
|---|---|
| Actief misbruikte kwetsbaarheid | Meld bij CSIRT binnen 24 u (Art. 14(2)(a)) |
| Ernstig incident | Meld bij CSIRT binnen 24 u (Art. 14(3)) |
| Verholpen kwetsbaarheid | Openbaar maken met voldoende details (Bijlage I, Deel II, pt. 8) |
CVD vs. VDP
CVD-beleid en kwetsbaarheidsopenbaarmaking-beleid (VDP) worden soms als synoniemen gebruikt. De CRA gebruikt «CVD», waarbij de nadruk ligt op coördinatie tussen onderzoeker, fabrikant en, indien van toepassing, CSIRT.