Kwetsbaarheid
Een zwakheid in een product met digitale elementen die mogelijk door een bedreigingsactor kan worden misbruikt om de beveiliging van dat product of verbonden systemen te doorbreken. De CRA legt fabrikanten uitgebreide verplichtingen op om kwetsbaarheden gedurende de gehele ondersteuningsperiode te identificeren, te verhelpen en openbaar te maken.
Bronvermeldingen
Zie ook
Wettekst
Artikel 3(36) van Verordening (EU) 2024/2847 definieert een kwetsbaarheid als:
«een zwakheid, vatbaarheid of fout van producten met digitale elementen of de processen die worden gebruikt voor de ontwikkeling en onderhoud van dergelijke producten die door een cyberdreiging kan worden misbruikt».
Kwetsbaarheidsverplichtingen onder de CRA
Gedurende de ondersteuningsperiode (Art. 13 en Bijlage I Deel II)
- Identificeer kwetsbaarheden proactief via beveiligingstests
- Beoordeel de ernst (CVSS of gelijkwaardig)
- Verhelp kwetsbaarheden en verspreid beveiligingsupdates
- Meld actief misbruikte kwetsbaarheden aan ENISA
- Openbaar maak kwetsbaarheden overeenkomstig CVD-beleid
Soorten kwetsbaarheden
| Soort | Beschrijving |
|---|---|
| Eigen kwetsbaarheid | Kwetsbaarheid in de eigen code van de fabrikant |
| Afhankelijkheidskwetsbaarheid | Kwetsbaarheid in een externe bibliotheek of component |
| Actief misbruikte kwetsbaarheid | Kwetsbaarheid die actief wordt misbruikt in het wild (vereist extra melding) |
Kwetsbaarheden vs. incidenten
Een kwetsbaarheid is een latente zwakheid; een incident is een daadwerkelijke inbreuk of verstoring die exploitatie van een kwetsbaarheid kan inhouden.