Geen bekende uitbuitbare kwetsbaarheden bij het op de markt brengen

Artikel 13(6) van Verordening (EU) 2024/2847 en Bijlage I Deel I §3 vereisen dat fabrikanten, bij het op de markt brengen van een product met digitale elementen, ervoor zorgen dat het product geen bekende uitbuitbare kwetsbaarheden bevat.

Deze verplichting geldt:

• bij de eerste ingebruikstelling op de markt
• voor elke daaropvolgende software-update die aan gebruikers beschikbaar wordt gesteld

1. Kwetsbaarheidscontrole vóór release — SCA- en SAST-controles uitvoeren vóór elke release
2. CVE/EUVD-controle — alle componenten (eigen en van derden) verifiëren aan de hand van de National Vulnerability Database (NVD), de EU Vulnerability Database (EUVD) en relevante adviesfeeds
3. Geen CVSS-kritieke levering — niet leveren met bekende kritieke of ernstige uitbuitbare kwetsbaarheden tenzij een gedocumenteerde, tijdgebonden risicoaanvaardingsbeslissing aanwezig is
4. Updatepijplijncontrole — dezelfde drempel van geen bekende kwetsbaarheden geldt voor elke beveiligingsupdate en functierelease die aan gebruikers wordt aangeboden
5. Gedocumenteerd bij release — de kwetsbaarheidsstatusbeoordeling voor elke geleverde versie bewaren als bewijs

"Bekende uitbuitbare" kwetsbaarheden zijn kwetsbaarheden waarvoor een CVE of gelijkwaardig advies is gepubliceerd en waarvoor een praktisch uitbuitingspad bestaat in de context van het product zoals ingezet. Theoretische of sterk conditionele risico's die bij normaal gebruik niet kunnen worden gerealiseerd, worden beoordeeld op grond van het risicoevenredigheidsbeginsel.

• SCA- en SAST-scanrapporten voor elke release
• CVE/EUVD-databasequery-verslagen op elke releasedatum
• Risicoaanvaardingsverslagen (voor aanvaarde restrisico's)
• Kwetsbaarheidsachterstand waaruit blijkt dat alle problemen vóór de release zijn opgelost
• Penetratietestresultaten voor grote versies