Een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden opstellen en publiceren

Artikel 13(7) van Verordening (EU) 2024/2847 en Bijlage I Deel II §1 vereisen dat fabrikanten:

• Kwetsbaarheden en componenten in het product identificeren en documenteren
• Een beleid hebben voor gecoördineerde openbaarmaking van kwetsbaarheden
• Maatregelen nemen om het delen van informatie over potentiële kwetsbaarheden te vergemakkelijken

Het CVD-beleid moet openbaar toegankelijk zijn zodat externe melders het kunnen vinden.

1. Openbaar CVD-beleid — gepubliceerd op uw website en vindbaar
2. Beveiligingscontact — speciaal e-mailadres of webformulier voor kwetsbaarheids-meldingen (bijv. security@example.com)
3. security.txt-bestand — publiceer op /.well-known/security.txt conform RFC 9116 om het contact machineleesbaar vindbaar te maken
4. Bevestigingstoezegging — geef een termijn op voor het bevestigen van ontvangst (ENISA raadt ≤ 5 werkdagen aan)
5. Openbaarmakingstijdlijn — beschrijf het proces voor gecoördineerde openbaarmaking, inclusief hoe u embargoperioden met onderzoekers afhandelt
6. Toepassingsgebiedverklaring — geef aan welke producten en versies het beleid dekt

Op basis van de CVD-richtlijnen van ENISA en CRA Bijlage I Deel II:

• Contactadres en voorkeursmethode voor contact
• PGP/S/MIME-sleutel voor versleutelde indieningen (aanbevolen)
• Ondersteunde talen voor meldingen
• Bevestigingstermijn
• Verwachte tijdlijn voor hersteloplossingen
• Coördinatieproces voor openbaarmaking (embargo, naamsvermelding onderzoeker, CVE-toewijzing)
• Safe-harbour-verklaring voor onderzoekers te goeder trouw

• Gepubliceerd CVD-beleid (URL)
• /.well-known/security.txt-bestand
• Logboek van kwetsbaarheidsmeldingen (vertrouwelijk — niet openbaar vereist)
• Verslagen van ontvangen meldingen en hoe deze zijn afgehandeld