Kwetsbaarheden gedurende de ondersteuningsperiode afhandelen en verhelpen

Artikel 13(10) van Verordening (EU) 2024/2847, gelezen in samenhang met Bijlage I Deel II, vereist dat fabrikanten kwetsbaarheden effectief afhandelen. De bijlage specificeert de volgende concrete vereisten:

Bijlage I Deel II — Vereisten voor kwetsbaarheidsafhandeling:

1. Kwetsbaarheden en componenten in het product identificeren en documenteren (SBOM)
2. Kwetsbaarheden zonder vertraging aanpakken, evenredig aan het risico
3. Effectieve en regelmatige beveiligingsupdates toepassen
4. CVE-identificatoren gebruiken (van een CVE-nummeringsautoriteit) voor kwetsbaarheden
5. Informatie publiceren over verholpen kwetsbaarheden, inclusief CVSS-score
6. Een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden aannemen
7. Het eenvoudig maken voor derden om kwetsbaarheden te melden
8. Op verzoek informatie over kwetsbaarheden delen met het CSIRT-netwerk en ENISA

1. Kwetsbaarheidsbeheerproces — gedocumenteerde workflow voor intake, triage, verhelping en openbaarmaking
2. Tijdige verhelping — responstijd evenredig aan CVSS-score en uitbuitbaarheid
3. CVE-toewijzing — CVE-ID's verkrijgen van een CNA (CVE Numbering Authority); ENISA fungeert als de EU-CNA voor CRA-gerelateerde CVE's
4. CVSS-scoring — CVSS (v3.1 of later) score publiceren bij beveiligingsadviezen
5. Beveiligingsadviezen — adviezen publiceren voor alle verholpen kwetsbaarheden
6. Eindbericht ondersteuning — gebruikers uiterlijk 12 maanden vóór het einde van de ondersteuning informeren zodat zij alternatieve regelingen kunnen treffen

• Kwetsbaarheidsbeheerbeleid en SLA-doelstellingen (tijd-tot-patch per ernst)
• Kwetsbaarheidsvoortgangsregistratie of -achterstand
• CVE-toewijzingsverslagen
• Gepubliceerde beveiligingsadviezen met CVSS-scores
• Verslagen van eindbericht-ondersteuningsnotificaties