Actief uitgebuite kwetsbaarheden en ernstige incidenten melden

Artikel 24(2) van Verordening (EU) 2024/2847 bepaalt dat beheerders van open-sourcesoftware onverwijld en in elk geval binnen de door uitvoeringshandelingen vastgestelde termijn de CSIRT informeren die als coördinator is aangewezen overeenkomstig Artikel 12(1) van Richtlijn (EU) 2022/2555 van:

• elke actief uitgebuite kwetsbaarheid in de open-sourcesoftware-componenten die zij beheren; en
• elk ernstig incident met een impact op de beveiliging van die open-sourcesoftware- componenten.

Na de melding behandelt de CSIRT de gerapporteerde informatie vertrouwelijk en ondersteunt de beheerder van open-sourcesoftware bij het bekendmaken van de kwetsbaarheid overeenkomstig de praktijken voor gecoördineerde kwetsbaarheids- openbaarmaking.

1. Trigger: actieve uitbuiting — plicht ontstaat wanneer u kennis krijgt dat een kwetsbaarheid in uw software actief in het wild wordt uitgebuit
2. Trigger: ernstig incident — plicht ontstaat ook voor ernstige beveiligings- incidenten die de beveiligingseigenschappen van de software treffen
3. Ontvanger: CSIRT-coördinator — de nationale CSIRT informeren die als coördinator is aangewezen onder NIS 2-richtlijn Art. 12, niet ENISA rechtstreeks
4. Onverwijld — snelle melding; de exacte termijn wordt vastgesteld bij uitvoeringshandeling
5. Vertrouwelijkheid — de CSIRT behandelt gerapporteerde informatie vertrouwelijk en ondersteunt gecoördineerde openbaarmaking

• Melding verzonden aan CSIRT-coördinator (datum, inhoud, methode)
• Intern proces voor het monitoren en detecteren van actieve uitbuiting
• Incidentlogboek met documentatie van wanneer kennis werd verkregen en genomen maatregelen
• Tijdlijn van gecoördineerde openbaarmaking