OBL-ART6-02Binding
Zorgen dat kwetsbaarheidsbeheerprocessen voldoen aan de essentiële eisen (Bijlage I Deel II)
- Van toepassing op
- Manufacturer
- Bronvermeldingen
- Art. 6(b)Annex I Part II
- Productklassen
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Eenvoudige taal
Naast het product zelf moeten ook uw interne processen voor kwetsbaarheidsbeheer aan specifieke normen voldoen. Dit betekent het hebben van processen om kwetsbaarheden te identificeren, ze snel te verhelpen, een SBOM te publiceren, een CVD-beleid te voeren, informatie over verholpen kwetsbaarheden te delen en beveiligingsupdates te verspreiden — zowel tijdens de ontwikkeling als gedurende de gehele ondersteuningsperiode na marktintroductie.
Wettekst
Artikel 6, onder b), van Verordening (EU) 2024/2847 bepaalt dat producten met digitale elementen alleen op de markt mogen worden aangeboden als de door de fabrikant ingestelde processen voldoen aan de essentiële eisen van Deel II van Bijlage I.
Kwetsbaarheidsbeheer — Bijlage I Deel II
Fabrikanten moeten processen instellen voor:
- SBOM — Identificeren en documenteren van kwetsbaarheden en componenten, inclusief een software-stuklijst (SBOM) in machineleesbaar formaat voor minimaal de top-level afhankelijkheden
- Tijdige herstelling — Verhelpen van kwetsbaarheden zonder onnodige vertraging, inclusief het bieden van beveiligingsupdates
- Regelmatige tests — Uitvoeren van effectieve en regelmatige beveiligingstests en -beoordelingen
- Bekendmaking van verholpen kwetsbaarheden — Openbaar delen van informatie over verholpen kwetsbaarheden na beschikbaarheid van een patch
- CVD-beleid — Instellen en handhaven van een beleid voor gecoördineerde bekendmaking van kwetsbaarheden
- Vereenvoudigde meldingen — Meldingen vergemakkelijken via een contactadres
- Veilige distributie van updates — Veilige verspreiding van beveiligingsupdates (inclusief automatische opties)
- Gratis updates — Gratis aanbieden van beveiligingsupdates gedurende de gehele ondersteuningsperiode