Obsługa i usuwanie podatności przez cały okres wsparcia

Artykuł 13 ust. 10 rozporządzenia (UE) 2024/2847, w związku z Załącznikiem I Część II, nakłada na producentów obowiązek skutecznej obsługi podatności. Załącznik określa następujące konkretne wymagania:

Załącznik I Część II — wymagania dotyczące obsługi podatności:

1. Identyfikowanie i dokumentowanie podatności oraz komponentów produktu (SBOM)
2. Usuwanie podatności bez zbędnej zwłoki, proporcjonalnie do ryzyka
3. Stosowanie skutecznych i regularnych aktualizacji bezpieczeństwa
4. Używanie identyfikatorów CVE (od organu numerującego CVE) dla podatności
5. Publikowanie informacji o naprawionych podatnościach, w tym oceny CVSS
6. Przyjęcie polityki skoordynowanego ujawniania podatności
7. Ułatwianie stronom trzecim zgłaszania podatności
8. Udostępnianie informacji o podatnościach sieci CSIRT i ENISA na żądanie

1. Proces zarządzania podatnościami — udokumentowany przepływ pracy obejmujący przyjmowanie, klasyfikację, usuwanie i ujawnianie
2. Terminowe usuwanie — czas odpowiedzi proporcjonalny do oceny CVSS i możliwości eksploitacji
3. Przypisanie CVE — uzyskanie identyfikatorów CVE od CNA (Organu Numerowania CVE); ENISA pełni rolę CNA UE dla CVE związanych z CRA
4. Ocena CVSS — publikowanie oceny CVSS (v3.1 lub nowszej) razem z poradami bezpieczeństwa
5. Porady bezpieczeństwa — publikowanie porad dla wszystkich naprawionych podatności
6. Powiadomienie o końcu wsparcia — powiadomienie użytkowników nie później niż na 12 miesięcy przed zakończeniem wsparcia, aby mogli podjąć alternatywne działania

• Polityka zarządzania podatnościami i cele SLA (czas do załatania według wagi)
• Śledzenie podatności lub rejestr zaległości
• Zapisy przypisania CVE
• Opublikowane porady bezpieczeństwa z ocenami CVSS
• Zapisy powiadomień o zakończeniu wsparcia