Der Meldezeitplan ist der Teil von Artikel 14, der eine Compliance-Pflicht in einen operativen Test verwandelt. Sobald ein Ereignis qualifiziert ist, läuft die Uhr für den Hersteller, und die Fenster sind kurz. Eine 24-Stunden-Frühwarnung ist keine Frist, die man einhält, indem man die Arbeit beginnt, wenn man davon hört. Es ist eine Frist, die man einhält, weil man sich Monate zuvor darauf vorbereitet hat.
Dieser Beitrag legt die drei Meldestufen dar, was jede enthalten muss, den genauen Moment, in dem die Uhr beginnt, und die Folgepflichten, die nach Einreichung des Abschlussberichts weiterbestehen. Es ist der vierte Beitrag unserer CRA-Meldeserie, nach wann die Meldung verpflichtend wird, welche Schwachstellen und Vorfälle gemeldet werden müssen und wie die Meldung an ENISA und nationale Behörden weitergeleitet wird. Für eine einseitige Übersicht des gesamten Melderegimes siehe unseren Leitfaden zu welche CRA-Meldepflichten gelten, wann sie beginnen und wie man bereit ist.
Wann die Uhr beginnt
Jede Frist in Artikel 14 läuft ab demselben Moment: wenn der Hersteller von der aktiv ausgenutzten Schwachstelle oder dem schwerwiegenden Vorfall Kenntnis erlangt. Das rechtliche Gewicht von „Kenntnis erlangt“ haben wir im ersten Beitrag dieser Serie behandelt. Für den Zeitplan ergeben sich daraus drei praktische Folgen.
Erstens kann die Kenntnis vor der Bestätigung entstehen. Eine glaubwürdige Meldung über eine Ausnutzung kann die Uhr starten, während Sie sie noch überprüfen. Die Frühwarnung existiert genau dafür, dass Sie auf vorläufiger Basis melden können.
Zweitens kann die Kenntnis irgendwo in der Organisation sitzen. Wissen, das ein Support-Mitarbeiter hat oder das ungelesen in einem Offenlegungspostfach liegt, zählt trotzdem. Wenn Sie Signale nicht schnell zu einem Entscheidungsträger leiten können, läuft die Uhr möglicherweise bereits, während niemand in leitender Position davon weiß.
Drittens müssen Sie nachweisen können, wann die Kenntnis entstanden ist. Der Zeitstempel des ersten glaubwürdigen Signals ist der Anker für die gesamte Kaskade, also erfassen Sie ihn.
Die dreistufige Kaskade
Artikel 14 strukturiert die Meldung als drei eskalierende Berichte zu demselben Ereignis, jeden mit eigener Frist und eigenem Zweck.
Stufe eins: die Frühwarnung, innerhalb von 24 Stunden
Innerhalb von 24 Stunden nach Kenntniserlangung übermittelt der Hersteller eine Frühwarnung an die Meldeplattform. Das ist eine Warnung, keine vollständige Analyse. Ihre Aufgabe ist es, ENISA und das zuständige nationale CSIRT darauf hinzuweisen, dass etwas geschieht, schnell genug, um nützlich zu sein.
Eine Frühwarnung sollte das betroffene Produkt benennen, feststellen, dass eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Vorfall vorliegt, und alles angeben, was zu diesem Zeitpunkt bekannt ist, einschließlich, wo zutreffend, eines Hinweises, ob das Ereignis vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde. Sie wird als vorläufig verstanden. Sie werden nicht dafür bestraft, dass Sie die Grundursache noch nicht kennen. Von Ihnen wird erwartet, dass Sie innerhalb des Fensters Alarm schlagen.
Stufe zwei: die detaillierte Meldung, innerhalb von 72 Stunden
Innerhalb von 72 Stunden nach Kenntniserlangung übermittelt der Hersteller eine Schwachstellen- oder Vorfallmeldung, die wesentlich weiter geht als die Frühwarnung. Das ist der inhaltliche technische Bericht.
Sie sollte die Art der Schwachstelle oder des Vorfalls, eine Bewertung von Schweregrad und Auswirkungen, das betroffene Produkt und die Versionen, Kompromittierungsindikatoren, soweit verfügbar, und die ergriffenen oder laufenden Korrektur- oder Risikominderungsmaßnahmen abdecken. Wo die Frühwarnung eine Flagge war, ist die 72-Stunden-Meldung die Analyse: genug, damit Behörden und letztlich betroffene Nutzer das Risiko und die Reaktion verstehen.
Stufe drei: der Abschlussbericht
Der Abschlussbericht schließt die Kaskade, und seine Frist hängt davon ab, welche Art von Ereignis Sie melden.
Bei einer aktiv ausgenutzten Schwachstelle ist der Abschlussbericht innerhalb von 14 Tagen fällig, nachdem eine Korrektur- oder Risikominderungsmaßnahme verfügbar geworden ist. Die Uhr für diese Stufe ist an die Verfügbarkeit der Korrektur gekoppelt, weil der Abschlussbericht den gelösten Stand beschreiben soll.
Bei einem schwerwiegenden Vorfall ist der Abschlussbericht innerhalb eines Monats nach der detaillierten Meldung fällig.
Der Abschlussbericht bringt das Ereignis zum Abschluss. Er sollte eine Beschreibung der Schwachstelle oder des Vorfalls und ihres Schweregrads und ihrer Auswirkungen, die Grundursache, die angewandten Korrektur- und Risikominderungsmaßnahmen und, wo relevant, Informationen über den Bedrohungsakteur oder die Art der Kompromittierung enthalten. Er ist die Aufzeichnung dessen, was passiert ist, warum und wie es gelöst wurde.
Ein Hinweis zur Offenlegungsstrategie
Der Abschlussbericht ist auch der Ort, an dem die Offenlegungsstrategie des Herstellers in den Fokus rückt. Die koordinierte öffentliche Offenlegung der Schwachstelle, typischerweise über eine Sicherheitsmeldung, muss so gehandhabt werden, dass sie Nutzer informiert und schützt, ohne andere Angreifer unnötig zu bewaffnen, bevor Risikominderungen vorhanden sind.
Deshalb erstellen reife Programme als Teil des Abschlusses eines Ereignisses eine maschinenlesbare Sicherheitsmeldung. Das Format, auf das das EU-Ökosystem zusteuert, haben wir in unserer Erläuterung zu CSAF-2.0-Sicherheitsmeldungen behandelt. Die Sicherheitsmeldung und der Abschlussbericht ergänzen einander: Eine informiert die Behörden, die andere die breitere Nutzerbasis und die nachgelagerten Systeme.
Zusammenfassung der Fristen
| Stufe | Frist | Uhr beginnt ab | Zweck |
|---|---|---|---|
| Frühwarnung | 24 Stunden | Kenntniserlangung | Signalisieren, dass eine ausgenutzte Schwachstelle oder ein schwerwiegender Vorfall vorliegt |
| Detaillierte Meldung | 72 Stunden | Kenntniserlangung | Inhaltliche technische Bewertung und Maßnahmen |
| Abschlussbericht (Schwachstelle) | 14 Tage | Verfügbarkeit einer Korrektur- oder Risikominderungsmaßnahme | Grundursache und gelöster Stand |
| Abschlussbericht (schwerwiegender Vorfall) | 1 Monat | Die detaillierte Meldung | Vollständiger Bericht über den Vorfall und seine Behandlung |
Folgepflichten nach dem Abschlussbericht
Die Einreichung des Abschlussberichts ist nicht immer das Ende der Pflichten des Herstellers für ein Ereignis.
Wenn sich die Lage noch entwickelt, können Behörden zwischen den definierten Stufen Zwischenmeldungen anfordern, und ein Hersteller sollte bereit sein, sie zu liefern. Die Meldebeziehung ist als Dialog während eines laufenden Ereignisses gedacht, nicht als fester Satz einseitiger Einreichungen.
Über die Plattformmeldungen hinaus bestehen die umfassenderen Pflichten des Herstellers fort. Betroffene Nutzer müssen über die Schwachstelle und die verfügbaren Korrektur- oder Risikominderungsmaßnahmen informiert werden und, wo angebracht, erfahren, was sie zu ihrem Schutz tun können. Diese Nutzerbenachrichtigungspflicht läuft neben der Meldekaskade an die Behörden. Ein Hersteller, der alle drei Berichte eingereicht, die Kunden aber im Dunkeln gelassen hat, hat seine Verantwortung nicht erfüllt.
Auch die Behandlungspflichten nach Artikel 13 bestehen fort. Die Schwachstelle muss behoben, die Korrektur über den Update-Mechanismus des Produkts verteilt und das gesamte Ereignis aufgezeichnet werden, damit es die künftige Entwicklung und das Risikomanagement prägt. Die Verbindung zwischen einem einzelnen gemeldeten Ereignis und dem breiteren Programm ist Gegenstand des letzten Beitrags dieser Serie.
Warum Vorbereitung und nicht Tempo die Uhr gewinnt
Der Instinkt beim Lesen dieser Fristen ist, sich darauf zu konzentrieren, schnell zu handeln. Die nützlichere Erkenntnis ist, dass die Fristen vor dem Ereignis gewonnen oder verloren werden, in der Vorbereitung.
Vierundzwanzig Stunden sind komfortabel, wenn der Eingangskanal überwacht wird, eine namentlich benannte Person ein Meldeereignis erklären kann, ohne auf eine Genehmigung der Geschäftsleitung zu warten, der Plattformzugang geprüft ist, der nationale CSIRT-Kontakt hinterlegt ist und eine Frühwarnvorlage zum Ausfüllen bereitliegt. Vierundzwanzig Stunden sind unmöglich, wenn auch nur eines davon fehlt und Sie es zusammenstellen, während das Produkt unter aktivem Angriff steht. Die operative Maschinerie, die den Zeitplan erreichbar macht, wird im Beitrag zu interner Erkennung und Eskalation behandelt.
Ein wiederkehrender Fehlermodus ist das Warten auf eine rechtliche Freigabe innerhalb des 24-Stunden-Fensters. Die Frühwarnung ist von ihrer Anlage her vorläufig, daher sollte die Entscheidung, sie einzureichen, nicht dieselbe Genehmigungskette erfordern wie eine öffentliche Erklärung. Die Frühwarnung vorab zu autorisieren, ist eine der wertvollsten Vorbereitungen, die ein Hersteller treffen kann. Die Anforderungen dieses speziellen Fensters haben wir in unserem Beitrag zur 24-Stunden-Meldepflicht untersucht.
Wie CVD Portal den Zeitplan unterstützt
CVD Portal ist um diese dreistufige Struktur herum gebaut. Wird eine Einreichung als potenzielles Artikel-14-Ereignis triagiert, versieht die Plattform die Kenntniserlangung mit einem Zeitstempel, erzeugt aus den Erfassungsdaten einen vorausgefüllten Frühwarnentwurf und verfolgt die Fristen von 24 Stunden, 72 Stunden und Abschlussbericht gegen diesen Anker. Die detaillierte Meldung und der Abschlussbericht erben den Fallkontext, sodass jede Stufe auf der vorherigen aufbaut statt neu zu beginnen. Jede Aktion wird in einem unveränderlichen Prüfpfad aufgezeichnet, der der Nachweis ist, dass der Zeitplan eingehalten wurde.
Das Fazit
Die Meldung nach Artikel 14 ist eine dreistufige Kaskade: eine 24-Stunden-Frühwarnung, eine 72-Stunden-Detailmeldung und ein Abschlussbericht, fällig innerhalb von 14 Tagen nach Verfügbarkeit einer Korrektur bei einer Schwachstelle oder einen Monat nach der detaillierten Meldung bei einem schwerwiegenden Vorfall. Jede Uhr läuft ab dem Moment der Kenntniserlangung, Folgeaktualisierungen und Nutzerbenachrichtigung bestehen nach der Einreichung fort, und die Fristen werden durch Vorbereitung statt durch Heldentaten eingehalten.
Da das Was, Wo und Wann der Meldung nun behandelt ist, wendet sich die Serie der internen Maschinerie zu, die das alles funktionieren lässt: interne Erkennungs-, Eskalations- und Entscheidungsprozesse vorbereiten.