Artikel 14 strukturiert die Meldung als drei eskalierende Berichte zu demselben Ereignis. Innerhalb von 24 Stunden nach Kenntniserlangung reicht der Hersteller eine Frühwarnung ein, eine vorläufige Meldung, die auf eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Vorfall hinweist. Innerhalb von 72 Stunden liefert eine detaillierte Meldung die inhaltliche technische Bewertung, die betroffenen Versionen, die Kompromittierungsindikatoren und die ergriffenen Maßnahmen. Ein Abschlussbericht schließt das Ereignis dann ab.
Die Frist für den Abschlussbericht hängt von der Art des Ereignisses ab. Bei einer aktiv ausgenutzten Schwachstelle ist er innerhalb von 14 Tagen fällig, nachdem eine Korrektur- oder Risikominderungsmaßnahme verfügbar geworden ist. Bei einem schwerwiegenden Vorfall ist er innerhalb eines Monats nach der detaillierten Meldung fällig. Jede Uhr läuft ab dem Moment der Kenntniserlangung, der entstehen kann, bevor die Ausnutzung vollständig bestätigt ist.
Die Pflichten bestehen auch nach dem Abschlussbericht fort. Behörden können während eines sich entwickelnden Ereignisses Zwischenmeldungen anfordern, und betroffene Nutzer müssen über die Schwachstelle und die verfügbaren Korrekturen informiert werden. Die Fristen werden durch Vorbereitung gewonnen: ein überwachter Eingangskanal, eine vorab autorisierte Entscheidungsperson für die Frühwarnung, ein geprüfter Plattformzugang und vorgefertigte Berichtsvorlagen.
Dies ist der vierte Artikel unserer sechsteiligen Serie zur CRA-Meldung.
Lesen Sie den vollständigen Leitfaden in unserem Blog.
Mehr lesen