Nach Artikel 10 des Cyber Resilience Act ist die Einführung einer Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD) keine optionale Best Practice mehr, sondern eine strikte gesetzliche Anforderung für alle Hersteller von PDEs.
Um ein kollaboratives Sicherheitsökosystem zu fördern, müssen Hersteller einen öffentlich zugänglichen, sicheren und klaren Kanal bereitstellen, etwa eigene CVD-Portale, über den unabhängige Sicherheitsforscher potenzielle Schwachstellen melden können. Organisationen müssen diese Meldungen systematisch bearbeiten, Strategien zur Risikominderung koordinieren und eine zeitnahe Behebung sicherstellen. Die Formalisierung der CVD bildet einen Eckpfeiler des proaktiven Ansatzes der Union für Cyberresilienz.