CVD Portal
← Zurück zu den NeuigkeitenRead in English →
Branchennews

ENISA-Leiter für Schwachstellendienste: CVD ist jetzt ein Verkaufsargument, keine Last

In einem Interview mit Help Net Security ging Nuno Rodrigues Carvalho, Leiter des Sektors für Vorfall- und Schwachstellendienste bei ENISA, auf den jüngsten Finanzierungsschreck bei CVE, die EU-Regulierungsdurchsetzung und die Frage ein, warum die Offenlegung von Schwachstellen zu einem Unterscheidungsmerkmal im Wettbewerb für Hersteller wird.

Zum CVE-Finanzierungsschreck: Kein einzelner Ausfallpunkt

Ein stärkeres Modell würde die Integrität des gemeinsamen CVE-Rückgrats bewahren und zugleich die Verantwortlichkeiten auf vertrauenswürdige Akteure verteilen, die Kapazität, Dienste und operative Unterstützung beitragen können.

— Nuno Rodrigues Carvalho, ENISA

Carvalho bestätigte, dass ENISA die Kapazität ihrer eigenen Schwachstellendienste ausbaut, nicht um das Ökosystem zu fragmentieren, sondern um Europas operativen Beitrag zu stärken und die Interoperabilität mit dem globalen CVE-Rückgrat zu erhalten. Aus Sicht von ENISA ist die Agentur bereit, zum Programm beizutragen und parallel weiter europäische Schwachstellendienste aufzubauen.

Zur CRA-Durchsetzung: SRP-Pilot und September 2026

Der CRA schreibt Frühwarnungen nach 24 Stunden, Meldungen nach 72 Stunden und Folgeberichte über die zentrale Meldeplattform (SRP) vor, die sich derzeit bei ENISA in der Pilotphase befindet. Diese Pflichten treten im September 2026 in Kraft. Sie gelten für Produkte, die bereits auf dem EU-Markt sind, einschließlich jedes Produkts, das vor September 2026 in Verkehr gebracht wurde.

Zu NIS2: Die Pflicht liegt bei den CSIRTs, nicht bei den Herstellern

Carvalho stellte ein weit verbreitetes Missverständnis klar: Unter NIS2 liegt die Pflicht zur koordinierten Offenlegung von Schwachstellen bei den CSIRTs, Meldungen entgegenzunehmen, nicht bei den Organisationen, sie einzureichen. Der Cyber Resilience Act ist das Instrument, das verpflichtende Offenlegungspflichten für Hersteller schafft.

Zur Offenlegung von Schwachstellen als Wettbewerbsvorteil

Organisationen erkennen zunehmend, dass die Softwareentwicklung heute eine aktive, positive Reaktion auf Schwachstellenmeldungen erfordert, was die Sicherheit stärkt und, richtig gehandhabt, zu einem starken Verkaufsargument wird.

— Nuno Rodrigues Carvalho, ENISA

CVD Portal stellt die Compliance-Infrastruktur für Artikel 13 und 14 bereit, kostenlos zum Einstieg.

Kostenlos starten