Zwei Begriffe. Ein Buchstabe Unterschied. Völlig unterschiedliche rechtliche Folgen unter dem Cyber Resilience Act.
Der dreistufige Pflichtenrahmen
- Stufe 1: Bewerten Sie das Risiko jeder Schwachstelle, von Anfang an ohne Ausnahmen
- Stufe 2: Verfolgen Sie bekannte, ausnutzbare Schwachstellen bis zur Behebung, bevor Sie ein Produkt in Verkehr bringen
- Stufe 3: Melden Sie aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntniserlangung
Die entscheidende Unterscheidung
Eine ausnutzbare Schwachstelle könnte theoretisch als Waffe eingesetzt werden, ist es aber noch nicht. Eine aktiv ausgenutzte Schwachstelle ist eine, bei der ein Angreifer bereits erfolgreich war. Die erste blockiert die Markteinführung. Die zweite löst die verpflichtende Meldung an ENISA und die nationalen CSIRTs innerhalb von 24 Stunden aus.
Was ist mit Proof-of-Concept-Exploit-Code?
Ein veröffentlichter PoC belegt, dass die Ausnutzung machbar ist, bestätigt aber keine aktive Kampagne. Die Europäische Kommission hat hierzu noch keine endgültige Leitlinie herausgegeben. Bis dahin sollten Hersteller die Veröffentlichung eines PoC als Eskalationssignal behandeln.
September 2026: Gilt bereits für Produkte auf dem Markt
Die Meldepflicht tritt im September 2026 in Kraft, vor der vollständigen Produktkonformität, und erfasst bereits verkaufte Produkte. Wird gegen ein von Ihnen hergestelltes Produkt eine aktiv ausgenutzte Schwachstelle gemeldet, beginnt die 24-Stunden-Uhr.
Lesen Sie die vollständige Aufschlüsselung des dreistufigen Rahmens, der EUVD-Überwachung und der Meldefristen.
Artikel lesen