Artikel 14 wird oft als regulatorische Frage diskutiert, operativ ist es jedoch eine Frage interner Prozesse. Die offizielle Plattform und die strukturierten Formulare sind unkompliziert, sobald man sie verstanden hat. Der schwierige Teil ist alles zwischen dem ersten schwachen Signal, dass ein Produkt angegriffen wird, und dem Moment, in dem eine namentlich benannte Person entscheidet, eine Frühwarnung einzureichen.
Die Erkennung muss aus jedem Kanal schöpfen, der ein Ausnutzungssignal tragen könnte: dem Postfach für die koordinierte Offenlegung, Kunden- und Support-Meldungen, interner Telemetrie, Bedrohungsinformationen und Kontakten von Behörden. Diese Kanäle funktionieren nur, wenn sie in einen einzigen Triage-Prozess münden, für den jemand verantwortlich ist, mit zeitnaher Bestätigung und einer kurzen Triage-Service-Frist.
Die Eskalation muss unter den schlechtesten Bedingungen funktionieren, außerhalb der Geschäftszeiten und mit mehrdeutigen Signalen. Das bedeutet einen einzigen bekannten Weg, durchgängige Abdeckung, eine niedrige Schwelle zur Eskalation bei Verdacht und ein dokumentiertes Runbook. Das am schlechtesten vorbereitete Element ist die Entscheidungsbefugnis. Die Einreichung einer 24-Stunden-Frühwarnung sollte nicht auf die Freigabe durch Geschäftsführung oder Rechtsabteilung warten. Eine Rolle zu benennen, die die feste Befugnis hat, ein meldepflichtiges Ereignis zu erklären und die vorläufige Frühwarnung einzureichen, ist die wirkungsvollste Vorbereitung, die ein Hersteller treffen kann.
Dies ist der fünfte Artikel unserer sechsteiligen Serie zur CRA-Meldung.
Lesen Sie den vollständigen Leitfaden in unserem Blog.
Mehr lesen