Industry News

Fünf nationale Cyberbehörden veröffentlichen gemeinsamen Leitfaden zum Aufbau eines CVD-Programms. So schneidet CVD Portal ab

Am 15. Juli 2026 haben fünf nationale Cybersicherheitsbehörden einen gemeinsamen Leitfaden mit dem Titel "Establishing a Coordinated Vulnerability Disclosure Program to Work With Security Researchers" veröffentlicht. Die herausgebenden Organisationen sind die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die U.S. National Security Agency (NSA), das Japan Computer Emergency Response Team Coordination Center (JPCERT/CC), das niederländische National Cyber Security Centre (NCSC-NL) und das britische National Cyber Security Centre (NCSC-UK). Das Dokument ist als TLP:CLEAR eingestuft und frei bei CISA verfügbar.

Der Leitfaden fordert von Anbietern drei zentrale Maßnahmen. Eine Vulnerability Disclosure Policy (VDP) erstellen und veröffentlichen. Prozesse für Triage, Behebung und die Vergabe von CVE-Kennungen für gemeldete Schwachstellen definieren. Intermediäre wie nationale CSIRTs einbinden, um das Programm zu ersetzen oder zu ergänzen.

Warum das für EU-Hersteller relevant ist

Der Leitfaden verweist ausdrücklich auf den EU Cyber Resilience Act. Er stellt fest, dass der CRA von allen Anbietern, die in der Europäischen Union tätig sind, eine Vulnerability Disclosure Policy verlangt. Das ist internationale Konvergenz. Was der CRA für den EU-Markt vorschreibt, empfehlen nun auch die Sicherheitsbehörden der USA, Japans, der Niederlande und des Vereinigten Königreichs. Ein Hersteller, der sein CVD-Programm für die CRA-Konformität aufbaut, erfüllt damit zugleich den Maßstab dieser fünf Behörden.

Wie CVD Portal mit den Leitlinien übereinstimmt

Wir haben den Leitfaden Empfehlung für Empfehlung geprüft und mit der Plattform abgeglichen. Das Ergebnis ist unten zusammengefasst.

Empfehlung des LeitfadensAbdeckung durch CVD Portal
VDP erstellen und veröffentlichenJedes Portal enthält eine Disclosure Policy nach ISO/IEC 29147, BSI TR-03183-3 und den CRA-Artikeln 13 und 14, veröffentlicht auf dem öffentlichen Portal des Mandanten. Ein kostenloser Policy-Generator steht allen offen.
Öffentlich sein, offene TeilnahmePortale sind vollständig öffentlich. Forschende melden ohne Konto und können anonym berichten. Der Meldungsstatus ist über einen privaten Link ohne Login abrufbar.
Möglichst weiten Testumfang festlegenDie Standard-Policy autorisiert Tests über Produkte und Dienste hinweg. Ein produktbezogener Umfang lässt sich mit dem Policy-Generator definieren.
Verbotene Aktivitäten klar benennenDie Policy untersagt das Einschleusen von Malware, das Kopieren oder Löschen von Daten, Systemänderungen, wiederholten oder geteilten Zugriff, Brute-Force-Angriffe, Denial of Service und Social Engineering und folgt damit der vollständigen Liste des Leitfadens.
Mindestanforderungen an Meldungen festlegenDas Meldeformular erfasst betroffenes Produkt, Schwachstellenkategorie, Zusammenfassung, Reproduktionsschritte und Sicherheitsauswirkung. Kontaktdaten sind optional.
security.txt (RFC 9116) nutzenJedes Portal erzeugt automatisch eine RFC-9116-konforme security.txt mit verwalteter Ablauffrist. Ein kostenloser security.txt-Generator und ein Konformitätsscanner sind enthalten.
Safe Harbor anbietenDie Policy enthält eine Safe-Harbor-Klausel. Das Unternehmen verpflichtet sich, gegen Forschende, die im Rahmen der Policy handeln, keine rechtlichen Schritte einzuleiten.
Erwartungen an den Informationsaustausch setzenMeldungen werden vertraulich behandelt und Daten von Forschenden werden ohne Zustimmung nicht weitergegeben.
Angemessene Fristen festlegenDie Policy sieht eine koordinierte Offenlegung innerhalb von 90 Tagen vor. Schweregradabhängige Behebungs-SLAs sowie konfigurierbare Bestätigungs- und Triage-Ziele werden automatisch nachverfolgt.
Eingang innerhalb von 2 bis 3 Werktagen bestätigenForschende erhalten unmittelbar nach dem Absenden eine automatische Bestätigung mit Referenznummer. Die SLA-Erfüllung der Eingangsbestätigung wird im Analytics-Dashboard gemessen.
Triage und SchweregradbewertungIntegriertes CVSS-Scoring für jede Meldung, mit optionaler KI-gestützter Triage für Schweregrad, Duplikate und Artikel-14-Relevanz. Die Entscheidung trifft immer ein Mensch.
Behebungen entwickelnStrukturierte Behebungsentscheidungen (Fix, Workaround, Akzeptieren, Übertragen) mit Fristen, Begründung und Fix-Verifikation nach Veröffentlichung.
CVE-IDs vergeben und Records veröffentlichenEin geführter CVE-Workflow verfolgt die Zustände angefragt, reserviert und veröffentlicht. Passende CVE-Treffer werden aus EUVD- und NVD-Daten vorgeschlagen.
Kundenkommunikation entwickelnAdvisories erscheinen als maschinenlesbare CSAF-2.0-Dokumente mit vollständiger Provider-Distribution, dazu öffentliche Advisory-Seiten und ein RSS-Feed. Ohne Login, ohne Paywall. Forschende werden mit ihrer Zustimmung in veröffentlichten Advisories namentlich genannt.
Programm regelmäßig überprüfenDas Analytics-Dashboard verfolgt Mean Time to Acknowledge, Mean Time to Resolve, SLA-Quoten und Meldetrends für das Management-Review.
Intermediäre einbindenAktiv ausgenutzte Schwachstellen lassen sich über den integrierten Artikel-14-Workflow an die ENISA und das zuständige nationale CSIRT eskalieren.
Pauschale Offenlegungsbeschränkungen vermeidenDie Policy stellt klar, dass die Unterzeichnung einer NDA niemals Bedingung für Meldung oder Koordination ist.

Wo wir weiter gehen

Der Leitfaden empfiehlt Praktiken, die der CRA für den EU-Markt bereits zu harten Pflichten macht. CVD Portal automatisiert diese Pflichten direkt, einschließlich der Artikel-14-Fristen von 24 Stunden, 72 Stunden und 14 Tagen sowie der Übermittlung von Frühwarnungen und Meldungen an die ENISA Single Reporting Platform.

Ein paar Punkte bleiben offen. Der Leitfaden nennt SSVC als Priorisierungsoption, CVD Portal setzt derzeit auf CVSS. Bug-Bounty-Auszahlungen sind bewusst nicht Teil des Produkts. Der Leitfaden behandelt Bounties als optional und viele Hersteller betreiben ihr CVD-Programm gezielt ohne Prämien.

Der gemeinsame Leitfaden schließt mit der Warnung, dass der Verzicht auf ein CVD-Programm die Sicherheit der Kunden gefährden und das Vertrauen der Security-Community untergraben kann. Für Hersteller, die in die EU verkaufen, ist dieses Risiko inzwischen auch regulatorisch. Ein CVD-Programm nach diesen Leitlinien ist mit CVD Portal in wenigen Minuten live, beginnend im kostenlosen Tarif.

Starten Sie ein CVD-Programm, das den gemeinsamen Leitlinien von Anfang an entspricht.

Kostenlos starten