Die Meldepflicht nach Artikel 14 des Cyber Resilience Act ist bewusst eng gefasst. Nur zwei Kategorien von Ereignissen müssen den Behörden gemeldet werden: Schwachstellen, die im Feld aktiv ausgenutzt werden, und schwerwiegende Sicherheitsvorfälle, die die Sicherheit eines Produkts beeinträchtigen. Der große Rest der Schwachstellenarbeit wird intern unter Artikel 13 bearbeitet.
Die Unterscheidung, an der Hersteller scheitern, ist die zwischen ausnutzbar und ausgenutzt. Ein Fehler mit kritischem Schweregrad und einem veröffentlichten Proof of Concept ist für sich genommen nicht meldepflichtig. Er wird meldepflichtig, wenn es Hinweise auf eine tatsächliche Ausnutzung gibt. Umgekehrt ist ein Fehler mit moderatem Schweregrad, den Angreifer aktiv gegen Kunden verketten, meldepflichtig, weil die aktive Ausnutzung und nicht der Schweregradwert der Auslöser ist.
Schwerwiegende Vorfälle gehen über Code-Schwachstellen hinaus. Eine Kompromittierung einer Build-Pipeline oder eines Systems zur Update-Verteilung, die Nutzer betrifft, qualifiziert sich auch dann, wenn das Produkt selbst keinen Fehler enthält. Der praktische Ansatz ist ein Entscheidungsrahmen, der auf jedes Ereignis angewendet wird, wobei die Feststellung in beide Richtungen dokumentiert wird, sodass das Bearbeiten der vielen und das Melden der wenigen konsistent und belastbar ist.
Dies ist der zweite Artikel unserer sechsteiligen Serie zur CRA-Meldung.
Lesen Sie den vollständigen Leitfaden in unserem Blog.
Mehr lesen