CRA Schweregradbewertung: CVSS, EPSS und KEV

Der EU Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, Schwachstellen "ohne Verzögerung" zu beheben (Anhang I Teil II Buchstabe 2) und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden zu melden (Artikel 14(1)), benennt jedoch kein Bewertungssystem. CVSS, EPSS und der CISA KEV-Katalog sind die Branchenwerkzeuge, mit denen diese Pflichten erfüllt werden. Diese Seite behandelt, was jedes Instrument misst, wie sie zu einer vertretbaren Priorisierung kombiniert werden und wie die Bewertung mit der Artikel-14-Meldung und der koordinierten Offenlegung von Schwachstellen zusammenhängt.

Zusammenfassung

  • Der CRA schreibt kein Bewertungssystem vor. Anhang I Teil II Buchstabe 2 verlangt eine Behebung "ohne Verzögerung", überlässt die operative Messung aber den Herstellern.
  • CVSS misst die inhärente Schwere auf einer Skala von 0 bis 10: Schwachstelleneigenschaften unabhängig davon, ob eine Ausnutzung in freier Wildbahn beobachtet wird.
  • EPSS misst die Ausnutzungswahrscheinlichkeit auf einer Skala von 0 bis 1: Wahrscheinlichkeit einer beobachteten Ausnutzung innerhalb der nächsten 30 Tage, berechnet durch die FIRST EPSS Special Interest Group.
  • CISA KEV ist das binäre Signal "aktiv ausgenutzt", das Meldungsentscheidungen nach Artikel 14(1) am direktesten beeinflusst, obwohl Artikel 14(1) über eine KEV-Aufnahme hinausgeht.
  • CVSS, EPSS und KEV kombiniert ergeben eine vertretbare Priorisierungsmatrix; kein einzelnes Signal ist für sich allein ausreichend.
  • Auslöser für die Artikel-14-Meldung sind sachverhaltsbezogen, nicht score-gesteuert. Aktive Ausnutzung und schwerwiegender Vorfall werden nach den gesetzlichen Definitionen bestimmt, wobei die Bewertung als Belegnachweise dient.
0-10
CVSS-Bereich
inhärente Schwere
0-1
EPSS-Wahrscheinlichkeit
30-Tage-Ausnutzungswahrscheinlichkeit
24h
Artikel-14-SRP-Frühwarnung
aktiv ausgenutzt
€15M / 2.5%
Bußgeld nach Artikel 64
je nachdem, was höher ist

Die vier Zahlen, die den Rahmen für CRA-Schweregradbewertungen bilden: inhärente Schwere, Ausnutzungswahrscheinlichkeit, die Meldefrist und die Bußgeldobergrenze.

Was der CRA zur Bewertung sagt

Liest man die Verordnung unmittelbar, findet sich kein Hinweis auf CVSS, EPSS oder ein anderes benanntes Bewertungssystem. Die relevante operative Sprache befindet sich in Anhang I Teil II, der die Anforderungen an das Schwachstellenmanagement auflistet, die jeder Hersteller während des gesamten Unterstützungszeitraums erfüllen muss:

  • Buchstabe 2 verpflichtet Hersteller, "Schwachstellen ohne Verzögerung zu beheben und zu beseitigen, unter anderem durch die Bereitstellung von Sicherheitsupdates".
  • Buchstabe 4 verlangt, dass Hersteller, sobald ein Sicherheitsupdate verfügbar ist, Informationen über die behobene Schwachstelle teilen, "einschließlich einer Beschreibung der Schwachstellen, Informationen, die es den Nutzern ermöglichen, das betroffene Produkt mit digitalen Elementen zu identifizieren, die Auswirkungen der Schwachstellen, ihren Schweregrad sowie klare und zugängliche Informationen, die den Nutzern bei der Behebung helfen".

Artikel 13(8) stellt diese Pflichten unter eine Verpflichtung zur "wirksamen Behandlung" während des gesamten Unterstützungszeitraums. Der Ausdruck "ohne Verzögerung" in Anhang I Teil II Buchstabe 2 und "ohne ungebührliche Verzögerung" in Artikel 14 setzen den zeitlichen Maßstab. Keiner dieser Ausdrücke entspricht einer fixen Anzahl von Tagen. Beide unterliegen der Auslegung durch Marktüberwachungsbehörden und letztlich durch nationale Gerichte.

Die Bewertung ist das Mittel, mit dem Hersteller diese Auslegung in Prüfungen und Untersuchungen nachweisen. Ein Hersteller, der eine dokumentierte Schweregrad-Richtlinie, ein Tracking-System, das CVSS und EPSS bei der Erfassung aufzeichnet, einen SLA mit Schweregradbändern und Behebungszeitstempel, die diese SLAs einhalten, vorweisen kann, hat eine vertretbare Position bei "ohne Verzögerung". Ein Hersteller, der das nicht kann, hat sie nicht.

Zum umfassenderen Behandlungsregime aus Anhang I Teil II siehe Schwachstellenbehandlung. Zur Fristmechanik nach Artikel 14 siehe Schwachstellenmeldung.

CVSS: inhärente Schwere

Das Common Vulnerability Scoring System, das von der FIRST CVSS Special Interest Group gepflegt wird, bewertet eine Schwachstelle auf einer Skala von 0,0 bis 10,0. Es ist der dominierende Score für inhärente Schwere in der Branche und der Score, den die meisten CVE-Einträge veröffentlichen.

CVSS hat drei Score-Typen:

Basis-Score

Erfasst Schwachstelleneigenschaften, die sich weder über die Zeit noch über Einsatzumgebungen hinweg ändern: Angriffsvektor, Komplexität, erforderliche Rechte, Nutzerinteraktion, Umfang und Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Dies ist das, was die meisten CVE-Einträge veröffentlichen und was man meint, wenn man von "dem CVSS-Score" spricht.

Temporal-Score

Passt den Basis-Score an zeitvariable Faktoren an: Reife des Exploit-Codes, Behebungsstand, Berichtsvertrauen. In öffentlichen CVE-Einträgen selten ausgefüllt.

Umgebungs-Score

Passt den Basis-Score an den eigenen Einsatzkontext an: Asset-Kritikalität, kompensierende Kontrollen, tatsächliche Auswirkung in der eigenen Umgebung. Dies ist der Score, den ein Hersteller für das eigene Produkt berechnen sollte.

CVSS v4.0 wurde von FIRST im November 2023 veröffentlicht. Es verfeinert v3.1 mit feineren Angriffsanforderungsmetriken und ergänzenden Metriken für Sicherheit, Automatisierbarkeit, Wiederherstellung und Wertdichte. Die Übernahme verläuft schrittweise: Die meisten CVE-Feeds veröffentlichen weiterhin v3.1, und die Werkzeugunterstützung für v4.0 ist uneinheitlich. Beide sollten eingelesen werden, wo verfügbar, und der Übergang sollte nicht als Anlass für eine Neubasierung des Backlogs genutzt werden.

CVSS allein ist unzureichend. Empirische Forschung zeigt konsistent, dass die meisten von CVSS als "hoch" oder "kritisch" eingestuften Schwachstellen in der Praxis nie ausgenutzt werden. Eine rein CVSS-gesteuerte Warteschlange verbraucht Engineering-Kapazität für theoretische Risiken, während reale Ausnutzung unbehandelt bleibt.

EPSS: Ausnutzungswahrscheinlichkeit

Das Exploit Prediction Scoring System, das ebenfalls von FIRST über seine EPSS SIG gepflegt wird, sagt die Wahrscheinlichkeit voraus, dass ein CVE innerhalb der nächsten 30 Tage in freier Wildbahn ausgenutzt wird. EPSS veröffentlicht eine Wahrscheinlichkeit zwischen 0 und 1 sowie einen Perzentilrang gegenüber allen CVEs.

EPSS wird von einem Machine-Learning-Modell berechnet, das CVE-Attribute (CVSS-Metriken, CWE, betroffener Anbieter und Produkt, Alter) und öffentliche Signale (PoC-Verfügbarkeit, Ausnutzungstelemetrie von beitragenden Partnern, Bedrohungshinweise) verarbeitet. Scores werden täglich aktualisiert. Ein neuer CVE ohne öffentlichen PoC erzielt typischerweise unter 0,05; einer mit einem bewaffneten PoC kann innerhalb von Tagen über 0,5 steigen.

EPSS allein ist ebenfalls unzureichend. Ein niedriger EPSS heute ist keine Garantie für morgen: Wenn ein Forscher einen funktionierenden Exploit veröffentlicht, bewegt sich der Score. EPSS muss kontinuierlich neu bewertet werden, nicht nur bei der Ersterfassung.

CISA KEV: bestätigte Ausnutzung

Der Known Exploited Vulnerabilities-Katalog, der von der US Cybersecurity and Infrastructure Security Agency gepflegt wird, ist eine binäre Liste "wird das derzeit ausgenutzt". Ein CVE ist entweder im Katalog oder nicht. CISA nimmt einen CVE auf, wenn zuverlässige Belege für eine aktive Ausnutzung gegen ein beliebiges Ziel vorliegen.

KEV ist eine US-Regierungsquelle, aber es ist der maßgeblichste öffentliche Katalog bestätigter Ausnutzung, der für Verteidiger außerhalb der Nachrichtendienste verfügbar ist. EU-Hersteller nutzen ihn weit verbreitet, da kein äquivalenter ENISA-Katalog heute existiert.

Für Zwecke von Artikel 14(1) ist die KEV-Aufnahme ein starkes Signal, dass eine Schwachstelle im Sinne der Verordnung "aktiv ausgenutzt" wird. Es ist nicht das einzige Signal: Artikel 14(1) ist breiter und wird durch jede aktiv ausgenutzte Schwachstelle ausgelöst, einschließlich solcher, die durch Kundenberichte, interne Telemetrie oder Bedrohungsdaten erkannt werden, die CISA noch nicht erreicht haben. Eine Schwachstelle, die gegen Ihre Kunden ausgenutzt wird, aber noch nicht in KEV steht, löst weiterhin Artikel 14(1) aus. Die Feststellung nach Artikel 14(1) ist sachverhaltsbezogen, nicht listenbasiert.

CVSS, EPSS und KEV zu einer CRA-Priorisierungsmatrix kombinieren

Kein einzelnes Signal ist ausreichend. Der vertretbare Ansatz besteht darin, alle drei zu kombinieren und Behebungs-SLAs an das kombinierte Band zu knüpfen. Das folgende Diagramm zeigt warum: Ein CVSS-9,8 ohne beobachtete Ausnutzung ist ein geringeres reales Risiko als ein CVSS-7 mit EPSS 0,95 und KEV-Eintrag, auch wenn der erste in einer reinen CVSS-Warteschlange schlechter aussieht.

CVSS-EPSS-Priorisierungsebene mit KEV-Overlay Eine zweidimensionale Ebene mit CVSS auf der horizontalen Achse (0 bis 10) und EPSS auf der vertikalen Achse (0 bis 1). Sechs Prioritätszonen färben die Darstellung: Notfall oben rechts, wenn CVSS 9 oder höher und EPSS über 0,5, Hoch in drei größeren Zonen (hoher EPSS mit mittlerem CVSS, hoher CVSS mit mittlerem EPSS und der obere rechte CVSS-plus-EPSS-Streifen), Mittel für CVSS 4 bis 6,9 mit niedrigem EPSS, Niedrig für CVSS unter 4. KEV-gelistete CVEs werden unabhängig von ihrer Position auf Notfall hochgestuft. Vier nummerierte Beispiel-CVEs veranschaulichen, dass ein CVSS-9,8 mit EPSS 0,01 allein durch inhärente Schwere im Hoch-Band liegt, während ein CVSS-7,5 mit EPSS 0,95 plus KEV im Notfall-Band liegt, obwohl sein CVSS niedriger ist. Warum ein Signal nicht ausreicht: CVSS x EPSS-Ebene mit KEV-Overlay Notfall Hoch Hoch Hoch Mittel Niedrig 0 4 7 9 10 CVSS Basis-Score (inhärente Schwere) 0.0 0.5 1.0 EPSS (30-Tage-Ausnutzungswahrsch.) A B C D Beispiel-CVEs im Diagramm oben A. CVSS 9.8 / EPSS 0.01. Hoch-Band allein durch inhärente Schwere, keine Ausnutzung beobachtet. B. CVSS 7.5 / EPSS 0.95 / KEV-gelistet (★). Notfall: KEV stuft immer hoch, unabhängig von CVSS oder EPSS. C. CVSS 5.5 / EPSS 0.7. Hoch allein durch EPSS, mittlere inhärente Schwere. D. CVSS 4.0 / EPSS 0.05. Mittel.
Zwei-Signal-Priorisierung: CVSS erfasst inhärente Schwere, EPSS erfasst beobachtete Ausnutzungswahrscheinlichkeit, KEV ist der binäre "aktiv ausgenutzt"-Overlay. CVE-A (hoher CVSS, nahezu null EPSS) und CVE-B (mittlerer CVSS, KEV-gelistet) sind in der Priorität im Vergleich zu einer reinen CVSS-Warteschlange vertauscht.
Band Signalkombination Behebungs-SLA CRA-Implikation
Notfall CVSS Kritisch (9,0+) UND (KEV-gelistet ODER EPSS > 0,5) Tage, nicht Wochen Kandidat für Artikel-14(1)-Meldung, wenn Ausnutzung gegen das eigene Produkt erfolgt
Hoch CVSS Hoch (7,0-8,9) ODER EPSS > 0,5 30 Tage "Ohne Verzögerung"-Position ist oberhalb von 30 Tagen gefährdet
Mittel CVSS Mittel (4,0-6,9), EPSS < 0,5, nicht KEV-gelistet 90 Tage Vertretbar nach Anhang I Teil II Buchstabe 2 mit Dokumentation
Niedrig CVSS Niedrig (< 4,0) Nächster regulärer Release-Zyklus Aufschub im Schwachstellenmanagement-Protokoll dokumentieren

Die Matrix ist die Richtlinie des Herstellers, keine CRA-Anforderung. Sie schriftlich festzuhalten gibt Marktüberwachungsbehörden eine dokumentierte, wiederholbare Grundlage für die Behebungsentscheidungen, die sie nach Bekanntwerden einer schwerwiegenden Schwachstelle prüfen werden. Behörden werden "wir haben gepatcht, sobald wir dazu gekommen sind" nicht als Anhang-I-Teil-II-Buchstabe-2-Verteidigung akzeptieren; sie werden "unsere Richtlinie ordnet jeden CVE bei der Erfassung einem Band zu, dieser CVE fiel in das Hoch-Band, wir haben innerhalb des 30-Tage-SLA geliefert, hier sind die Zeitstempel" akzeptieren.

Schweregrad den Auslösern nach Artikel 14 zuordnen

Artikel 14 teilt sich in zwei Ströme mit den gleichen 24-Stunden- und 72-Stunden-Fristen, aber unterschiedlichen Abschlussberichtsfristen:

  • Aktiv ausgenutzte Schwachstelle (Artikel 14(1) und 14(2)). 24-Stunden-Frühwarnung, 72-Stunden-Schwachstellenmeldung, 14-Tage-Abschlussbericht ab Verfügbarkeit einer Abhilfemaßnahme.
  • Schwerwiegender Vorfall (Artikel 14(3) und 14(4)). 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, 1-Monats-Abschlussbericht ab der 72-Stunden-Meldung.

Keiner dieser Auslöser ist ein CVSS-Schwellenwert. "Aktiv ausgenutzt" ist eine sachverhaltsbezogene Feststellung: Ein böswilliger Akteur hat die Schwachstelle gegen das eigene Produkt eingesetzt. Artikel 14(5) definiert einen "schwerwiegenden Vorfall" als einen, der "die Fähigkeit eines Produkts mit digitalen Elementen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit sensibler oder wichtiger Daten oder Funktionen zu schützen, beeinträchtigt oder beeinträchtigen kann" oder der "zur Einführung oder Ausführung von Schadcode in einem Produkt mit digitalen Elementen oder in den Netz- und Informationssystemen eines Nutzers geführt hat oder führen kann".

CVSS und EPSS unterstützen die Feststellung. Ein CVSS-Kritisch mit EPSS > 0,9 und einem KEV-Eintrag deutet stark auf Artikel-14(1)-Territorium hin, sobald Belege für eine Ausnutzung gegen das eigene Produkt vorliegen. Sie ersetzen die Feststellung nicht. Die 24-Stunden-Frist beginnt in dem Moment, in dem der Hersteller von der aktiven Ausnutzung erfährt, nicht in dem Moment, in dem der CVSS-Score eine beliebige Zahl überschreitet.

Zur vollständigen Artikel-14-Fristmechanik siehe Schwachstellenmeldung. Zum vorgelagerten Eingangskanal, der oft das erste Ausnutzungssignal liefert, siehe koordinierte Offenlegung von Schwachstellen.

Bewertung im Schwachstellenprozess operationalisieren

Ein funktionierender, CRA-konformer Bewertungsprozess hat sechs konkrete Bestandteile:

  1. CVSS bei der Überprüfung einlesen. Die SBOM-zu-CVE-Pipeline sollte bei jeder ersten Erkennung CVSS-Basis-Scores an jeden Befund anhängen. Zur zugrundeliegenden Zuordnungsmechanik siehe SBOM.
  2. EPSS täglich aktualisieren. Ein nächtlicher Job, der offene Schwachstellen neu bewertet, ist das Minimum.
  3. CISA KEV beobachten. Den KEV-Feed abonnieren und jede offene Schwachstelle, die in den Katalog aufgenommen wird, automatisch hochstufen.
  4. Bandgebundene SLAs im Tracking-System festlegen. Bänder und Fristen müssen maschinenlesbar sein, damit überfällige Einträge ohne manuelles Triage sichtbar werden.
  5. Bei Schwellenwertüberschreitungen hochstufen. Wenn EPSS für einen offenen Befund 0,5 überschreitet, wenn KEV einen der eigenen CVEs aufnimmt oder wenn ein Kunde aktive Ausnutzung meldet, wechselt der Eintrag automatisch in das Notfall-Band.
  6. Die SBOM-Komponenten-zu-CVE-Zuordnung automatisieren. Manuelle Zuordnung bricht bei Skalierung und ist die häufigste Quelle übersehener Schwachstellen in Prüfungsbefunden.

Das Onboarding auf die ENISA Single Reporting Platform ist ein separater, aber verwandter Workstream. Siehe ENISA-SRP-Onboarding.

Häufige Fehler

  • CVSS-9 verfolgen und EPSS-0,95 ignorieren. Eine CVSS-7-Schwachstelle mit EPSS 0,95 und einem öffentlichen PoC ist ein höheres reales Risiko als ein CVSS-9,8 mit EPSS 0,01.
  • KEV als vollständig betrachten. KEV ist der beste öffentliche Katalog, hinkt aber hinterher. Aktive Ausnutzung gegen die eigenen Kunden kann der KEV-Aufnahme um Tage oder Wochen vorausgehen.
  • CVSS als Frist behandeln. Ein CVSS-Kritisch bedeutet nicht "in 24 Stunden patchen". Es bedeutet "das zuerst ansehen". Die Frist ergibt sich aus dem eigenen Richtlinien-SLA, dem EPSS, dem KEV-Status und letztlich dem "ohne Verzögerung"-Maßstab aus Anhang I Teil II Buchstabe 2.
  • EPSS-Scores nicht aktualisieren. Eine Schwachstelle, die bei der Erfassung mit EPSS 0,02 bewertet und nie neu bewertet wurde, verbleibt im Niedrig-Prioritäts-Backlog, während sich die reale Ausnutzung außerhalb der eigenen Sicht aufbaut.
  • CVSS-Umgebungsanpassungen ignorieren. Ein CVSS-Basis-Score von 9,8 gegen eine Komponente, die das eigene Produkt nie instanziiert, ist in der eigenen Umgebung kein 9,8. Den Umgebungs-Score und die Begründung dokumentieren.
  • CVSS oder EPSS als Artikel-14-Auslöser verwenden. Artikel 14(1) wird durch sachverhaltsbezogene aktive Ausnutzung ausgelöst. Ein Score ist ein Beleg, nicht die Feststellung.

Häufig gestellte Fragen

Schreibt der CRA die Verwendung von CVSS vor?

Nein. Der CRA benennt CVSS oder ein anderes Bewertungssystem nicht. Anhang I Teil II Buchstabe 4 verlangt, den "Schweregrad" bei der Offenlegung einer behobenen Schwachstelle zu kommunizieren, legt die Skala aber nicht fest. CVSS ist der Branchenstandard und die am einfachsten zu verteidigende Skala in einer Prüfung. Eine eigene oder alternative Skala, die gleichwertige operative Ergebnisse erzeugt, ist zulässig, sofern sie dokumentiert und konsistent angewendet wird.

Ist EPSS nach dem CRA verpflichtend?

Nein. EPSS wird in der Verordnung nicht erwähnt. Es hilft, den "ohne Verzögerung"-Maßstab aus Anhang I Teil II Buchstabe 2 nachzuweisen, weil es zeigt, dass die Priorisierung die reale Ausnutzungswahrscheinlichkeit berücksichtigt hat und nicht nur die inhärente Schwere. Ein Hersteller, der die Ausnutzungswahrscheinlichkeit ignoriert und ausschließlich nach CVSS-Rang patcht, wird Schwierigkeiten haben, eine langsame Behebung eines hochgradig-EPSS-Befunds im Nachhinein zu rechtfertigen.

Wie beeinflusst die Bewertung die 24-Stunden-Frist nach Artikel 14?

Sie ändert nicht, wann die Frist beginnt. Die Frist beginnt, wenn der Hersteller von der aktiven Ausnutzung erfährt, unabhängig vom CVSS. Die Bewertung hilft, eingehende Signale zu triagieren und zu bestimmen, welche den Erkennungsschwellenwert erreichen. Sobald die Ausnutzung jedoch glaubwürdig festgestellt ist, läuft die Frist, auch wenn der CVSS-Score noch nicht abgeschlossen ist.

Können wir ein eigenes Bewertungssystem verwenden?

Ja, sofern es in einer Prüfung verteidigt werden kann. Ein Schema, das internen Bedrohungsmodellkontext mit externen Signalen kombiniert, ist akzeptabel, wenn es dokumentiert, konsistent angewendet wird und Behebungsergebnisse erzeugt, die dem "ohne Verzögerung"-Maßstab aus Anhang I Teil II Buchstabe 2 entsprechen. Der Branchenstandard aus CVSS plus EPSS plus KEV ist der Weg des geringsten Widerstands, weil jede Marktüberwachungsbehörde ihn erkennt.

Bestraft der CRA einen falschen Schweregrad-Score?

Der CRA bestraft das Versäumnis, Schwachstellen wirksam zu behandeln (Anhang I Teil II), und das Versäumnis, nach Artikel 14 zu melden. Eine vertretbare Bewertungsrichtlinie mit dokumentierter Anwendung ist das, was den Hersteller schützt. Ein einzelner falscher Score ist kein Verstoß; ein fehlender oder inkonsistenter Prozess ist es.

Sollten wir CVSS v3.1 oder v4.0 verwenden?

Beide, wo verfügbar. CVSS v4.0 wurde von FIRST im November 2023 veröffentlicht und verfeinert v3.1 mit feineren Angriffsanforderungsmetriken und ergänzenden Metriken für Sicherheit, Automatisierbarkeit, Wiederherstellung und Wertdichte. Die Übernahme verläuft schrittweise: Die meisten öffentlichen CVE-Feeds veröffentlichen weiterhin v3.1, und die Werkzeugunterstützung für v4.0 ist uneinheitlich. Beide Signale sollten eingelesen werden, wo die Quelle sie bereitstellt, und der Übergang von v3.1 auf v4.0 sollte nicht als Anlass für eine Neubasierung des Backlogs genutzt werden.

Nächste Schritte für einen CRA-vertretbaren Bewertungsprozess

  1. Die Schweregrad-Richtlinie dokumentieren: Bänder, Signale (CVSS, EPSS, KEV), bandgebundene SLAs, Hochstufungsregeln.
  2. CVSS-Einlesen in die SBOM-zu-CVE-Pipeline bei der Überprüfung integrieren. Siehe den SBOM-Cluster-Leitfaden.
  3. Einen täglichen EPSS-Aktualisierungsjob und ein CISA-KEV-Abonnement mit automatischer Hochstufung einrichten, wenn ein getrackter CVE in den Katalog aufgenommen wird.
  4. Alle offenen Schwachstellen heute einem Band zuordnen und Verantwortliche für Einträge festlegen, die ihren SLA überschreiten.
  5. Die Artikel-14-Erkennungskriterien an dieselben Signale knüpfen, damit Bewertungs- und Meldeentscheidungen nicht auseinanderdriften. Siehe den Artikel-14-Meldeleitfaden.
  6. Jeden Schweregradentscheid und seinen Behebungszeitstempel fortlaufend aufzeichnen, damit "ohne Verzögerung" dokumentiert und nicht nur behauptet ist.