Gecoördineerde kwetsbaarheidsopenbaarmaking onder de CRA: beleidssjabloon en opzet

De CRA vereist dat fabrikanten een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) hebben. Zonder zo'n beleid kunt u uw product niet rechtmatig op de EU-markt brengen.

Deze gids biedt een kant-en-klaar CVD-beleidssjabloon en praktische implementatietips.

Samenvatting

• CVD-beleid is verplicht onder de CRA (Bijlage I, Deel II)
• Minimuminhoud: contactinformatie, tijdlijn, scope
• Gepubliceerd op uw beveiligingspagina en security.txt
• Koppelt aan ENISA-rapportage (24h/72h) voor actief misbruik
• security.txt maakt uw beleid vindbaar voor onderzoekers

Wat de CRA vereist

Wettelijke verplichting

Bijlage I, Deel II van de CRA vereist dat fabrikanten:

"een beleid inzake gecoördineerde kwetsbaarheidsopenbaarmaking vaststellen en toepassen"

Dit betekent:

• Een gepubliceerd beleid dat beschrijft hoe u kwetsbaarheden accepteert en verwerkt
• Een functionerende contactmethode voor beveiligingsonderzoekers
• Een duidelijk proces van intake tot oplossing

Wat het beleid moet omvatten

MINIMUMINHOUD CVD-BELEID

VERPLICHT:
[ ] Contactmethode (e-mail of webformulier)
[ ] Reikwijdte (welke producten/diensten zijn gedekt)
[ ] Reactietijdlijn (erkenning, beoordeling, fix)
[ ] Openbaarmakingtijdlijn (wanneer u publiceert)

AANBEVOLEN:
[ ] Veilige communicatie (PGP-sleutel)
[ ] Dankbetuigingsproces
[ ] Verantwoorde openbaarmakingsprincipes
[ ] Wat onderzoekers kunnen verwachten
[ ] Bug bounty-programma (optioneel)

CVD-beleidssjabloon

Gebruik dit sjabloon als startpunt. Pas het aan uw organisatie aan.

KWETSBAARHEIDSOPENBAARMAKING BELEID

[Bedrijfsnaam] — Kwetsbaarheidsopenbaarmaking Beleid Versie: 1.0 | Datum: [datum]

1. Inleiding

[Bedrijfsnaam] hecht groot belang aan de beveiliging van onze producten en diensten. Wij moedigen beveiligingsonderzoekers, gebruikers en andere partijen aan om kwetsbaarheden die zij ontdekken in onze producten verantwoord aan ons te melden.

2. Reikwijdte

Dit beleid is van toepassing op:

• Alle hardware- en softwareproducten van [Bedrijfsnaam]
• Firmwareversies van [vermeld versies of 'alle ondersteunde versies']
• [Specifieke producten hier vermelden indien van toepassing]

Dit beleid is NIET van toepassing op:

• Producten van derden die wij niet produceren
• End-of-life-producten waarvoor de supportperiode is verlopen

3. Meldingskanalen

Primaire contactmethode:

• E-mail: security@[uwbedrijf].com
• Webformulier: https://[uwbedrijf].com/security/report

Beveiligde communicatie (aanbevolen voor gevoelige rapporten):

• PGP-sleutel: https://[uwbedrijf].com/.well-known/pgp-key.txt
• Vingerafdruk: [PGP-vingerafdruk]

Bereikbaarheid security.txt: https://[uwbedrijf].com/.well-known/security.txt

4. Wat wij verwachten van onderzoekers

Wij verzoeken onderzoekers:

• Ons zo snel mogelijk op de hoogte te stellen na ontdekking
• Geen kwetsbaarheid publiek te maken vóórdat wij de kans hebben gehad om deze te verhelpen
• Geen toegang te nemen tot systemen of gegevens die nodig zijn voor de demonstratie
• Geen informatie van derden te verstoren, te wijzigen of te vernietigen
• Zich te houden aan de toepasselijke wetgeving

5. Wat onderzoekers van ons kunnen verwachten

6. Openbaarmakingtijdlijn

Onze standaard openbaarmakingtijdlijn is 90 dagen na eerste melding, tenzij:

• Een langere periode nodig is vanwege technische complexiteit (max. 180 dagen)
• Actief misbruik snellere openbaarmaking vereist

Wij streven naar gecoördineerde openbaarmaking — de melder publiceert na ons.

7. Dankbetuiging

Met toestemming van de melder erkennen wij hun bijdrage in onze Hall of Fame. U kunt anoniem blijven.

8. Wettelijke safe harbor

[Bedrijfsnaam] zal geen juridische stappen ondernemen tegen onderzoekers die te goeder trouw handelen in overeenstemming met dit beleid, zelfs als hierbij kwetsbaarheden worden ontdekt.

9. ENISA-rapportage

Conform Verordening (EU) 2024/2847 (Cyber Resilience Act) melden wij actief misbruikte kwetsbaarheden binnen 24 uur aan ENISA. Relevante nationale CSIRT's worden eveneens geïnformeerd.

Implementatiegids

Stap 1: Interne voorbereiding

INTERNE VOORBEREIDING

[ ] Beveiligingscontact aanwijzen
    - Teamalias (bijv. security@uwbedrijf.com)
    - Niet een persoonlijk e-mailadres
    - Bewakd door meerdere teamleden

[ ] Intern triageproces vastleggen
    - Wie ontvangt meldingen?
    - Hoe worden ze beoordeeld?
    - Wie neemt de beslissing over ernst?
    - Wie coördineert de oplossing?

[ ] Escalatiepaden vastleggen
    - Kritische kwetsbaarheden (CVSS ≥ 9.0)
    - Actief misbruik
    - Hoge media-aandacht

Stap 2: Beleid publiceren

PUBLICATIEKANALEN

BEVEILIGINGSPAGINA:
URL: https://uwbedrijf.com/security
Inhoud:
- CVD-beleid (volledig of samenvatting)
- Contactinformatie
- PGP-sleutel
- Hall of Fame (optioneel)

SECURITY.TXT:
Locatie: https://uwbedrijf.com/.well-known/security.txt
Minimuminhoud:
  Contact: mailto:security@uwbedrijf.com
  Expires: [datum 1 jaar in de toekomst]
  Policy: https://uwbedrijf.com/security/policy

PRODUCTDOCUMENTATIE:
Vermeld beveiligingscontact in:
- README of handleiding
- Over/Help-sectie in software
- Verpakking (of bijlage) van hardware

Stap 3: PGP instellen (aanbevolen)

# Teamsleutel aanmaken
gpg --full-generate-key
# Gebruik 'RSA and RSA', 4096-bit, 2 jaar vervaldatum

# Exporteren en publiceren
gpg --armor --export security@uwbedrijf.com > pgp-key.txt
# Uploadeer naar uwbedrijf.com/.well-known/pgp-key.txt

# Vingerafdruk verkrijgen voor security.txt
gpg --fingerprint security@uwbedrijf.com

Stap 4: Ontvangst testen

Zodra alles is opgezet, test u het:

TESTCHECKLIST

[ ] E-mail naar security@uwbedrijf.com gestuurd → ontvangen?
[ ] Webformulier ingevuld → ontvangen?
[ ] PGP-versleuteld bericht gestuurd → ontcijferbaar?
[ ] security.txt toegankelijk op /.well-known/security.txt
[ ] CVD-beleid pagina toegankelijk
[ ] Online validator getest: https://securitytxt.org/

Verbinding met ENISA-rapportage

Wanneer wordt CVD ENISA-rapportage?

CVD VS. ENISA-RAPPORTAGE

STANDAARD CVD-PROCES (geen ENISA-rapportage):
Onderzoeker meldt kwetsbaarheid
  → U beoordeelt
  → U patcht
  → Gecoördineerde openbaarmaking

ENISA-RAPPORTAGE (VEREIST):
Kwetsbaarheid wordt ACTIEF MISBRUIKT:
  → 24 uur: Vroege waarschuwing aan ENISA SRP
  → 72 uur: Gedetailleerde notificatie
  → 14/30 dagen: Eindrapport

GRENS:
Is er bewijs dat uw product actief wordt aangevallen?
→ JA: ENISA-rapportage verplicht (naast normaal CVD)
→ NEE: Standaard CVD-proces

Stroomdiagram CVD + ENISA

KWETSBAARHEID ONTVANGEN
         │
         ▼
  Initiële beoordeling
         │
    ┌────┴────┐
    │ Actief  │
    │ misbruik│
    │ bewijs? │
    └────┬────┘
    JA   │   NEE
    │         │
    ▼         ▼
ENISA    CVD-proces
24h      (90 dagen)
    │         │
    ▼         ▼
ENISA    Gecoördineerde
72h      openbaarmaking

Veelgemaakte fouten

Fout 1: Geen functionerend contactadres

Probleem: security@bedrijf.com bestaat maar niemand controleert het.

Oplossing: Teamalias met meerdere ontvangers. Test maandelijks of berichten aankomen.

Fout 2: Beleid zonder deadline

Probleem: Beleid zegt "wij reageren zo snel mogelijk" zonder tijdlijn.

Oplossing: Geef concrete tijdlijnen (bijv. 3 werkdagen erkenning, 10 dagen eerste beoordeling).

Fout 3: Beleid niet vindbaar

Probleem: CVD-beleid bestaat maar onderzoekers vinden het niet.

Oplossing: security.txt publiceren, beveiligingspagina linken vanuit homepage, vermelden in alle producthandleidingen.

Fout 4: CVD en ENISA-rapportage niet gekoppeld

Probleem: Intern CVD-proces maar geen duidelijke trigger voor ENISA-rapportage.

Oplossing: Definieer expliciet wanneer een CVD-melding een ENISA-melding wordt.

Onderhoudschecklist

CVD-BELEID ONDERHOUD

MAANDELIJKS:
[ ] Controleer of beveiligingscontact functioneert
[ ] Controleer of security.txt niet is verlopen
[ ] Verifieer CVD-paginatoegankelijkheid

DRIEMAANDELIJKS:
[ ] Beoordeel en update reactietijdlijnen
[ ] Controleer PGP-sleutelverval
[ ] Evalueer openstaande meldingen

JAARLIJKS:
[ ] Volledig beleidsoverzicht
[ ] Update contactgegevens
[ ] Hernieuw security.txt Expires-datum
[ ] Evalueer resultaten van CVD-programma

Gerelateerde gidsen:

• Security.txt instellen voor CRA-compliance: een 10-minutengids
• ENISA-kwetsbaarheidsmeldingen: de 24-uursverplichting

Hoe CRA Evidence helpt

CRA Evidence ondersteunt uw CVD-programma:

• CVD-beleidssjablonen: Aanpasbare sjablonen per producttype
• Kwetsbaarheidsportal: Ontvang en beheer meldingen centraal
• ENISA-integratie: Automatische triagering van meldingen voor ENISA-drempel
• Technisch dossier: CVD-beleid als onderdeel van het conformiteitsbewijspakket

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.