CRA-ernstbeoordeling: CVSS, EPSS en KEV

Gepubliceerd 8 mei 2026 Bijgewerkt 15 juni 2026

De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) verplicht fabrikanten kwetsbaarheden te triëren, tijdig te verhelpen en actieve uitbuiting te melden zodra zij daarvan kennis krijgen. De meldingsplicht van Artikel 14 geldt vanaf 11 september 2026; de verplichtingen voor kwetsbaarheidsafhandeling, herstel en openbaarmaking in Artikel 13 en Bijlage I gelden vanaf 11 december 2027. De verordening noemt geen CVSS, EPSS, KEV of ander scoresysteem. Deze pagina behandelt wat elk signaal meet, hoe ze te combineren tot een verdedigbare prioritering, en hoe scoring kwetsbaarheidsmelding en gecoördineerde kwetsbaarheidsopenbaarmaking ondersteunt.

Samenvatting

  • De CRA verplicht geen enkel scoresysteem. De CRA vereist tijdig herstel, maar laat de operationele meting over aan fabrikanten.
  • CVSS meet inherente ernst op een schaal van 0 tot 10: kwetsbaarheidskenmerken die onafhankelijk zijn van of uitbuiting in het wild is waargenomen.
  • EPSS meet de kans op uitbuiting op een schaal van 0 tot 1: de waarschijnlijkheid van waargenomen uitbuiting binnen de komende 30 dagen, berekend door de FIRST EPSS Special Interest Group.
  • CISA KEV is een binair signaal voor actieve uitbuiting dat meldingsbeslissingen kan informeren, hoewel de CRA-trigger ruimer is dan opname in KEV.
  • CVSS, EPSS en KEV gecombineerd geven een verdedigbare prioriteringsmatrix; geen enkel signaal is op zichzelf voldoende.
  • Meldingstriggers zijn feitelijk, niet scoregestuurd. Actieve uitbuiting en ernstige incidenten worden vastgesteld op grond van de wettelijke definities, waarbij scoring als ondersteunend bewijs dient.
0-10
CVSS-bereik
inherente ernst
0-1
EPSS-waarschijnlijkheid
30-daagse kans op uitbuiting
24u
SRP-vroege waarschuwing
actief uitgebuit
Sep 2026
Artikel 14 geldt
meldingsplicht wordt bindend

De vier signalen die CRA-ernstbeslissingen omkaderen: inherente ernst, kans op uitbuiting, de meldingsklok en de datum waarop de meldingsplicht van toepassing wordt.

Wat de CRA zegt over scoring

Leest u de verordening rechtstreeks, dan vindt u geen vermelding van CVSS, EPSS of enig ander benoemd scoresysteem. De operationele plichten zijn eenvoudiger: fabrikanten hebben een kwetsbaarheidsproces nodig dat gedurende de ondersteuningsperiode werkt, kwetsbaarheden onverwijld herstelt en duidelijke ernstinformatie publiceert wanneer een oplossing beschikbaar is.

  • Herstel. Kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken.
  • Publieke informatie. Zodra een beveiligingsupdate beschikbaar is, een beschrijving van de verholpen kwetsbaarheid, de getroffen producten, de waarschijnlijke impact, de ernst en duidelijke hersteladviezen delen.

Die formuleringen zetten een norm, geen vast aantal dagen. Ze worden geïnterpreteerd door markttoezichtautoriteiten en uiteindelijk door nationale rechters.

Scoring is de manier waarop fabrikanten die interpretatie aantonen in audits en onderzoeken. Een fabrikant die een gedocumenteerd ernstbeleid kan tonen, een volgingssysteem dat bij binnenkomst CVSS en EPSS registreert, een SLA gekoppeld aan ernstbanden, en hersteltijdstempels die die SLA's respecteren, heeft een verdedigbare "onverwijld"-positie. Een fabrikant die dat niet kan, heeft dat niet.

Voor het bredere kwetsbaarheidsregime zie kwetsbaarheidsafhandeling. Voor de meldingscadansen onder het incidentmeldingsregime zie kwetsbaarheidsmelding.

CVSS: inherente ernst

Het Common Vulnerability Scoring System, beheerd door de FIRST CVSS Special Interest Group, scoort een kwetsbaarheid op een schaal van 0,0 tot 10,0. Het is de dominante inherente-ernstscore in de sector en de score die de meeste CVE-vermeldingen publiceren.

CVSS v3.1 kent drie scoretypen:

ScoretypeWat het meetCRA-gebruik
BasisscoreInherente kwetsbaarheidskenmerken: aanvalsvector, complexiteit, vereiste rechten, gebruikersinteractie, bereik en impact op vertrouwelijkheid, integriteit en beschikbaarheid.Gebruik dit als intakebasis omdat dit de score is die de meeste CVE-vermeldingen publiceren.
Temporele scoreTijdsgebonden publieke context: volwassenheid van exploitcode, herstelstatus en betrouwbaarheid van het rapport.Gebruik dit waar beschikbaar, maar vertrouw er niet op omdat publieke CVE-vermeldingen dit zelden invullen.
OmgevingsscoreUw productcontext: criticiteit van bedrijfsmiddelen, compenserende maatregelen, bereikbare codepaden en werkelijke implementatie-impact.Gebruik dit om te documenteren waarom de fabrikant een herstelprioriteit verhoogde, verlaagde of uitstelde.

CVSS v4.0 werd op 1 november 2023 door FIRST gepubliceerd. Het behoudt de groepen Basis en Omgeving, vervangt de v3.1-groep Temporeel door een smallere groep Bedreiging gericht op de volwassenheid van exploitatie, en voegt een groep Aanvullend toe (waaronder veiligheid, automatiseerbaarheid, herstel en waardedichtheid) die context vastlegt zonder de eindscore te wijzigen. De adoptie verloopt geleidelijk: veel CVE-feeds publiceren nog steeds v3.1, en de ondersteuning van tooling voor v4.0 is ongelijkmatig. Verwerk beide versies waar beschikbaar en behandel de overgang niet als een herbasering van de achterstand.

CVSS alleen is onvoldoende. Empirisch onderzoek toont consequent aan dat de meeste kwetsbaarheden die door CVSS als "hoog" of "kritiek" zijn beoordeeld, nooit worden waargenomen als uitgebuit. Een puur CVSS-gestuurde wachtrij verbrandt ingenieurskapaciteit aan theoretisch risico terwijl echte uitbuiting onbehandeld blijft.

EPSS: kans op uitbuiting

Het Exploit Prediction Scoring System, eveneens beheerd door FIRST via zijn EPSS SIG, voorspelt de waarschijnlijkheid dat uitbuitingsactiviteit tegen een CVE binnen de komende 30 dagen zal worden waargenomen. EPSS publiceert een waarschijnlijkheid tussen 0 en 1 en een percentielpositie ten opzichte van alle CVE's.

EPSS wordt berekend door een machine-learningmodel dat CVE-attributen (CVSS-metrische gegevens, CWE, getroffen leverancier en product, leeftijd) en publieke signalen (beschikbaarheid van PoC, waargenomen uitbuitingsactiviteit van bijdragende partners, vermeldingen in dreigingsinformatie) verwerkt. Scores worden dagelijks vernieuwd. Een nieuwe CVE zonder publieke PoC scoort doorgaans onder de 0,05; een CVE met een bewapende PoC kan materieel stijgen, afhankelijk van de andere invoer van het model.

EPSS alleen is ook onvoldoende. Een lage EPSS vandaag is geen garantie voor morgen: wanneer een onderzoeker een werkende exploit publiceert, beweegt de score. EPSS moet voortdurend opnieuw worden beoordeeld, niet alleen bij binnenkomst.

CISA KEV: bevestigde uitbuiting

De Known Exploited Vulnerabilities-catalogus, beheerd door het Amerikaanse Cybersecurity and Infrastructure Security Agency, is een lijst van kwetsbaarheden met betrouwbaar bewijs van actieve uitbuiting. Een CVE staat ofwel in de catalogus of niet. CISA voegt een CVE toe wanneer het betrouwbaar bewijs heeft dat de kwetsbaarheid is uitgebuit tegen een echt doelwit.

KEV is een Amerikaanse overheidsbron. EU-fabrikanten maken er op grote schaal gebruik van vanwege de brede ondersteuning in tooling. Sinds 13 mei 2025 beheert ENISA ook de Europese Kwetsbaarhedendatabase (EUVD), die uitbuitingsstatus en een dedicated weergave van uitgebuite kwetsbaarheden publiceert; beschouw dit als een aanvullend EU-prioriteringssignaal naast KEV. Beide zijn afzonderlijk van het CRA Single Reporting Platform (Artikel 16), en geen van beide is op zichzelf de meldingstrigger van Artikel 14.

Voor de vroege-waarschuwingstrigger is opname in KEV een sterk signaal dat een kwetsbaarheid "actief wordt uitgebuit" in de zin van de verordening. Het is niet het enige signaal: de trigger is ruimer en reikt tot elke actief uitgebuite kwetsbaarheid, inclusief kwetsbaarheden die zijn ontdekt via klantmeldingen, interne telemetrie of dreigingsinformatie die CISA nog niet heeft bereikt. Een kwetsbaarheid die tegen uw klanten wordt uitgebuit maar nog niet in KEV staat, kan de plicht alsnog triggeren. De vaststelling is feitelijk, niet lijstgebaseerd, en vereist betrouwbaar bewijs dat een kwaadwillende actor de kwetsbaarheid zonder toestemming heeft uitgebuit.

CVSS, EPSS en KEV combineren tot een CRA-prioriteringsmatrix

Geen enkel signaal is voldoende. De verdedigbare aanpak is alle drie te combineren en herstel-SLA's te koppelen aan de gecombineerde band. Het onderstaande diagram toont waarom: een CVSS-9,8 zonder waargenomen uitbuiting heeft een lager werkelijk risico dan een CVSS-7 met EPSS 0,95 en een KEV-vermelding, ook al ziet de eerste er slechter uit in een CVSS-alleen-wachtrij.

CVSS- en EPSS-prioriteringsvlak met KEV-overlay Een tweedimensionaal vlak met CVSS op de horizontale as (0 tot 10) en EPSS op de verticale as (0 tot 1). Zes prioriteitszones kleuren het vlak: Noodgeval rechtsbovenin wanneer CVSS 9 of hoger is en EPSS boven 0,5 ligt, Hoog in drie grotere zones (hoge EPSS met middelhoge CVSS, hoge CVSS met middelhoge EPSS, en de rechterbovenste CVSS-plus-EPSS-strook), Middel voor CVSS 4 tot 6,9 met lage EPSS, Laag voor CVSS onder 4. KEV-geregistreerde CVE's worden altijd opgeschaald naar Noodgeval, ongeacht positie. Vier genummerde voorbeeld-CVE's illustreren dat een CVSS-9,8 met EPSS 0,01 in de Hoog-band zit op basis van inherente ernst alleen, terwijl een CVSS-7,5 met EPSS 0,95 plus KEV in de Noodgeval-band zit ondanks een lagere CVSS. Waarom één signaal niet genoeg is: CVSS × EPSS-vlak met KEV-overlay Noodgeval Hoog Hoog Hoog Middel Laag 0 4 7 9 10 CVSS-basisscore (inherente ernst) 0.0 0.5 1.0 EPSS (30-daagse kans op uitbuiting) A B C D Voorbeeld-CVE's hierboven ingetekend A. CVSS 9.8 / EPSS 0.01. Hoog-band op basis van inherente ernst, geen uitbuiting waargenomen. B. CVSS 7.5 / EPSS 0.95 / KEV-geregistreerd (★). Noodgeval: KEV escaleert altijd ongeacht CVSS of EPSS. C. CVSS 5.5 / EPSS 0.7. Hoog door EPSS alleen, middelhoge inherente ernst. D. CVSS 4.0 / EPSS 0.05. Middel.
Tweesignaalprioriterering: CVSS legt inherente ernst vast, EPSS legt waargenomen kans op uitbuiting vast, KEV is de binaire overlay voor actieve uitbuiting. CVE-A (hoge CVSS, bijna-nul EPSS) en CVE-B (middelhoge CVSS, KEV-geregistreerd) zijn in prioriteit omgekeerd ten opzichte van een CVSS-alleen-wachtrij.
Band Signaalcombinatie Herstel-SLA CRA-implicatie
Noodgeval KEV-geregistreerd OF bevestigde actieve uitbuiting OF (CVSS Kritiek 9,0+ EN EPSS > 0,5) Dagen, niet weken Urgente meldingsreview indien uitbuiting uw product kan raken
Hoog CVSS Hoog (7,0-8,9) OF EPSS > 0,5 30 dagen "Onverwijld"-positie is boven 30 dagen in gevaar
Middel CVSS Gemiddeld (4,0-6,9), EPSS < 0,5, niet KEV-geregistreerd 90 dagen Verdedigbaar met documentatie en tijdstempels
Laag CVSS Laag (< 4,0) Volgende reguliere releasecyclus Documenteer de uitgestelde behandeling in het kwetsbaarheidsafhandelingsrecord

De matrix is het beleid van de fabrikant, geen CRA-verplichting. Door dit op schrift te stellen geeft de fabrikant een markttoezichtautoriteit een gedocumenteerde, herhaalbare basis voor de herstelbesluiten die zij kan onderzoeken nadat een ernstige kwetsbaarheid openbaar wordt. Een gedocumenteerd beleid dat elke CVE bij binnenkomst in een band indeelt, vastlegt in welke band deze CVE is terechtgekomen, en aantoont dat het binnen de bijbehorende SLA is opgelost met tijdstempels, is aanzienlijk eenvoudiger te verdedigen dan "we hebben gepatcht toen we er aan toekwamen".

Onze inschatting: een CVSS-only-wachtrij wordt het auditrisico

De bovenstaande secties beschrijven de operationele mechanismen. Het kader hieronder is onze lezing als praktijkmensen, geen juridisch advies.

Onze inschatting: uitbuitingsbewuste triage wordt de baseline, niet de geavanceerde optie

De huidige Verordening noemt geen scoresysteem, en wij verwachten niet dat dit zal veranderen. Maar de richting is duidelijk. Nu de EUVD van ENISA een weergave van uitgebuite kwetsbaarheden publiceert naast CISA KEV, wordt uitbuitingsbewijs steeds moeilijker te negeren voor toezichthouders: "we hebben geprioriteerd op CVSS en de kwetsbaarheid gemist die actief werd uitgebuit" is per kwartaal een zwakker antwoord. Wij verwachten dat markttoezichtautoriteiten en CSIRT's een op EPSS en KEV gebaseerd proces zullen beschouwen als de ondergrens van een competent kwetsbaarheidsafhandelingsregime, niet als een geavanceerde optie. Bouw voor de richting die handhaving opgaat, en u scoort op de kans op uitbuiting, niet alleen op ernst.

Ernst koppelen aan meldingstriggers

Melding is niet scoregestuurd. Het incidentmeldingsregime splitst in twee stromen met dezelfde klokken van 24 uur en 72 uur, maar met verschillende deadlines voor het eindrapport:

  • Actief uitgebuite kwetsbaarheid. Vroege waarschuwing binnen 24 uur, kwetsbaarheidsmelding binnen 72 uur, eindrapport binnen 14 dagen vanaf het moment dat een corrigerende of risicobeperkende maatregel beschikbaar is.
  • Ernstig incident. Vroege waarschuwing binnen 24 uur, incidentkennisgeving binnen 72 uur, eindrapport binnen 1 maand na de kennisgeving van 72 uur.

Geen van beide triggers is een CVSS-drempel. "Actief uitgebuit" is een feitelijke vaststelling: er is betrouwbaar bewijs dat een kwaadwillende actor de kwetsbaarheid zonder toestemming heeft uitgebuit. Een ernstig incident is een incident dat de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies kan aantasten, of dat kan leiden tot schadelijke code in het product of in de netwerken en informatiesystemen van een gebruiker.

CVSS en EPSS ondersteunen de vaststelling. Een CVSS-kritieke kwetsbaarheid met EPSS > 0,9 en een KEV-vermelding zou een urgente meldingsreview moeten triggeren zodra u bewijs heeft dat de uitbuiting uw product raakt. Ze vervangen de vaststelling niet. De 24-uursklok start op het moment dat de fabrikant zich bewust wordt van actieve uitbuiting, niet op het moment dat de CVSS-score een bepaald getal overschrijdt.

Voor de volledige meldingscadans zie kwetsbaarheidsmelding. Voor het upstream-intakekanaal dat vaak het eerste signaal van uitbuiting levert, zie gecoördineerde kwetsbaarheidsopenbaarmaking.

Scoring operationaliseren in uw kwetsbaarheidsproces

Een werkend CRA-conform scoringproces heeft zes concrete componenten:

  1. Verwerk CVSS bij het scannen. Uw SBOM-naar-CVE-pijplijn dient bij elke bevinding bij de eerste detectie CVSS-basisscores te koppelen.
  2. Vernieuw EPSS dagelijks. Een nachtelijke taak die open kwetsbaarheden opnieuw scoort, is het minimum.
  3. Houd CISA KEV in de gaten. Abonneer u op de KEV-feed en escaleer automatisch elke open kwetsbaarheid die in de catalogus terechtkomt.
  4. Stel per-band SLA's in uw volgingssysteem in. Banden en deadlines moeten machineleesbaar zijn zodat te late items zichtbaar worden zonder menselijke triage.
  5. Escaleer bij drempeloverschrijdingen. Wanneer EPSS 0,5 overschrijdt voor een open bevinding, herindelen (Hoog, of Noodgeval als CVSS ook 9,0+ is). Wanneer KEV een van uw CVE's toevoegt, of een klant actieve uitbuiting meldt, verplaatst het item zich automatisch naar de noodgevalsband.
  6. Automatiseer de SBOM-component-naar-CVE-koppeling. Handmatige koppeling breekt bij schaal en is de meest voorkomende bron van gemiste kwetsbaarheden bij auditbevindingen.

Onboarding bij het ENISA Single Reporting Platform is een afzonderlijk maar verwant werkstroom. Zie ENISA SRP-onboarding.

Veelgemaakte fouten

  • CVSS-9 najagen terwijl EPSS-0,95 wordt genegeerd. Een CVSS-7-kwetsbaarheid met EPSS 0,95 en een publieke PoC is een hoger werkelijk risico dan een CVSS-9,8 met EPSS 0,01.
  • Aannemen dat KEV compleet is. KEV is de beste publieke catalogus, maar loopt achter. Actieve uitbuiting tegen uw klanten kan de KEV-vermelding dagenlang of wekenlang voorafgaan.
  • CVSS behandelen als een deadline. Een CVSS-Kritiek betekent niet "patch binnen 24 uur". Het betekent "kijk hier eerst naar". De deadline komt van uw beleid-SLA, de EPSS, de KEV-status en uiteindelijk de verwachte norm voor onverwijld herstel.
  • EPSS-scores niet vernieuwen. Een kwetsbaarheid die bij binnenkomst EPSS 0,02 scoort en nooit opnieuw wordt gescoord, blijft in uw achterstandswachtrij met lage prioriteit terwijl echte uitbuiting buiten uw blikveld opbouwt.
  • CVSS-omgevingsmodificatoren negeren. Een CVSS-basisscore van 9,8 voor een component die uw product nooit instantieert, is geen 9,8 in uw omgeving. Documenteer de omgevingsscore en de redenering.
  • CVSS of EPSS gebruiken als meldingstrigger. De meldingsplicht berust op feitelijke actieve uitbuiting. Een score is ondersteunend bewijs, niet de vaststelling.

Veelgestelde vragen

Verplicht de CRA het gebruik van CVSS?

Nee. De CRA noemt CVSS noch enig ander scoresysteem. De openbaarmakingsplicht vereist dat u "ernst" communiceert wanneer u een herstelde kwetsbaarheid openbaar maakt, maar schrijft geen schaal voor. CVSS is de industriestandaard en de schaal die het eenvoudigst te verdedigen is in een audit. Een aangepaste of alternatieve schaal is toegestaan mits gedocumenteerd en consistent toegepast.

Is EPSS verplicht onder de CRA?

Nee. EPSS wordt niet vermeld in de verordening. Het helpt de norm "onverwijld" aan te tonen, omdat het laat zien dat de prioritering de werkelijke kans op uitbuiting volgde en niet alleen de inherente ernst. Een fabrikant die de kans op uitbuiting negeert en uitsluitend op CVSS-rang patcht, zal moeite hebben om na het feit een trage hersteloperatie van een bevinding met hoge EPSS te rechtvaardigen.

Hoe beïnvloedt scoring de 24-uursklok?

Het verandert niet wanneer de klok start. De klok start bij de bewustwording van de fabrikant van actieve uitbuiting, ongeacht CVSS. Scoring helpt bij het triëren van welke binnenkomende signalen de bewustzijnsdrempel bereiken, maar zodra uitbuiting geloofwaardig is vastgesteld, loopt de klok zelfs als de CVSS-score nog niet definitief is.

Mogen we een eigen scoresysteem gebruiken?

Ja, mits u het kunt verdedigen in een audit. Een systeem dat interne dreigingsmodelcontext combineert met externe signalen is acceptabel als het gedocumenteerd is, consistent wordt toegepast, en herstelresultaten oplevert die aansluiten bij de norm "onverwijld". De industriestandaard van CVSS plus EPSS plus KEV is de weg van de minste weerstand omdat het breed erkend is.

Bestraft de CRA een verkeerde ernstscore?

Niet rechtstreeks. Het handhavingsrisico zit in het niet nakomen van de kwetsbaarheidsafhandelingsvereisten of het nalaten actieve uitbuiting te melden. Een individuele foutieve score is niet automatisch een overtreding, maar een afwezig of inconsistent scoringproces kan bewijs worden dat kwetsbaarheidsafhandeling niet effectief was.

Moeten we CVSS v3.1 of v4.0 gebruiken?

Beide, waar beschikbaar. CVSS v4.0 werd op 1 november 2023 door FIRST gepubliceerd. Het behoudt de groepen Basis en Omgeving, vervangt de v3.1-groep Temporeel door een smallere groep Bedreiging gericht op de volwassenheid van exploitatie, en voegt een groep Aanvullend toe (waaronder veiligheid, automatiseerbaarheid, herstel en waardedichtheid) die context vastlegt zonder de score te wijzigen. De adoptie verloopt geleidelijk: veel publieke CVE-feeds publiceren nog steeds v3.1. Verwerk beide signalen waar de bron ze levert, en behandel de overgang van v3.1 naar v4.0 niet als een herbasering van de achterstand.

Wanneer gaan deze meldingsverplichtingen gelden?

Artikel 14, met de op deze pagina beschreven meldingsverplichtingen, geldt vanaf 11 september 2026. De verplichtingen voor kwetsbaarheidsafhandeling, herstel en openbaarmaking in Artikel 13 en Bijlage I gelden vanaf 11 december 2027, en het grootste deel van de Verordening geldt vanaf die latere datum. Bouw het scoring- en meldingsgereedheidsproces nu op, zodat het operationeel is vóór september 2026.

Wat telt als "kennis krijgen" voor de 24-uursklok?

De 24-uursklok voor vroege waarschuwing start op het moment dat de fabrikant kennis krijgt van een actief uitgebuite kwetsbaarheid. Dat betekent geloofwaardige kennis dat een kwaadwillende actor de kwetsbaarheid heeft uitgebuit tegen een echt doelwit, niet een privémelding van een kwetsbaarheid of een werkende proof-of-concept op zichzelf. Een CVSS- of EPSS-score start de klok niet; de feitelijke vaststelling van actieve uitbuiting doet dat wel.

Hoe gebruiken we de ENISA EUVD naast CISA KEV?

Sinds 13 mei 2025 beheert ENISA de Europese Kwetsbaarhedendatabase (EUVD), die uitbuitingsstatus en een dedicated weergave van uitgebuite kwetsbaarheden publiceert. Gebruik dit als prioriteringssignaal naast CISA KEV. Geen van beide catalogi is de meldingstrigger van Artikel 14, en beide zijn afzonderlijk van het CRA Single Reporting Platform onder Artikel 16.

Wijzigt VEX de CRA-ernst of de meldingsplicht?

Nee. Een VEX-document (Vulnerability Exploitability eXchange) wijzigt de meldingstrigger noch de inherente ernst van een kwetsbaarheid. Het is een machineleesbare manier om vast te leggen of uw product daadwerkelijk wordt getroffen door een bekende kwetsbaarheid (getroffen, niet getroffen, onder onderzoek of verholpen) naast uw SBOM. Dat maakt het sterke ondersteunende documentatie voor een omgevingsmatige verlaging of een gedocumenteerde uitgestelde behandeling.

Moeten we SSVC gebruiken in plaats van een CVSS-matrix?

Dat kan. SSVC (Stakeholder-Specific Vulnerability Categorization), gepubliceerd door CISA samen met het SEI van Carnegie Mellon, is een beslisbomalternatief dat tot een hersteluitkomst leidt (Track, Track*, Attend, Act) op basis van invoer zoals uitbuitingsstatus, blootstelling en missie-impact. De CRA verplicht het niet. Het is een erkend en verdedigbaar kader als u de voorkeur geeft aan een beslisboom boven de CVSS-plus-EPSS-plus-KEV-matrix op deze pagina.

Vervolgstappen voor een CRA-verdedigbaar scoringproces

  1. Documenteer uw ernstbeleid: banden, signalen (CVSS, EPSS, KEV), per-band SLA's, escalatieregels.
  2. Koppel CVSS-verwerking aan uw SBOM-naar-CVE-pijplijn bij het scannen. Zie de SBOM-clustergids.
  3. Plan een dagelijkse EPSS-vernieuwingstaak en een CISA KEV-abonnement met automatische escalatie wanneer een gevolgde CVE in de catalogus terechtkomt.
  4. Wijs elke open kwetsbaarheid vandaag nog toe aan een band en wijs eigenaren aan voor elk item dat zijn SLA overschrijdt.
  5. Definieer meldingsreviews met dezelfde signalen. Zie de gids voor kwetsbaarheidsmelding.
  6. Houd een doorlopend register bij van elke ernstbeslissing en het bijbehorende hersteltijdstempel zodat "onverwijld" is gedocumenteerd, niet alleen beweerd.