CRA-ernstbeoordeling: CVSS, EPSS en KEV

De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) verplicht fabrikanten kwetsbaarheden "zonder vertraging" te verhelpen (Bijlage I Deel II punt 2) en actief uitgebuite kwetsbaarheden binnen 24 uur te melden (Artikel 14(1)), maar noemt geen scoresysteem. CVSS, EPSS en de CISA KEV-catalogus zijn de sectorhulpmiddelen die worden gebruikt om aan deze verplichtingen te voldoen. Deze pagina behandelt wat elk systeem meet, hoe ze te combineren tot een verdedigbare prioritering, en hoe scoring zich verhoudt tot Artikel 14-melding en gecoördineerde openbaarmaking van kwetsbaarheden.

Samenvatting

  • De CRA verplicht geen enkel scoresysteem. Bijlage I Deel II punt (2) vereist herstel "zonder vertraging", maar laat de operationele meting over aan fabrikanten.
  • CVSS meet inherente ernst op een schaal van 0 tot 10: kwetsbaarheidskenmerken die onafhankelijk zijn van of uitbuiting in het wild is waargenomen.
  • EPSS meet de kans op uitbuiting op een schaal van 0 tot 1: de waarschijnlijkheid van waargenomen uitbuiting binnen de komende 30 dagen, berekend door de FIRST EPSS Special Interest Group.
  • CISA KEV is het binaire signaal "actief uitgebuit" dat het meest direct de beslissingen over Artikel 14(1)-melding informeert, hoewel Artikel 14(1) ruimer is dan opname in KEV.
  • CVSS, EPSS en KEV gecombineerd geven een verdedigbare prioriteringsmatrix; geen enkel signaal is op zichzelf voldoende.
  • Artikel 14-meldingstriggers zijn feitelijk, niet scoregestuurd. Actieve uitbuiting en ernstige incidenten worden vastgesteld op grond van de wettelijke definities, waarbij scoring als ondersteunend bewijs dient.
0-10
CVSS-bereik
inherente ernst
0-1
EPSS-waarschijnlijkheid
30-daagse kans op uitbuiting
24u
Artikel 14 SRP vroege waarschuwing
actief uitgebuit
€15M / 2.5%
Boete Artikel 64
het hoogste bedrag geldt

De vier getallen die de CRA-ernstbeslissingen omkaderen: inherente ernst, kans op uitbuiting, de meldingsklok en het boeteplafond.

Wat de CRA zegt over scoring

Leest u de verordening rechtstreeks, dan vindt u geen vermelding van CVSS, EPSS of enig ander benoemd scoresysteem. De relevante operationele taal staat in Bijlage I Deel II, dat de vereisten voor het afhandelen van kwetsbaarheden vermeldt die elke fabrikant gedurende de ondersteuningsperiode moet nakomen:

  • Punt (2) verplicht fabrikanten "kwetsbaarheden zonder vertraging aan te pakken en te verhelpen, onder meer door het verstrekken van beveiligingsupdates".
  • Punt (4) verplicht fabrikanten, zodra een beveiligingsupdate beschikbaar is, informatie over de herstelde kwetsbaarheid te delen, "met inbegrip van een beschrijving van de kwetsbaarheden, informatie aan de hand waarvan gebruikers het product met digitale elementen kunnen identificeren dat is getroffen, de gevolgen van de kwetsbaarheden, hun ernst en duidelijke en toegankelijke informatie die gebruikers helpt de kwetsbaarheden te verhelpen".

Artikel 13(8) plaatst deze verplichtingen onder een verplichting tot "effectieve afhandeling" gedurende de ondersteuningsperiode. De zinsnede "zonder vertraging" in Bijlage I Deel II punt (2) en "zonder onnodige vertraging" in Artikel 14 stellen de temporele norm. Geen van beide zinsneden is een vast aantal dagen. Beide zijn onderhevig aan interpretatie door markttoezichtautoriteiten en uiteindelijk door nationale rechters.

Scoring is de manier waarop fabrikanten die interpretatie aantonen in audits en onderzoeken. Een fabrikant die een gedocumenteerd ernstbeleid kan tonen, een volgingssysteem dat bij binnenkomst CVSS en EPSS registreert, een SLA gekoppeld aan ernstbanden, en hersteltijdstempels die die SLA's respecteren, heeft een verdedigbare "zonder vertraging"-positie. Een fabrikant die dat niet kan, heeft dat niet.

Voor het bredere afhandelingsregime van Bijlage I Deel II zie kwetsbaarheidsafhandeling. Voor de meldingscadansen van Artikel 14 zie kwetsbaarheidsmelding.

CVSS: inherente ernst

Het Common Vulnerability Scoring System, beheerd door de FIRST CVSS Special Interest Group, scoort een kwetsbaarheid op een schaal van 0,0 tot 10,0. Het is de dominante inherente-ernstscore in de sector en de score die de meeste CVE-vermeldingen publiceren.

CVSS kent drie scoretypen:

Basisscore

Legt kwetsbaarheidskenmerken vast die niet veranderen in de loop van de tijd of over implementaties heen: aanvalsvector, complexiteit, vereiste rechten, gebruikersinteractie, bereik en impact op vertrouwelijkheid, integriteit en beschikbaarheid. Dit is wat de meeste CVE-vermeldingen publiceren en wat mensen bedoelen met "de CVSS-score".

Temporele score

Past de Basisscore aan voor tijdsgebonden factoren: volwassenheid van exploitcode, herstelstatus, betrouwbaarheid van het rapport. Zelden ingevuld in publieke CVE-vermeldingen.

Omgevingsscore

Past de Basisscore aan voor uw implementatiecontext: criticiteit van bedrijfsmiddelen, compenserende maatregelen, werkelijke impact in uw omgeving. Dit is de score die een fabrikant voor zijn eigen product dient te berekenen.

CVSS v4.0 werd in november 2023 door FIRST gepubliceerd. Het verfijnt v3.1 met nauwkeurigere metrische gegevens over aanvalsvereisten en aanvullende metrische gegevens voor veiligheid, automatiseerbaarheid, herstel en waardedichtheid. De adoptie verloopt geleidelijk: de meeste CVE-feeds publiceren nog steeds v3.1, en de ondersteuning van tooling voor v4.0 is ongelijkmatig. Verwerk beide versies waar beschikbaar en behandel de overgang niet als een herbasering van de achterstand.

CVSS alleen is onvoldoende. Empirisch onderzoek toont consequent aan dat de meeste kwetsbaarheden die door CVSS als "hoog" of "kritiek" zijn beoordeeld, nooit worden waargenomen als uitgebuit. Een puur CVSS-gestuurde wachtrij verbrandt ingenieurskapaciteit aan theoretisch risico terwijl echte uitbuiting onbehandeld blijft.

EPSS: kans op uitbuiting

Het Exploit Prediction Scoring System, eveneens beheerd door FIRST via zijn EPSS SIG, voorspelt de waarschijnlijkheid dat een CVE binnen de komende 30 dagen in het wild wordt uitgebuit. EPSS publiceert een waarschijnlijkheid tussen 0 en 1 en een percentielpositie ten opzichte van alle CVE's.

EPSS wordt berekend door een machine-learningmodel dat CVE-attributen (CVSS-metrisch gegevens, CWE, getroffen leverancier en product, leeftijd) en publieke signalen (beschikbaarheid van PoC, uitbuitingstelemetrie van bijdragende partners, vermeldingen in dreigingsinformatie) verwerkt. Scores worden dagelijks vernieuwd. Een nieuwe CVE zonder publieke PoC scoort doorgaans onder de 0,05; een CVE met een bewapende PoC kan binnen dagen boven de 0,5 uitkomen.

EPSS alleen is ook onvoldoende. Een lage EPSS vandaag is geen garantie voor morgen: wanneer een onderzoeker een werkende exploit publiceert, beweegt de score. EPSS moet voortdurend opnieuw worden beoordeeld, niet alleen bij binnenkomst.

CISA KEV: bevestigde uitbuiting

De Known Exploited Vulnerabilities-catalogus, beheerd door het Amerikaanse Cybersecurity and Infrastructure Security Agency, is een binaire lijst met "wordt dit momenteel uitgebuit". Een CVE staat ofwel in de catalogus of niet. CISA voegt een CVE toe wanneer het betrouwbaar bewijs heeft van actieve uitbuiting tegen een doelwit.

KEV is een Amerikaanse overheidsbron, maar het is de meest gezaghebbende publieke catalogus van bevestigde uitbuiting die beschikbaar is voor verdedigers buiten de inlichtingengemeenschap. EU-fabrikanten maken er op grote schaal gebruik van omdat er vandaag de dag geen equivalente ENISA-catalogus bestaat.

Voor Artikel 14(1)-doeleinden is opname in KEV een sterk signaal dat een kwetsbaarheid "actief wordt uitgebuit" in de zin van de verordening. Het is niet het enige signaal: Artikel 14(1) is ruimer en triggert bij elke actief uitgebuite kwetsbaarheid, inclusief kwetsbaarheden die zijn ontdekt via klantmeldingen, interne telemetrie of dreigingsinformatie die CISA nog niet heeft bereikt. Een kwetsbaarheid die wordt uitgebuit tegen uw klanten maar nog niet in KEV staat, triggert Artikel 14(1) toch. De vaststelling op grond van Artikel 14(1) is feitelijk, niet lijstgebaseerd.

CVSS, EPSS en KEV combineren tot een CRA-prioriteringsmatrix

Geen enkel signaal is voldoende. De verdedigbare aanpak is alle drie te combineren en herstel-SLA's te koppelen aan de gecombineerde band. Het onderstaande diagram toont waarom: een CVSS-9,8 zonder waargenomen uitbuiting heeft een lager werkelijk risico dan een CVSS-7 met EPSS 0,95 en een KEV-vermelding, ook al ziet de eerste er slechter uit in een CVSS-alleen-wachtrij.

CVSS- en EPSS-prioriteringsvlak met KEV-overlay Een tweedimensionaal vlak met CVSS op de horizontale as (0 tot 10) en EPSS op de verticale as (0 tot 1). Zes prioriteitszones kleuren het vlak: Noodgeval rechtsbovenin wanneer CVSS 9 of hoger is en EPSS boven 0,5 ligt, Hoog in drie grotere zones (hoge EPSS met middelhoge CVSS, hoge CVSS met middelhoge EPSS, en de rechterbovenste CVSS-plus-EPSS-strook), Middel voor CVSS 4 tot 6,9 met lage EPSS, Laag voor CVSS onder 4. KEV-geregistreerde CVE's worden altijd opgeschaald naar Noodgeval, ongeacht positie. Vier genummerde voorbeeld-CVE's illustreren dat een CVSS-9,8 met EPSS 0,01 in de Hoog-band zit op basis van inherente ernst alleen, terwijl een CVSS-7,5 met EPSS 0,95 plus KEV in de Noodgeval-band zit ondanks een lagere CVSS. Waarom één signaal niet genoeg is: CVSS × EPSS-vlak met KEV-overlay Noodgeval Hoog Hoog Hoog Middel Laag 0 4 7 9 10 CVSS-basisscore (inherente ernst) 0.0 0.5 1.0 EPSS (30-daagse kans op uitbuiting) A B C D Voorbeeld-CVE's hierboven ingetekend A. CVSS 9.8 / EPSS 0.01. Hoog-band op basis van inherente ernst, geen uitbuiting waargenomen. B. CVSS 7.5 / EPSS 0.95 / KEV-geregistreerd (★). Noodgeval: KEV escaleert altijd ongeacht CVSS of EPSS. C. CVSS 5.5 / EPSS 0.7. Hoog door EPSS alleen, middelhoge inherente ernst. D. CVSS 4.0 / EPSS 0.05. Middel.
Tweesignaalprioriterering: CVSS legt inherente ernst vast, EPSS legt waargenomen kans op uitbuiting vast, KEV is de binaire overlay voor actieve uitbuiting. CVE-A (hoge CVSS, bijna-nul EPSS) en CVE-B (middelhoge CVSS, KEV-geregistreerd) zijn in prioriteit omgekeerd ten opzichte van een CVSS-alleen-wachtrij.
Band Signaalcombinatie Herstel-SLA CRA-implicatie
Noodgeval CVSS Kritiek (9,0+) EN (KEV-geregistreerd OF EPSS > 0,5) Dagen, niet weken Artikel 14(1)-meldingskandidaat indien uitbuiting tegen uw product plaatsvindt
Hoog CVSS Hoog (7,0-8,9) OF EPSS > 0,5 30 dagen "Zonder vertraging"-positie is boven 30 dagen in gevaar
Middel CVSS Gemiddeld (4,0-6,9), EPSS < 0,5, niet KEV-geregistreerd 90 dagen Verdedigbaar onder Bijlage I Deel II punt (2) met documentatie
Laag CVSS Laag (< 4,0) Volgende reguliere releasecyclus Documenteer de uitgestelde behandeling in het kwetsbaarheidsafhandelingsrecord

De matrix is het beleid van de fabrikant, geen CRA-verplichting. Door dit op schrift te stellen geeft de fabrikant markttoezichtautoriteiten een gedocumenteerde, herhaalbare basis voor de herstelbesluiten die zij zullen onderzoeken nadat een ernstige kwetsbaarheid openbaar wordt. Autoriteiten zullen "we hebben gepatcht toen we er aan toekwamen" niet accepteren als verweer op grond van Bijlage I Deel II punt (2); zij zullen wel accepteren: "ons beleid indeelt elke CVE bij binnenkomst in een band, deze CVE viel in de Hoog-band, we hebben binnen de 30-daagse SLA opgeleverd, hier zijn de tijdstempels".

Ernst koppelen aan Artikel 14-meldingstriggers

Artikel 14 splitst in twee stromen met dezelfde klokken van 24 uur en 72 uur, maar met verschillende deadlines voor het eindrapport:

  • Actief uitgebuite kwetsbaarheid (Artikel 14(1) en 14(2)). Vroege waarschuwing binnen 24 uur, kwetsbaarheidskennisgeving binnen 72 uur, eindrapport binnen 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is.
  • Ernstig incident (Artikel 14(3) en 14(4)). Vroege waarschuwing binnen 24 uur, incidentkennisgeving binnen 72 uur, eindrapport binnen 1 maand na de kennisgeving van 72 uur.

Geen van beide triggers is een CVSS-drempel. "Actief uitgebuit" is een feitelijke vaststelling: een kwaadwillende actor heeft de kwetsbaarheid gebruikt tegen uw product. Artikel 14(5) definieert een "ernstig incident" als een incident dat "de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies van een product met digitale elementen negatief beïnvloedt of kan beïnvloeden" of dat "heeft geleid of kan leiden tot de introductie of uitvoering van schadelijke code in een product met digitale elementen of in de netwerk- en informatiesystemen van een gebruiker".

CVSS en EPSS ondersteunen de vaststelling. Een CVSS-kritieke kwetsbaarheid met EPSS > 0,9 en een KEV-vermelding suggereert sterk een Artikel 14(1)-situatie zodra u bewijs heeft dat de uitbuiting tegen uw product plaatsvindt. Ze vervangen de vaststelling niet. De 24-uursklok gaat in op het moment dat de fabrikant zich bewust wordt van actieve uitbuiting, niet op het moment dat de CVSS-score een bepaald getal overschrijdt.

Voor de volledige Artikel 14-cadans zie kwetsbaarheidsmelding. Voor het upstream-intakekanaal dat vaak het eerste signaal van uitbuiting levert, zie gecoördineerde openbaarmaking van kwetsbaarheden.

Scoring operationaliseren in uw kwetsbaarheidsproces

Een werkend CRA-conform scoringproces heeft zes concrete componenten:

  1. Verwerk CVSS bij het scannen. Uw SBOM-naar-CVE-pijplijn dient bij elke bevinding bij de eerste detectie CVSS-basisscores te koppelen. Zie SBOM voor de onderliggende koppelingsmechanismen.
  2. Vernieuw EPSS dagelijks. Een nachtelijke taak die open kwetsbaarheden opnieuw scoort, is het minimum.
  3. Houd CISA KEV in de gaten. Abonneer u op de KEV-feed en escaleer automatisch elke open kwetsbaarheid die in de catalogus terechtkomt.
  4. Stel per-band SLA's in uw volgingssysteem in. Banden en deadlines moeten machineleesbaar zijn zodat te late items zichtbaar worden zonder menselijke triage.
  5. Escaleer bij drempeloverschrijdingen. Wanneer EPSS 0,5 overschrijdt voor een open bevinding, wanneer KEV een van uw CVE's toevoegt, of wanneer een klant actieve uitbuiting meldt, verplaatst het item zich automatisch naar de noodgevalsband.
  6. Automatiseer de SBOM-component-naar-CVE-koppeling. Handmatige koppeling breekt bij schaal en is de meest voorkomende bron van gemiste kwetsbaarheden bij auditbevindingen.

Onboarding bij het ENISA Single Reporting Platform is een afzonderlijk maar verwant werkstroom. Zie ENISA SRP-onboarding.

Veelgemaakte fouten

  • CVSS-9 najagen terwijl EPSS-0,95 wordt genegeerd. Een CVSS-7-kwetsbaarheid met EPSS 0,95 en een publieke PoC is een hoger werkelijk risico dan een CVSS-9,8 met EPSS 0,01.
  • Aannemen dat KEV compleet is. KEV is de beste publieke catalogus, maar loopt achter. Actieve uitbuiting tegen uw klanten kan de KEV-vermelding dagenlang of wekenlang voorafgaan.
  • CVSS behandelen als een deadline. Een CVSS-Kritiek betekent niet "patch binnen 24 uur". Het betekent "kijk hier eerst naar". De deadline komt van uw beleid-SLA, de EPSS, de KEV-status en uiteindelijk de norm "zonder vertraging" van Bijlage I Deel II punt (2).
  • EPSS-scores niet vernieuwen. Een kwetsbaarheid die bij binnenkomst EPSS 0,02 scoort en nooit opnieuw wordt gescoord, blijft in uw achterstandswachtrij met lage prioriteit terwijl echte uitbuiting buiten uw blikveld opbouwt.
  • CVSS-omgevingsmodificatoren negeren. Een CVSS-basisscore van 9,8 voor een component die uw product nooit instantieert, is geen 9,8 in uw omgeving. Documenteer de omgevingsscore en de redenering.
  • CVSS of EPSS gebruiken als Artikel 14-trigger. Artikel 14(1) triggert bij feitelijke actieve uitbuiting. Een score is ondersteunend bewijs, niet de vaststelling.

Veelgestelde vragen

Verplicht de CRA het gebruik van CVSS?

Nee. De CRA noemt CVSS noch enig ander scoresysteem. Bijlage I Deel II punt 4 verplicht u "ernst" te communiceren wanneer u een herstelde kwetsbaarheid openbaar maakt, maar schrijft geen schaal voor. CVSS is de industriestandaard en de schaal die het eenvoudigst te verdedigen is in een audit. Een aangepaste of alternatieve schaal die gelijkwaardige operationele resultaten oplevert, is toegestaan mits gedocumenteerd en consistent toegepast.

Is EPSS verplicht onder de CRA?

Nee. EPSS wordt niet vermeld in de verordening. Het helpt de norm "zonder vertraging" van Bijlage I Deel II punt 2 aan te tonen, omdat het laat zien dat de prioritering de werkelijke kans op uitbuiting volgde en niet alleen de inherente ernst. Een fabrikant die de kans op uitbuiting negeert en uitsluitend op CVSS-rang patcht, zal moeite hebben om na het feit een trage hersteloperatie van een bevinding met hoge EPSS te rechtvaardigen.

Hoe beïnvloedt scoring de 24-uursklok van Artikel 14?

Het verandert niet wanneer de klok start. De klok start bij de bewustwording van de fabrikant van actieve uitbuiting, ongeacht CVSS. Scoring helpt bij het triëren van welke binnenkomende signalen de bewustzijnsdrempel bereiken, maar zodra uitbuiting geloofwaardig is vastgesteld, loopt de klok zelfs als de CVSS-score nog niet definitief is.

Mogen we een eigen scoresysteem gebruiken?

Ja, mits u het kunt verdedigen in een audit. Een systeem dat interne dreigingsmodelcontext combineert met externe signalen is acceptabel als het gedocumenteerd is, consistent wordt toegepast, en herstelresultaten oplevert die aansluiten bij de norm "zonder vertraging" van Bijlage I Deel II punt 2. De industriestandaard van CVSS plus EPSS plus KEV is de weg van de minste weerstand, omdat elke markttoezichtautoriteit het zal herkennen.

Bestraft de CRA een verkeerde ernstscore?

De CRA bestraft het falen om kwetsbaarheden effectief af te handelen (Bijlage I Deel II) en het falen om te melden op grond van Artikel 14. Een verdedigbaar scoringsbeleid met gedocumenteerde toepassing is wat de fabrikant beschermt. Een verkeerde individuele score is geen overtreding; een afwezig of inconsistent proces is dat wel.

Moeten we CVSS v3.1 of v4.0 gebruiken?

Beide, waar beschikbaar. CVSS v4.0 werd in november 2023 door FIRST gepubliceerd en verfijnt v3.1 met nauwkeurigere metrische gegevens over aanvalsvereisten en aanvullende metrische gegevens voor veiligheid, automatiseerbaarheid, herstel en waardedichtheid. De adoptie verloopt geleidelijk: de meeste publieke CVE-feeds publiceren nog steeds v3.1, en de ondersteuning van tooling voor v4.0 is ongelijkmatig. Verwerk beide signalen waar de bron ze levert, en behandel de overgang van v3.1 naar v4.0 niet als een herbasering van de achterstand.

Vervolgstappen voor een CRA-verdedigbaar scoringproces

  1. Documenteer uw ernstbeleid: banden, signalen (CVSS, EPSS, KEV), per-band SLA's, escalatieregels.
  2. Koppel CVSS-verwerking aan uw SBOM-naar-CVE-pijplijn bij het scannen. Zie de SBOM-clustergids.
  3. Plan een dagelijkse EPSS-vernieuwingstaak en een CISA KEV-abonnement met automatische escalatie wanneer een gevolgde CVE in de catalogus terechtkomt.
  4. Wijs elke open kwetsbaarheid vandaag nog toe aan een band en wijs eigenaren aan voor elk item dat zijn SLA overschrijdt.
  5. Koppel uw Artikel 14-bewustzijnscriteria aan dezelfde signalen zodat scoring- en meldingsbeslissingen niet uit elkaar kunnen lopen. Zie de Artikel 14-meldingsgids.
  6. Houd een doorlopend register bij van elke ernstbeslissing en het bijbehorende hersteltijdstempel zodat "zonder vertraging" is gedocumenteerd, niet alleen beweerd.