CRA Gecoördineerde openbaarmaking (CVD)

Bijlage I Deel II punt 5 van de EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) verplicht elke fabrikant een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD) op te stellen en te handhaven. Artikel 13(17) vereist bovendien een enkel, voor mensen bereikbaar contactpunt voor kwetsbaarheidsrapporten. Er is geen omvangsdrempel. Deze pagina behandelt wat het beleid moet bevatten, hoe u het contactkanaal publiceert en hoe CVD zich verhoudt tot Artikel 14-melding en het bredere Bijlage I Deel II-kader.

Samenvatting

  • CVD-beleid is verplicht op grond van Bijlage I Deel II punt 5: schriftelijk, gepubliceerd, gehandhaafd, zonder drempel op basis van bedrijfsomvang.
  • Artikel 13(17) vereist een enkel contactpunt voor gebruikers om kwetsbaarheden te melden; het kanaal mag niet beperkt zijn tot geautomatiseerde hulpmiddelen.
  • security.txt (RFC 9116) is de de facto conventie voor het publiceren van het contactpunt, maar de CRA schrijft geen specifiek formaat voor.
  • CVD is geen Artikel 14-melding: CVD regelt uw relatie met melders; Artikel 14 is de regelgevende klok richting ENISA en de coördinator-CSIRT zodra een kwetsbaarheid actief wordt uitgebuit.
  • Publieke openbaarmaking van herstelde kwetsbaarheden is verplicht op grond van Bijlage I Deel II punt 4, met een beperkte uitzonderingsmogelijkheid voor vertraging wanneer het beveiligingsrisico van publicatie zwaarder weegt dan het voordeel, totdat gebruikers de mogelijkheid hebben gehad om te patchen.
  • Boetes van de hoogste categorie zijn van toepassing: tot €15.000.000 of 2,5% van de totale wereldwijde jaaromzet op grond van Artikel 64(2), het hoogste bedrag geldt.
Bijlage I Deel II
Punt 5
CVD-beleidsverplichting, letterlijke plicht om "in te stellen en te handhaven"
Art. 13(17)
Enkel contactpunt
voor ontvangst van kwetsbaarheidsrapporten; niet beperkt tot geautomatiseerde hulpmiddelen
security.txt
RFC 9116
de facto conventie voor publicatie van het contactkanaal
€15M / 2.5%
Boete Artikel 64(2)
hoogste boete bij schending van Bijlage I of Artikel 13/14, het hoogste bedrag geldt

De vier ankerpunten van een CRA-conforme CVD-positie: de beleidsplicht, de contactplicht, de publicatieconventie en het boeteplafond.

Wat de CRA daadwerkelijk vereist voor CVD

Bijlage I Deel II punt 5 is kort. Letterlijk uit Verordening (EU) 2024/2847:

(5) een beleid op het gebied van gecoördineerde openbaarmaking van kwetsbaarheden instellen en handhaven;

Die ene zin omvat vier operationele componenten, elk met een eigen faalwijze in de praktijk:

Instellen

Betekent dat er een schriftelijk, toegankelijk beleid bestaat. Een ongedocumenteerde interne gewoonte van het triëren van security@-e-mails kwalificeert niet als beleid.

Handhaven

Houdt in dat het beleid wordt uitgevoerd, niet slechts gepubliceerd. Bevestigingstijdlijnen, triageverbintenissen en openbaarmakingsvoorwaarden die in het document staan, moeten in de praktijk worden nagekomen. Een beleid dat een bevestiging binnen 72 uur belooft maar routinematig drie weken duurt, wordt niet gehandhaafd.

Melden faciliteren

Is de impliciete richting die het beleid moet dienen. Bijlage I Deel II punt 6 maakt dit expliciet: fabrikanten moeten "het delen van informatie over potentiële kwetsbaarheden faciliteren", "onder meer door een contactadres te verstrekken".

Melders niet bestraffen

Niet in de CRA-tekst. Overweging 76 beschrijft CVD als een gestructureerd meldingsproces en noemt bug-bountyprogramma's als prikkel voor meldingen. De praktijk in de sector (ISO/IEC 29147, ENISA-richtsnoer) behandelt safe harbour voor te goeder trouw handelende onderzoekers als CVD-beleidsnorm; het CRA codificeert dit niet.

Voor het bredere Bijlage I Deel II-kader (de acht genummerde plichten waarvan CVD er één is) zie CRA-kwetsbaarheidsafhandeling.

Het enkelvoudige contactpunt (Artikel 13(17))

Artikel 13(17) staat naast Bijlage I Deel II punt 5 en geeft dit punt operationele vorm. Letterlijk:

  1. Voor de toepassing van deze verordening wijzen fabrikanten een enkel contactpunt aan zodat gebruikers rechtstreeks en snel contact met hen kunnen opnemen, ook om de melding van kwetsbaarheden van het product met digitale elementen te faciliteren.

Fabrikanten zorgen ervoor dat het enkelvoudige contactpunt gemakkelijk te identificeren is voor de gebruikers. Zij vermelden het enkelvoudige contactpunt ook in de informatie en gebruiksaanwijzingen voor de gebruiker als bedoeld in Bijlage II.

Het enkelvoudige contactpunt stelt gebruikers in staat hun voorkeurscommunicatiemiddel te kiezen en mag dergelijke middelen niet beperken tot geautomatiseerde hulpmiddelen.

Drie regels om te internaliseren:

  1. Gemakkelijk te identificeren. Het contactpunt moet zichtbaar zijn in de productinformatie, in de begeleidende instructies van Bijlage II en op de openbare website. Een contactpunt dat alleen te vinden is door het privacybeleid te lezen, voldoet hier niet aan.
  2. Meerdere kanalen. "Voorkeurscommunicatiemiddel kiezen" betekent ten minste twee. Een werkende security@-mailbox plus een webformulier, met een PGP-sleutel beschikbaar voor gevoelige meldingen, is de realistische basislijn.
  3. Geen uitsluitend geautomatiseerde intake. "Mag dergelijke middelen niet beperken tot geautomatiseerde hulpmiddelen" sluit een situatie uit waarbij het enige bereikbare adres security-noreply@ of een chatbot is die tickets sluit zonder menselijke beoordeling.

De CRA vereist geen scheiding tussen consumentenondersteuning en kwetsbaarheidsintake, maar de meeste fabrikanten exploiteren een speciale beveiligingsinbox die wordt gerouteerd naar het productveiligheidsteam, zodat CVD gescheiden blijft van algemene ondersteuning.

Uw CVD-beleid publiceren: security.txt en meer

De CRA noemt security.txt, RFC 9116, noch enig specifiek publicatieformaat. Zij vereist een contactkanaal dat "gemakkelijk te identificeren" is en een CVD-beleid dat "is ingesteld en wordt gehandhaafd". Binnen die beperkingen heeft de sector security.txt als de facto conventie omarmd.

RFC 9116-velden die het publiceren waard zijn:

Veld Doel
Contact: Een of meer meldingskanalen. Minimaal één is vereist.
Expires: Datum waarna het bestand verouderd is. Vereist door RFC 9116.
Encryption: Publieke sleutel (PGP, S/MIME) voor vertrouwelijke rapporten.
Acknowledgments: Pagina waarop onderzoekers worden gecrediteerd voor eerdere openbaarmakingen.
Policy: Koppeling naar het volledige CVD-beleidsdocument.
Preferred-Languages: Talen waarin uw triageteam werkt.
Canonical: URL waar het bestand wordt verwacht.

Waar het te hosten. De gebruikelijke locatie is https://example.com/.well-known/security.txt, geserveerd via HTTPS. RFC 9116 aanvaardt ook https://example.com/security.txt als terugvaloptie, maar well-known heeft de voorkeur.

Meer dan security.txt. De standaard "gemakkelijk te identificeren" betekent dat het contactpunt ook moet staan op de productondersteunings- of contactpagina, in de begeleidende instructies van Bijlage II, in de ontwikkelaarsdocumentatie voor API-producten en op een openbare CVD-beleidspagina waarnaar onderzoekers kunnen verwijzen.

Fabrikanten die bug-bountyprogramma's uitvoeren, voegen HackerOne, Bugcrowd of Intigriti gewoonlijk toe als aanvullende intakekanalen. Deze voldoen aan de plicht om melden te faciliteren (Bijlage I Deel II punt 6) en de plicht om niet te beperken tot geautomatiseerde hulpmiddelen (Artikel 13(17)) alleen als zij openstaan voor externe melders met menselijke reactie. Een privé, uitnodiging-vereist bounty voldoet op zichzelf niet aan de vereiste voor een publiek contactpunt en moet naast een publiek kanaal bestaan.

Kwetsbaarheidsrapporten ontvangen en triëren

Een CVD-beleid wordt gehandhaafd via een gedocumenteerde intake- en triageworkflow. De onderstaande mechanismen zijn niet voorgeschreven door de CRA, maar zo ziet een handhaafbaar beleid er in de praktijk uit.

Fase Wat een handhaafbaar beleid doet Veelvoorkomende fout
Bevestiging Ontvangst bevestigen binnen de gepubliceerde SLA. Sectorbasislijn is 72 uur; veel beleidsregels verbinden zich tot 24 of 48 uur voor rapporten van hoge ernst. Wat u publiceert, doet u ook. "Wij reageren zo snel mogelijk" is op het eerste gezicht onhandhaafbaar.
Triage Valideer (reproduceerbaar op een ondersteunde versie), beoordeel ernst (CVSS v3.1 of v4.0 met omgevingsaanpassingen, zie ernstbeoordeling), beoordeel uitbuitbaarheid (bekende exploit, publieke PoC of bewijs in het wild, wat de drempel is voor Artikel 14) en baken af op getroffen versies via de SBOM. Sluiten als "niet reproduceerbaar" zonder het geteste versiebereik te noemen.
Relatie met de melder Publiceer drie zaken: een safe-harbourbepaling voor te goeder trouw uitgevoerd onderzoek binnen de scope; buiten-scope-items (productiedata, social engineering, denial-of-service tegen live-infrastructuur); en openbaarmakingsverwachtingen (embargo-venster, herstelvoorwaarden, naamsvermelding). Typisch embargo: tot de patch uitkomt, harde stoplijn van 90 dagen. Het voorbehoud maken het recht te hebben om juridische stappen te ondernemen tegen onderzoek binnen de scope, waardoor het kanaal instort.
De cirkel sluiten Elk rapport krijgt een eindreactie: hersteld (met advies en CVE), duplicaat, wordt niet hersteld (met redenering) of buiten scope. Eenmalig bevestigen en daarna zwijgen; de meest voorkomende reden waarom CVD-beleid van buiten niet gehandhaafd lijkt.

Coördinatie met ENISA en externe onderzoekers

CVD-intake en Artikel 14-melding aan ENISA zijn verschillende verplichtingen met verschillende doelgroepen. Het CVD-beleid regelt uw relatie met de melder. Artikel 14 regelt uw regelgevende melding aan ENISA en de coördinator-CSIRT. Ze lopen parallel en worden anders getriggerd.

CVD-levenscyclus met de parallelle Artikel 14 ENISA-klok Een horizontale stroom die het CVD-pad toont van onderzoeksrapport tot gecoördineerde publieke openbaarmaking (intake op grond van Artikel 13(17), triage, herstel, publiek advies op grond van Bijlage I Deel II punt 4). Wanneer tijdens de triage bewijs van actieve uitbuiting verschijnt, start een parallelle Artikel 14 ENISA-klok: vroege waarschuwing van 24 uur, kennisgeving van 72 uur, eindrapport binnen 14 dagen na beschikbaarheid van een corrigerende maatregel. CVD-levenscyclus en de parallelle Artikel 14 ENISA-klok CVD-pad Rapport intake Art. 13(17) + AnxI II(5) Bevestigen ≤72h basislijn Triage geldigheid + scope Herstel ontwikkelen embargo-venster Publiek advies AnxI II(4) + CVE indien actief uitgebuit stromen komen samen Artikel 14 parallelle klok 24u waarschuwing ENISA + CSIRT 72u kennisgeving via SRP Eindrapport ≤14d na herstel beschikbaar Triggers CVD: elk inkomend rapport. Artikel 14: redelijk vermoeden van actieve uitbuiting tegen een echt doelwit (niet alleen een werkende PoC). Ernstige-incidentenstroom gebruikt 24u / 72u / 1 maand op grond van Artikel 14(3) en (4).
CVD loopt van onderzoeksintake tot een publiek advies op grond van Bijlage I Deel II punt 4. Wanneer de triage een redelijk vermoeden van actieve uitbuiting vindt, start de Artikel 14 ENISA-klok parallel en komen de twee stromen samen wanneer het herstel en het advies worden uitgebracht.

Wanneer een CVD-rapport een Artikel 14-trigger wordt. Artikel 14(1) verplicht fabrikanten "elke actief uitgebuite kwetsbaarheid" te melden via het SRP. Artikel 14(2) stelt de cadans vast: vroege waarschuwing binnen 24 uur, kennisgeving binnen 72 uur en een eindrapport binnen 14 dagen na beschikbaarheid van een corrigerende maatregel. De trigger is "actief uitgebuit", niet "gemeld". Een CVD-intake met een werkend proof-of-concept is op zichzelf geen Artikel 14-trigger; het wordt dat pas wanneer er een redelijk vermoeden bestaat dat een kwaadwillende actor het gebrek tegen een echt doelwit heeft gebruikt. Voor ernstige incidenten op grond van Artikel 14(3) en 14(4) is de cadans 24 uur, 72 uur en vervolgens een eindrapport binnen een maand na de 72-uurskennisgeving. De twee stromen delen de vroege fasen en lopen uiteen bij de eindrapportage. Vat ze niet samen in een enkelvoudige "24u/72u/14d"-formulering. Zie CRA Artikel 14-melding.

ENISA en als coördinators aangewezen CSIRTs. Artikel 14(7) vereist indiening via het SRP via het elektronische eindpunt van de CSIRT die als coördinator is aangewezen in de lidstaat van de hoofdvestiging van de fabrikant. Overweging 76 verankert het bredere kader: fabrikanten kunnen rapporten rechtstreeks ontvangen of via een op grond van Artikel 12(1) van Richtlijn (EU) 2022/2555 (NIS2) als coördinator aangewezen CSIRT. Voor SRP-onboardingmechanismen zie ENISA SRP-onboarding.

Coördinatie met onderzoekers. Wanneer een onderzoeker een embargo aanbiedt terwijl u een herstel uitrolt, documenteer het overeengekomen venster en kom het na. Wanneer de onderzoeker weigert of vroegtijdig publiceert, moet uw CVD-beleid aangeven hoe u reageert: doorgaans door het advies en de patch te versnellen.

Timing van publieke openbaarmaking

Publieke openbaarmaking van een herstelde kwetsbaarheid is niet optioneel onder de CRA. Bijlage I Deel II punt 4 vereist dat fabrikanten, "zodra een beveiligingsupdate beschikbaar is gesteld", "informatie over herstelde kwetsbaarheden delen en publiekelijk bekendmaken, met inbegrip van een beschrijving van de kwetsbaarheden, informatie aan de hand waarvan gebruikers het product met digitale elementen kunnen identificeren dat is getroffen, de gevolgen van de kwetsbaarheden, hun ernst en duidelijke en toegankelijke informatie die gebruikers helpt de kwetsbaarheden te verhelpen". Hetzelfde punt staat een vertraging toe "in naar behoren gerechtvaardigde gevallen, wanneer fabrikanten van oordeel zijn dat de beveiligingsrisico's van publicatie zwaarder wegen dan de beveiligingsvoordelen", maar alleen "totdat gebruikers de mogelijkheid hebben gekregen om de relevante patch toe te passen".

Embargo-vensters. De de facto industriestandaard is 90 dagen van melding tot publieke openbaarmaking, gemeten vanaf de datum waarop de fabrikant voor het eerst werd geïnformeerd. Project Zero, CERT/CC en de meeste nationale CSIRTs hanteren dat ankerpunt of liggen er dichtbij. Voor actief uitgebuite kwetsbaarheden krimpt het venster doorgaans tot dagen, omdat Artikel 14(2)(c) een eindrapport vereist binnen 14 dagen na beschikbaarheid van een corrigerende maatregel.

Formaat van publieke openbaarmaking. Een CRA-conform advies moet minimaal bevatten: een CVE-ID, een duidelijke beschrijving, het getroffen product en versiebereik, ernst (CVSS-basisscore), impact, herstel en naamsvermelding wanneer de melder daarmee heeft ingestemd. CSAF (Common Security Advisory Framework) is de machineleesbare drager die de meeste nationale CSIRTs en de kwetsbaarheidsdatabase van ENISA verwachten.

De "naar behoren gerechtvaardigde" vertraging in punt 4 is beperkt. Zij staat toe publieke details achter te houden totdat gebruikers kunnen patchen; zij staat geen stille herstelacties toe die nooit worden gepubliceerd. Een fabrikant die een patch uitbrengt maar nooit beschrijft wat er mee werd hersteld, handelt in strijd met punt 4, ongeacht de intentie.

Veelgemaakte fouten

Fout Waarom het de CRA schendt
Juridische dreigingen aan onderzoekers te goeder trouw Doorbreekt "een beleid op het gebied van gecoördineerde openbaarmaking van kwetsbaarheden handhaven" (Bijlage I Deel II punt 5) en ontmoedigt het intakekanaal dat punt 6 vereist.
Geen publiek contactkanaal, alleen een intern portaallogin Schendt Artikel 13(17) "gemakkelijk te identificeren" en Bijlage I Deel II punt 6 "het verstrekken van een contactadres".
security-noreply@ autoresponder zonder menselijke triage Artikel 13(17) verbiedt het beperken van communicatie tot geautomatiseerde hulpmiddelen.
Ontvangst bevestigen en daarna nooit meer reageren Het beleid is "ingesteld" maar niet "gehandhaafd". Bijlage I Deel II punt 5 vereist beide.
Rapporten sluiten als "wordt niet hersteld" zonder redenering Extern niet te onderscheiden van het negeren van het rapport; onderzoekers escaleren door te publiceren.
Beveiligingsfixes bundelen in functiereleases die gebruikers uitstellen Schendt Bijlage I Deel II punt 2: beveiligingsupdates moeten scheidbaar zijn van functionaliteitsupdates "voor zover technisch haalbaar".
Stilzwijgend patchen zonder advies Schendt de publieke-openbaarmakingsplicht van Bijlage I Deel II punt 4.
CVD-intake behandelen als de Artikel 14 ENISA-indiening Verschillende doelgroepen, verschillende verplichtingen. CVD ontslaat niet van Artikel 14, en Artikel 14 ontslaat niet van CVD.

Veelgestelde vragen

Hebben kleine fabrikanten een CVD-beleid nodig op grond van de CRA?

Ja. De CVD-beleidsplicht kent geen omvangsdrempel. Hij geldt voor elke fabrikant die een product met digitale elementen op de EU-markt brengt, ongeacht het aantal werknemers of de omzet. Micro-ondernemingen en kleine ondernemingen genieten een beperkte boete-ontheffing op de 24-uurstermijnen van Artikel 14 op grond van Artikel 64(10)(a), die zowel Artikel 14(2)(a) voor actief uitgebuite kwetsbaarheden als Artikel 14(4)(a) voor ernstige incidenten dekt. De ontheffing raakt alleen die boetes, niet de onderliggende verplichting, en strekt niet uit tot middelgrote ondernemingen. (Bijlage I Deel II punt 5; Artikel 64(10)(a); Artikel 3(19).)

Is `security.txt` verplicht op grond van de CRA?

Nee. De CRA noemt security.txt noch RFC 9116. Zij verplicht een "gemakkelijk te identificeren" enkel contactpunt en een contactadres voor het melden van kwetsbaarheden. security.txt is de de facto conventie om aan die plichten te voldoen, omdat het is wat geautomatiseerde scanners en de meeste onderzoekers als eerste controleren, maar een contactpunt dat prominent op een openbare beveiligingspagina en in de instructies van Bijlage II staat, is ook conform. De harde vereiste is een gepubliceerd, werkend, voor mensen bereikbaar kanaal; het formaat is een keuze. (Artikel 13(17); Bijlage I Deel II punt 6; RFC 9116.)

Kan de CVD-intake hetzelfde kanaal zijn als de ENISA Artikel 14-indiening?

Nee. Het zijn verschillende doelgroepen en verschillende verplichtingen. CVD-intake is het kanaal waarlangs externe onderzoekers en gebruikers kwetsbaarheden aan de fabrikant melden. De Artikel 14-indiening is de regelgevende melding van de fabrikant aan ENISA en de coördinator-CSIRT, ingediend via het ENISA Single Reporting Platform. Een onderzoeker dient niet in bij het SRP; de fabrikant doet dat. Het samenvoegen van beide leidt tot het niet bevestigen van een onderzoeker (CVD-schending) of het niet melden aan ENISA wanneer uitbuiting wordt bevestigd (boetes van de hoogste categorie). (Artikel 14(1) en 14(7); Artikel 16; Artikel 64(2).)

Wat gebeurt er wanneer een externe onderzoeker een actief uitgebuite kwetsbaarheid meldt?

Twee klokken starten tegelijkertijd. Het CVD-proces regelt de relatie met de onderzoeker: ontvangst bevestigen, triëren, een embargo overeenkomen, een herstel uitbrengen, een advies publiceren, de melder crediteren. Het Artikel 14-proces regelt de relatie met de toezichthouder: een vroege waarschuwing van 24 uur aan ENISA en de coördinator-CSIRT, een kennisgeving van 72 uur en een eindrapport binnen 14 dagen na beschikbaarheid van een corrigerende maatregel. De 24-uursklok start op het moment dat de fabrikant ervan overtuigd raakt dat uitbuiting actief is, wat kan zijn op het moment dat het bewijs van de onderzoeker die conclusie geloofwaardig maakt. Wachten op forensische zekerheid zal de deadline doen missen. De twee processen lopen parallel en eindigen op verschillende plekken. (Artikel 14(1) en 14(2); Bijlage I Deel II punt 5.)

Moet het CVD-beleid een juridische safe harbour bieden aan onderzoekers?

Nee, het CRA vereist geen expliciete safe-harbourclausule. Overweging 76 beschrijft CVD als een gestructureerd meldingsproces en noemt bug-bountyprogramma's als prikkel voor meldingen; het codificeert geen safe harbour of vermindering van juridisch risico voor onderzoekers. De norm komt uit de praktijk in de sector: ISO/IEC 29147, het ENISA-richtsnoer en de meeste nationale CSIRT-aanbevelingen convergeren op een schriftelijke safe-harbourclausule voor te goeder trouw handelende onderzoekers binnen de gepubliceerde scope. Een beleid dat het recht voorbehoudt juridische stappen te ondernemen tegen onderzoek binnen de scope laat het kanaal instorten en faalt op de "handhaven"-helft van Bijlage I Deel II punt 5. (Overweging 76; ISO/IEC 29147; ENISA-richtsnoer over CVD.)

Wat u als volgende doet

  1. Publiceer een CVD-beleidspagina met scope, contactkanalen, reactieverbintenissen, openbaarmakingstijdlijn, safe harbour en buiten-scope-items. Koppel aan productondersteuning en Bijlage II.
  2. Implementeer security.txt op /.well-known/security.txt via HTTPS met de velden Contact, Expires, Encryption en Policy ingevuld. Vernieuw Expires voor het verstrijkt.
  3. Richt een security@-inbox in met menselijke triage, gerouteerd naar het productveiligheidsteam, en documenteer de bevestigings-SLA die u van plan bent na te komen.
  4. Koppel intake aan uw SBOM zodat een gemeld component of CVE direct vertaalt naar getroffen producten en versies zonder giswerk.
  5. Leg het Artikel 14-escalatiepad vast: criteria voor promotie van een CVD-ticket naar het SRP, bereikbaarheidsdienst voor de 24-uursklok en sjablonen voor de drie meldstappen.
  6. Voer het uit. De auditievraag is "laat me de laatste zes rapporten zien en wat u daarmee heeft gedaan", niet "heeft u een CVD-beleid".