CRA-kwetsbaarheidsafhandeling: CVD, updates, herstel

Bijlage I deel II van Verordening (EU) 2024/2847 legt acht genummerde plichten vast die elke fabrikant van een product met digitale elementen gedurende de ondersteuningsperiode moet uitvoeren: SBOM-verankerde identificatie, herstel zonder vertraging, regelmatig testen, publieke openbaarmaking van herstelde kwetsbaarheden, een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden, een extern meldkanaal, veilige updateverspreiding en gratis beveiligingsupdates. Deze pagina loopt elke plicht door en laat zien waar de afhandeling op grond van bijlage I eindigt en de melding op grond van artikel 14 begint.

Samenvatting

  • Bijlage I deel II is de technische specificatie voor kwetsbaarheidsafhandeling onder de CRA, van toepassing op elke fabrikant voor elk product met digitale elementen.
  • Acht genummerde plichten: identificeren (met SBOM), zonder vertraging herstellen, regelmatig testen, herstelde kwetsbaarheden publiek openbaar maken, een CVD-beleid voeren, kwetsbaarheidsmelding faciliteren, updates veilig distribueren, beveiligingsupdates gratis leveren.
  • Gratis is niet onderhandelbaar: beveiligingsupdates moeten gratis worden verstrekt op grond van bijlage I deel II punt 8, met als enige uitzondering op maat gemaakte producten voor zakelijke gebruikers.
  • Het CVD-beleid is verplicht, niet optioneel: bijlage I deel II punt 5 maakt gecoördineerde openbaarmaking van kwetsbaarheden een CE-markeringsverplichting, geen best practice.
  • Kwetsbaarheidsafhandeling loopt gedurende de ondersteuningsperiode zoals gedefinieerd in artikel 3(20) en artikel 13(8); het minimum is vijf jaar vanaf het in de handel brengen.
  • Kwetsbaarheidsafhandeling is geen melding op grond van artikel 14: afhandeling is het dagelijkse engineeringproces; melding is de 24u/72u/14d-cadans die alleen wordt getriggerd door actief misbruikte kwetsbaarheden of ernstige incidenten (zie CRA artikel 14-melding).
Bijlage I deel II
8 plichten
letterlijke technische specificatie voor kwetsbaarheidsafhandeling
5 jaar
minimale ondersteuningsperiode
artikel 3(20) en artikel 13(8); productgebruiksperiode indien korter
Gratis
punt 8
alleen uitzondering voor op maat gemaakte B2B; geen betaalde beveiligingspatches
EUR 15M / 2,5%
boete artikel 64(2)
bovenste boetecategorie bij schending van bijlage I, het hoogste bedrag geldt

De vier ankerpunten die CRA-kwetsbaarheidsafhandeling kaderen: reikwijdte, duur, kostenregel en boeteplafond.

De acht plichten van bijlage I deel II

Bijlage I deel II van Verordening (EU) 2024/2847 somt acht genummerde plichten op. Het is geen checklist: het beschrijft een doorlopende levenscyclus die loopt gedurende de ondersteuningsperiode. De groepering hieronder ordent ze op de operationele fase waarin elk loopt.

Detecteren & catalogiseren

Punten 1, 6. Op SBOM gebaseerde identificatie van componenten en bekende kwetsbaarheden, plus een publiek contactkanaal waarmee externe partijen kunnen melden wat uw scanners hebben gemist.

Engineeren & herstellen

Punten 2, 3. Herstel zonder vertraging (op ernst geschaald, geen vaste SLA) en effectief regelmatig testen van de codebase en haar afhankelijkheden.

Distribueren

Punten 7, 8. Veilig updatekanaal (ondertekend, geauthenticeerd, automatisch waar van toepassing), met beveiligingsupdates die scheidbaar zijn van functionaliteit en gratis, behalve voor op maat gemaakte B2B-producten.

Coördineren & openbaar maken

Punten 4, 5. Een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden dat is ingesteld en wordt gehandhaafd, plus publieke adviezen zodra een herstel beschikbaar is, met een smalle uitzondering voor "naar behoren gerechtvaardigde" vertraging.

Levenscyclus van de acht plichten van bijlage I deel II en de grens met artikel 14-melding Een horizontale stroom in vier fasen die de acht plichten van bijlage I deel II toont. Detecteren en catalogiseren (punten 1 en 6) voedt Engineeren en herstellen (punten 2 en 3), vervolgens Distribueren (punten 7 en 8), vervolgens Coördineren en openbaar maken (punten 4 en 5). Een gestippelde aftakking vanuit de triage toont waar artikel 14-melding parallel start wanneer een kwetsbaarheid actief wordt misbruikt. Levenscyclus bijlage I deel II: 8 plichten in 4 fasen Afhandeling Detecteren & catalogiseren (1) SBOM + (6) intake Engineeren & herstellen (2) herstel + (3) test Distribueren (7) veilig + (8) gratis Coördineren & openbaar maken (4) advies + (5) CVD indien actief misbruikt Artikel 14 parallelle klok 24u vroege waarschuwing ENISA + coördinator 72u kennisgeving via SRP Eindrapport ≤14d na herstel beschikbaar Grens De afhandeling op grond van bijlage I deel II loopt gedurende de ondersteuningsperiode voor elke kwetsbaarheid. Artikel 14-melding start alleen bij actief misbruik of een ernstig incident, parallel. Een team kan volledig conform bijlage I zijn en nooit een artikel 14-rapport indienen.
De acht plichten van bijlage I deel II als levenscyclus in vier fasen. Artikel 14-melding takt parallel af wanneer de triage actief misbruik vaststelt; de twee stromen komen samen wanneer het herstel en het advies worden uitgebracht.

Wat elke plicht in de praktijk betekent

# Plicht Wat het feitelijk vereist
1 Kwetsbaarheden en componenten identificeren en documenteren Een SBOM in CycloneDX of SPDX, ten minste van de top-niveau-afhankelijkheden. De SBOM is de index die CVE-matching mogelijk maakt: u kunt niet herstellen wat u niet hebt gecatalogiseerd.
2 Zonder vertraging herstellen, los van functionaliteit Geen vaste SLA; de verwachte snelheid schaalt met ernst. Beveiligingsbranches moeten scheidbaar zijn van feature-branches zodat gebruikers een patch niet kunnen uitstellen door een release uit te stellen.
3 Effectief en regelmatig testen Statische analyse, dynamisch testen, afhankelijkheidsscanning tegen kwetsbaarheidsfeeds en penetratietesten. "Regelmatig" moet matchen met het risico en de veranderingsfrequentie van de codebase.
4 Publieke openbaarmaking van herstelde kwetsbaarheden Zodra een herstel uitkomt, beschrijving, getroffen product, impact, ernst en herstel publiceren. Vertraging alleen "in naar behoren gerechtvaardigde gevallen" totdat gebruikers kunnen patchen. CVE plus CSAF is de de facto drager.
5 Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden Een schriftelijk, gehandhaafd CVD-beleid met intakekanaal, reactie-SLA en openbaarmakingsvoorwaarden. ISO/IEC 29147 en 30111 leveren een formeel kader.
6 Externe kwetsbaarheidsmelding faciliteren Een contactadres voor het melden van problemen in het product en zijn componenten van derden. security.txt op grond van RFC 9116 voldoet aan de kanaalvereiste.
7 Veilige updateverspreiding Ondertekende, geauthenticeerde updates, automatisch waar van toepassing. Producten zonder updatekanaal moeten er een bouwen of documenteren waarom automatisering niet van toepassing is. Zie beveiligingsupdates.
8 Gratis, met adviesberichten Beveiligingsupdates moeten zonder vertraging en gratis worden verspreid (enige uitzondering: op maat gemaakte producten voor zakelijke gebruikers waarover partijen anders zijn overeengekomen). Elke update moet een adviesbericht bevatten dat het probleem en de actie die de gebruiker moet ondernemen, beschrijft. Een betaald onderhoudshek of een stille patch zonder advies, schendt punt 8.

Kwetsbaarheidsafhandeling en de ondersteuningsperiode

De vereisten van bijlage I deel II gelden gedurende de ondersteuningsperiode zoals gedefinieerd in artikel 3(20) en vereist door artikel 13(8). De ondersteuningsperiode bedraagt ten minste vijf jaar vanaf de datum waarop het product op de EU-markt wordt gebracht, of de verwachte productgebruiksperiode indien korter en vermeld. De einddatum van de ondersteuningsperiode moet in de productinformatie op grond van bijlage II zijn opgenomen. Zodra de ondersteuningsperiode eindigt, vervallen de plichten van bijlage I deel II voor die productversie, maar de bewaarplicht voor documentatie op grond van artikel 31 (tien jaar vanaf het in de handel brengen) blijft gelden. Zie CRA-ondersteuningsperiode.

Kwetsbaarheidsafhandeling is geen melding op grond van artikel 14

De CRA onderscheidt twee plichten die op verschillende vlakken en voor verschillende doelgroepen werken:

  • Kwetsbaarheidsafhandeling op grond van bijlage I deel II is het engineeringproces: SBOM, herstel, CVD-beleid, publieke openbaarmaking, veilige updates. Het geldt voor alle kwetsbaarheden, te allen tijde, gedurende de ondersteuningsperiode. Het wordt geleverd via de productveiligheidsorganisatie van de fabrikant.
  • Melding op grond van artikel 14 is de regelgevende notificatie die wordt getriggerd door een actief misbruikte kwetsbaarheid (artikel 3(42)) of een ernstig incident dat de beveiliging van het product aantast. Het wordt ingediend via het ENISA Single Reporting Platform op een 24u/72u/14d-cadans bij ENISA en de CSIRT die als coördinator is aangewezen. Voor de SRP-onboardingmechaniek, zie ENISA SRP-onboarding.

Een productteam kan volledig voldoen aan bijlage I deel II en nooit een artikel 14-rapport indienen, omdat de meeste kwetsbaarheden worden hersteld voordat ze actief worden misbruikt. Artikel 14 wordt alleen getriggerd wanneer het herstel het actieve misbruik nog niet heeft ingehaald. Zie CRA artikel 14-melding.

Boetes bij schending

Niet-naleving van de essentiële vereisten in bijlage I, waaronder kwetsbaarheidsafhandeling op grond van deel II, valt onder de bovenste categorie administratieve boetes in artikel 64(2): tot EUR 15.000.000 of 2,5% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt. De plicht geldt vanaf 11 december 2027 voor producten die vanaf die datum in de handel worden gebracht.

Veelgestelde vragen

Moet de SBOM op grond van bijlage I deel II punt 1 transitieve afhankelijkheden dekken?

De letterlijke tekst vereist "ten minste de top-niveau-afhankelijkheden", de regelgevende ondergrens. Transitieve componenten worden door punt 1 niet voorgeschreven, maar in de praktijk wel door punt 2: u kunt geen "kwetsbaarheden zonder vertraging aanpakken en herstellen" voor een CVE in een transitief component dat u nooit hebt gecatalogiseerd. De meeste toezichthouders en klanten verwachten een diepe SBOM die BSI TR-03183 of vergelijkbare richtsnoeren volgt. Zowel CycloneDX als SPDX kwalificeren als "veelgebruikte en machineleesbare" formaten. Zie CRA SBOM-vereisten.

Wat betekent "zonder vertraging" in de praktijk voor herstel op grond van punt 2?

De CRA specificeert geen vaste hersteltermijn. "Zonder vertraging" schaalt met het cyberbeveiligingsrisico: een kritieke kwetsbaarheid met actief misbruik in het wild vereist een herstel binnen dagen, terwijl een laag-ernstig probleem op de volgende reguliere cyclus kan wachten. Ernst wordt vastgesteld met CVSS, aangescherpt door EPSS-misbruikwaarschijnlijkheidsdata en bevestigd door bewijs uit de CISA KEV-catalogus wanneer de kwetsbaarheid op de actief-misbruikte-lijst van CISA staat. Zie ernstbeoordeling voor de operationele ladder die markttoezichtsautoriteiten toepassen bij de beoordeling of een fabrikant "zonder vertraging" heeft hersteld.

Mogen beveiligingsupdates onder enige omstandigheid in rekening worden gebracht?

Slechts één uitzondering bestaat: bijlage I deel II punt 8 staat een betaalde regeling toe voor op maat gemaakte producten geleverd aan een zakelijke gebruiker waarover de fabrikant en de zakelijke gebruiker anders zijn overeengekomen. Voor elk ander product, inclusief alle consumentenproducten en standaard B2B-SaaS of -hardware, moeten beveiligingsupdates gratis zijn gedurende de ondersteuningsperiode. Een beveiligingspatch achter een betaalde onderhoudslaag plaatsen, is een directe schending van punt 8 en stelt de fabrikant bloot aan de boetes van de bovenste categorie op grond van artikel 64(2).

Blijven de plichten van bijlage I deel II gelden na het einde van de ondersteuningsperiode?

Nee. De acht plichten van bijlage I deel II gelden gedurende de ondersteuningsperiode op grond van artikel 13(8) en vervallen voor die productversie wanneer de ondersteuningsperiode eindigt. Twee plichten overleven de ondersteuningsperiode: de bewaarplicht voor technische documentatie op grond van artikel 31 (tien jaar vanaf het in de handel brengen) en eventuele artikel 14-meldingen die al liepen op het moment dat de periode eindigde. Nieuwe kwetsbaarheden die na het einde van de ondersteuning worden ontdekt, hoeven niet voor die versie te worden hersteld, maar de fabrikant moet een duidelijke einddatum van de ondersteuning hebben gepubliceerd in de productinformatie zodat gebruikers kunnen migreren. Zie ondersteuningsperiode en openbaarmaking einde ondersteuning.

Wanneer wordt een CVD-intake een artikel 14-trigger?

De trigger is "actief misbruikt" op grond van artikel 3(42), niet "gemeld" of "uitbuitbaar". Een werkend proof-of-concept dat aan een CVD-rapport is toegevoegd, is op zichzelf geen artikel 14-trigger; het wordt dat wanneer er een redelijk vermoeden bestaat dat een kwaadwillende actor het gebrek tegen een echt doelwit heeft gebruikt. Zodra die drempel is overschreden, start de 24-uurs vroege waarschuwing aan ENISA en de coördinator-CSIRT, gevolgd door de 72-uurskennisgeving en een eindrapport binnen 14 dagen na beschikbaarheid van een corrigerende maatregel. Zie CRA artikel 14-melding.

Waar te beginnen met bijlage I deel II

  1. Stel een SBOM op die ten minste de top-niveau-afhankelijkheden voor elke productversie dekt, in CycloneDX of SPDX.
  2. Publiceer een CVD-beleid met een `security.txt`-contactadres op grond van RFC 9116 en een gedocumenteerde triageworkflow.
  3. Scheid het beveiligingsupdatekanaal van het feature-releasekanaal zodat aan de punten 2 en 7 kan worden voldaan, ook wanneer het functionaliteitswerk vertraging oploopt.
  4. Verbind ernstbeslissingen met CVSS plus EPSS plus KEV zodat "zonder vertraging" verdedigbaar is op een bewijsspoor en niet per ticket geïmproviseerd.
  5. Definieer de drempel die een CVD-ticket promoveert tot een artikel 14-indiening, het bereikbaarheidsrooster voor de 24-uursklok en de sjablonen voor de 24u-, 72u- en eindrapportindieningen. Zie ENISA SRP-onboarding.
  6. Begrens het hele regime met een gepubliceerde einddatum van de ondersteuningsperiode die in de begeleidende instructies van bijlage II verschijnt.