CRA-kwetsbaarheidsafhandeling: CVD, updates, herstel

Gepubliceerd 9 mei 2026 Bijgewerkt 8 juni 2026

Elke CRA-fabrikant heeft voor elk product een levend proces voor kwetsbaarheidsafhandeling nodig: weten wat in het product zit, kwetsbaarheden vinden en herstellen, regelmatig testen, adviezen publiceren, externe meldingen ontvangen en beveiligingsupdates veilig en gratis leveren. Deze pagina legt dat werkmodel uit en waar het overgaat in dringende regelgevende melding.

Samenvatting

  • Kwetsbaarheidsafhandeling is een engineering-werkmodel dat elke CRA-fabrikant nodig heeft voor elk product met digitale elementen.
  • Acht genummerde plichten: identificeren (met SBOM), zonder vertraging herstellen, regelmatig testen, herstelde kwetsbaarheden publiek openbaar maken, een CVD-beleid voeren, kwetsbaarheidsmelding faciliteren, updates veilig distribueren, beveiligingsupdates gratis leveren.
  • Gratis is niet onderhandelbaar: beveiligingsupdates zijn standaard gratis, met een smalle uitzondering voor op maat gemaakte producten voor zakelijke gebruikers.
  • Het CVD-beleid is verplicht, niet optioneel: gecoördineerde openbaarmaking van kwetsbaarheden hoort bij CE-markeringsgereedheid, niet bij vrijwillige best practice.
  • Kwetsbaarheidsafhandeling loopt gedurende de ondersteuningsperiode; het minimum is vijf jaar vanaf het in de handel brengen, tenzij de verwachte gebruiksperiode korter is en is vermeld.
  • Kwetsbaarheidsafhandeling is geen dringende regelgevende melding: afhandeling is het dagelijkse engineeringproces; melding begint alleen bij actief misbruik of ernstige incidenten.
8 plichten
Afhandelingscyclus
identificeren, herstellen, testen, openbaar maken, meldingen ontvangen en veilig updaten
5 jaar
minimale ondersteuningsperiode
korter alleen wanneer de verwachte gebruiksperiode korter is en is vermeld
Gratis
beveiligingsupdates
alleen uitzondering voor op maat gemaakte B2B; geen betaalde beveiligingspatches
actief misbruik
Meldingstrigger
dringende melding start alleen bij misbruik of ernstige incidenten

De vier ankers voor CRA-kwetsbaarheidsafhandeling: reikwijdte, duur, updatekosten en de grens met dringende melding.

De acht plichten voor kwetsbaarheidsafhandeling

De CRA behandelt kwetsbaarheidsafhandeling niet als een eenmalige checklist. Hij verwacht een doorlopende levenscyclus gedurende de ondersteuningsperiode, van componentinventaris tot herstel, openbaarmaking en veilige levering van updates. De tabel groepeert de acht plichten per operationele fase.

FasePuntenWat het dektOperationele focus
Detecteren en catalogiserenIntake en inventaris Punten 1 en 6 Op SBOM gebaseerde identificatie van componenten en bekende kwetsbaarheden, plus een publiek meldkanaal. Componentgegevens actueel houden en externe melders gemakkelijk bij het productsecurityteam laten komen.
Engineeren en herstellenHerstel en testen Punten 2 en 3 Herstel zonder vertraging en effectief regelmatig testen van de codebase en haar afhankelijkheden. Ernst gebruiken om urgentie te bepalen en bewijs bewaren dat fixes en tests op tijd gebeurden.
DistribuerenVeilig updatekanaal Punten 7 en 8 Ondertekende, geauthenticeerde beveiligingsupdates, scheidbaar van functionaliteit en gratis behalve voor op maat gemaakte B2B-producten. Beveiligingsfixes leveren zonder gebruikers naar nieuwe functionaliteit of betaalde onderhoudslagen te dwingen.
Coördineren en openbaar makenCVD en adviezen Punten 4 en 5 Een gehandhaafd CVD-beleid en publieke adviezen zodra een herstel beschikbaar is. Onderzoekersintake, gebruikersbericht en gerechtvaardigde vertragingen vanuit één draaiboek coördineren.
Levenscyclus van kwetsbaarheidsafhandeling en grens met dringende regelgevende melding Een horizontale stroom in vier fasen die de acht CRA-plichten voor kwetsbaarheidsafhandeling toont. Detecteren en catalogiseren voedt Engineeren en herstellen, vervolgens Distribueren, vervolgens Coördineren en openbaar maken. Een gestippelde aftakking vanuit de triage toont waar dringende regelgevende melding parallel start wanneer een kwetsbaarheid actief wordt misbruikt. Levenscyclus kwetsbaarheidsafhandeling: 8 plichten in 4 fasen Afhandeling Detecteren & catalogiseren (1) SBOM + (6) intake Engineeren & herstellen (2) herstel + (3) test Distribueren (7) veilig + (8) gratis Coördineren & openbaar maken (4) advies + (5) CVD indien actief misbruikt Dringende melding parallelle klok 24u vroege waarschuwing ENISA + coördinator 72u kennisgeving via SRP Eindrapport ≤14d na herstel beschikbaar Grens Afhandeling loopt gedurende de ondersteuningsperiode voor elke kwetsbaarheid. Dringende melding start alleen bij actief misbruik of een ernstig incident. Een team kan het proces goed uitvoeren en nooit hoeven melden.
De acht CRA-plichten voor kwetsbaarheidsafhandeling als levenscyclus in vier fasen. Dringende regelgevende melding takt parallel af wanneer de triage actief misbruik vaststelt; de twee stromen komen samen wanneer het herstel en het advies worden uitgebracht.

Wat elke plicht in de praktijk betekent

# Plicht Wat het feitelijk vereist
1 Kwetsbaarheden en componenten identificeren en documenteren Een SBOM in CycloneDX of SPDX, ten minste van de top-niveau-afhankelijkheden. De SBOM is de index die CVE-matching mogelijk maakt: u kunt niet herstellen wat u niet hebt gecatalogiseerd.
2 Zonder vertraging herstellen, los van functionaliteit Geen vaste SLA; de verwachte snelheid schaalt met ernst. Beveiligingsbranches moeten scheidbaar zijn van feature-branches zodat gebruikers een patch niet kunnen uitstellen door een release uit te stellen.
3 Effectief en regelmatig testen Statische analyse, dynamisch testen, afhankelijkheidsscanning tegen kwetsbaarheidsfeeds en penetratietesten. "Regelmatig" moet matchen met het risico en de veranderingsfrequentie van de codebase.
4 Publieke openbaarmaking van herstelde kwetsbaarheden Zodra een herstel uitkomt, beschrijving, getroffen product, impact, ernst en herstel publiceren. Vertraging alleen "in naar behoren gerechtvaardigde gevallen" totdat gebruikers kunnen patchen. CVE plus CSAF is de de facto drager.
5 Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden Een schriftelijk, gehandhaafd CVD-beleid met intakekanaal, reactie-SLA en openbaarmakingsvoorwaarden. ISO/IEC 29147 en 30111 leveren een formeel kader.
6 Externe kwetsbaarheidsmelding faciliteren Een contactadres voor het melden van problemen in het product en zijn componenten van derden. security.txt op grond van RFC 9116 voldoet aan de kanaalvereiste.
7 Veilige updateverspreiding Ondertekende, geauthenticeerde updates, automatisch waar van toepassing. Producten zonder updatekanaal moeten er een bouwen of documenteren waarom automatisering niet van toepassing is. Zie beveiligingsupdates.
8 Gratis, met adviesberichten Beveiligingsupdates moeten zonder vertraging en gratis worden verspreid (enige uitzondering: op maat gemaakte producten voor zakelijke gebruikers waarover partijen anders zijn overeengekomen). Elke update moet een adviesbericht bevatten dat het probleem en de actie die de gebruiker moet ondernemen, beschrijft. Een betaald onderhoudshek of een stille patch zonder advies, schendt punt 8.

Kwetsbaarheidsafhandeling en de ondersteuningsperiode

Kwetsbaarheidsafhandeling loopt gedurende de hele ondersteuningsperiode. Het standaardminimum is vijf jaar vanaf de datum waarop het product op de EU-markt wordt gebracht, tenzij de verwachte gebruiksperiode korter is en is vermeld. De einddatum van de ondersteuningsperiode moet in de productinformatie staan. Zodra die periode eindigt, vervallen de actieve afhandelingsplichten voor die productversie, maar de technische documentatie en conformiteitsverklaring moeten nog 10 jaar vanaf het in de handel brengen of gedurende de ondersteuningsperiode worden bewaard, afhankelijk van welke periode langer is. Zie CRA-ondersteuningsperiode.

Kwetsbaarheidsafhandeling is geen dringende melding

De CRA onderscheidt twee plichten die op verschillende vlakken en voor verschillende doelgroepen werken:

  • Kwetsbaarheidsafhandeling is het engineeringproces: SBOM, herstel, CVD-beleid, publieke openbaarmaking en veilige updates. Het geldt voor alle kwetsbaarheden gedurende de ondersteuningsperiode en zit bij de productsecurityorganisatie van de fabrikant.
  • Dringende regelgevende melding start alleen bij een actief misbruikte kwetsbaarheid of een ernstig incident dat de beveiliging van het product aantast. Het wordt ingediend via het ENISA Single Reporting Platform op een 24u/72u-cadans, plus een eindrapport (14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is voor een actief misbruikte kwetsbaarheid, of één maand na de 72-uurskennisgeving voor een ernstig incident), bij ENISA en de CSIRT die als coördinator is aangewezen. Voor de SRP-onboardingmechaniek, zie ENISA SRP-onboarding.

Een productteam kan een conform kwetsbaarheidsafhandelingsproces draaien zonder ooit een dringende melding in te dienen, omdat de meeste kwetsbaarheden worden hersteld voordat ze actief worden misbruikt. Melding start alleen wanneer herstel actief misbruik of een ernstig incident nog niet heeft ingehaald. Zie CRA-kwetsbaarheidsmelding.

Boeterisico

Gebreken in kwetsbaarheidsafhandeling kunnen serieuze administratieve boetes opleveren, maar de gedetailleerde categorieën horen in de aparte handhavingsgids. Zie CRA-boetes en handhaving voor boeteniveaus, handhavingstriggers en hoe kwetsbaarheidsafhandelingsfouten in het bredere boetemodel passen.

Veelgestelde vragen

Moet de SBOM transitieve afhankelijkheden dekken?

De wettelijke ondergrens is top-niveau-afhankelijkheden, maar een praktisch bruikbare SBOM moet meestal dieper gaan. U kunt een CVE in een transitief component niet zonder vertraging herstellen als u dat component nooit hebt gecatalogiseerd. De meeste toezichthouders en klanten verwachten een diepe SBOM die BSI TR-03183 of vergelijkbare richtsnoeren volgt. Zowel CycloneDX als SPDX kwalificeren als veelgebruikte en machineleesbare formaten. Zie CRA SBOM-vereisten.

Wat betekent "zonder vertraging" in de praktijk voor herstel op grond van punt 2?

De CRA specificeert geen vaste hersteltermijn. "Zonder vertraging" schaalt met het cyberbeveiligingsrisico: een kritieke kwetsbaarheid met actief misbruik in het wild vereist een herstel binnen dagen, terwijl een laag-ernstig probleem op de volgende reguliere cyclus kan wachten. Ernst wordt vastgesteld met CVSS, aangescherpt door EPSS-misbruikwaarschijnlijkheidsdata en bevestigd door bewijs uit de CISA KEV-catalogus wanneer de kwetsbaarheid op de actief-misbruikte-lijst van CISA staat. Zie ernstbeoordeling voor de operationele ladder die markttoezichtsautoriteiten toepassen bij de beoordeling of een fabrikant "zonder vertraging" heeft hersteld.

Mogen beveiligingsupdates onder enige omstandigheid in rekening worden gebracht?

Slechts één uitzondering bestaat: op maat gemaakte producten geleverd aan een zakelijke gebruiker kunnen een betaalde regeling gebruiken wanneer de fabrikant en de zakelijke gebruiker anders zijn overeengekomen. Voor elk ander product, inclusief alle consumentenproducten en standaard B2B-SaaS of -hardware, moeten beveiligingsupdates gratis zijn gedurende de ondersteuningsperiode. Een beveiligingspatch achter een betaalde onderhoudslaag plaatsen, stelt de fabrikant bloot aan de boetes van de bovenste categorie.

Blijven de plichten voor kwetsbaarheidsafhandeling gelden na het einde van de ondersteuning?

Nee. De acht plichten voor kwetsbaarheidsafhandeling vervallen voor die productversie wanneer de ondersteuningsperiode eindigt. Nieuwe kwetsbaarheden die na het einde van de ondersteuning worden gevonden, hoeven niet voor die versie te worden hersteld, mits de fabrikant een duidelijke einddatum van de ondersteuning heeft gepubliceerd zodat gebruikers kunnen migreren. Twee plichten blijven hoe dan ook gelden. De technische documentatie en de EU-conformiteitsverklaring moeten nog 10 jaar vanaf het in de handel brengen of gedurende de ondersteuningsperiode worden bewaard, afhankelijk van welke periode langer is. Melding staat los van afhandeling: als de fabrikant kennis krijgt van een actief misbruikte kwetsbaarheid of een ernstig incident in het product, kan de meldplicht uit artikel 14 nog steeds gelden, want die is niet gekoppeld aan de ondersteuningsperiode. Zie ondersteuningsperiode en openbaarmaking einde ondersteuning.

Wanneer vereist een CVD-intake dringende melding?

De trigger is actief misbruik, niet een private melding of bewijs van uitbuitbaarheid. Een werkend proof-of-concept dat aan een CVD-rapport is toegevoegd, is op zichzelf niet meldplichtig; het wordt meldplichtig wanneer er een redelijk vermoeden bestaat dat een kwaadwillende actor het gebrek tegen een echt doelwit heeft gebruikt. Zodra die drempel is overschreden, start de 24-uurs vroege waarschuwing aan ENISA en de coördinator-CSIRT, gevolgd door de 72-uurskennisgeving en een eindrapport binnen 14 dagen na beschikbaarheid van een corrigerende maatregel. Zie CRA-kwetsbaarheidsmelding.

Waar te beginnen met kwetsbaarheidsafhandeling

  1. Stel een SBOM op die ten minste de top-niveau-afhankelijkheden voor elke productversie dekt, in CycloneDX of SPDX.
  2. Publiceer een CVD-beleid met een `security.txt`-contactadres op grond van RFC 9116 en een gedocumenteerde triageworkflow.
  3. Scheid het beveiligingsupdatekanaal van het feature-releasekanaal zodat fixes kunnen uitkomen, ook wanneer het functionaliteitswerk vertraging oploopt.
  4. Verbind ernstbeslissingen met CVSS plus EPSS plus KEV zodat "zonder vertraging" verdedigbaar is op een bewijsspoor en niet per ticket geïmproviseerd.
  5. Definieer de drempel die een CVD-ticket promoveert tot dringende melding, het bereikbaarheidsrooster en de sjablonen voor 24u, 72u en eindrapport. Zie ENISA SRP-onboarding.
  6. Begrens het hele regime met een gepubliceerde einddatum van de ondersteuningsperiode in de productinformatie.