Samordnat sårbarhetavslöjande under CRA: Policymall och installation

CRA kräver att tillverkare implementerar samordnat sårbarhetavslöjande. Det är inte valfritt; det är en rättslig skyldighet. Men många organisationer saknar CVD-policy eller har en som inte uppfyller regulatoriska förväntningar.

Den här guiden ger allt du behöver: policymallar, kommunikationsramverk för forskare och tidslinjeguider.

Vad CRA kräver

Bilaga I, Del II i CRA kräver att tillverkare:

"inför och genomdriver en policy för samordnat sårbarhetavslöjande"

Det innebär:

• Att ha en policy: Skriftlig, publicerad, tillgänglig
• Att implementera den: Faktiskt följa policyn när rapporter anländer
• Att genomdriva den: Konsekvent tillämpning över alla produkter

Viktiga policykomponenter

1. Tillämpningsområde

Vilka produkter och tjänster täcks?

2. Kontaktmetoder

Obligatoriska kanaler:

• E-postadress (security@company.com)
• Webbformulär (föredras, med strukturerat intag)
• security.txt-fil som pekar på kontaktmetoder

3. Svarsåtaganden

4. Tidslinje för avslöjande

Branschstandard: 90 dagar från rapport till offentligt avslöjande

Din policy bör specificera:

• Standardfönster för avslöjande (t.ex. 90 dagar)
• Villkor för förlängning (komplexa fixes, samordnad multi-leverantör)
• Villkor för tidigt avslöjande (aktiv exploatering, leverantör svarar inte)
• Forskarens rätt att avslöja om du inte svarar

5. Rättslig fri hamn

EXEMPEL PÅ FRI HAMN:
[Företagsnamn] kommer inte att väcka rättsliga åtgärder mot
forskare som:
- Gör goda trosansträngningar att följa denna policy
- Undviker integritetskränkningar, dataförstörelse och
  tjänsteavbrott
- Inte exploaterar sårbarheter utöver nödvändig demonstration
- Rapporterar fynd omedelbart och ger rimlig åtgärdstid
- Inte offentliggör före samordnad tidslinje

Komplett CVD-policymall

# [Företagsnamn] Policy för sårbarhetavslöjande

## Introduktion

[Företagsnamn] värnar om säkerheten i våra produkter och
säkerheten för våra kunder. Vi välkomnar ansvarsfull avslöjande
av sårbarheter.

## Tillämpningsområde

Denna policy gäller:
- Alla produkter tillverkade av [Företagsnamn]
- Programvara och firmware i våra produkter
- Webbegenskaper på *.company.com
- Mobilapplikationer publicerade av [Företagsnamn]

## Hur man rapporterar

**Föredragen metod:** Skicka via vårt säkra formulär på:
https://company.com/security/report

**Alternativ:** E-posta security@company.com

## Våra åtaganden

| Tidslinje | Åtgärd |
|-----------|--------|
| 3 arbetsdagar | Bekräftelse av din rapport |
| 10 arbetsdagar | Inledande bedömning och allvarlighetsgrad |
| Var 14:e dag | Statusuppdatering till lösning |
| 90 dagar | Målsatt lösning för de flesta sårbarheter |

## Samordnat avslöjande

Vi följer en 90-dagars avslöjandetidslinje.

## Fri hamn

Vi kommer inte att väcka rättsliga åtgärder mot forskare som
agerar i god tro och följer denna policy.

## Utanför tillämpningsområdet

Följande är utanför tillämpningsområdet:
- Social engineering av anställda eller kunder
- Fysiska attacker mot vår anläggning
- Denial of service-attacker
- Fynd från automatiserade skannrar utan demonstrerad påverkan
- Problem i tredjepartstjänster
- Tidigare rapporterade sårbarheter

Hantering av vanliga scenarier

Scenario 4: Aktiv exploatering upptäckt

Situation: Under utredningen upptäcker du att sårbarheten exploateras aktivt.

Svar:

1. Utlös ENISA-rapportering (24-timmars krav)
2. Informera forskaren om situationsförändringen
3. Påskynda åtgärder
4. Överväg tidigt samordnat avslöjande
5. Förbered kundnotifiering

Integrering av CVD med ENISA-rapportering

FORSKARRAPPORT ANLÄNDER
         │
         ▼
    TRIAGE & BEDÖM
         │
         ├── Ingen aktiv exploatering ──→ Standard CVD-process
         │                                (90-dagars tidslinje)
         │
         └── Aktiv exploatering ──→ UTLÖS ENISA-RAPPORTERING
              detekterad                    │
                                           ▼
                                   24h Tidig varning
                                           │
                                           ▼
                                   72h Detaljerad rapport
                                           │
                                           ▼
                                   Påskyndad CVD
                                   (samordna med ENISA)

CVD-policychecklista

CVD-POLICYCHECKLISTA FÖR FULLSTÄNDIGHET

TILLÄMPNINGSOMRÅDE:
[ ] Täckta produkter listade
[ ] Poster utanför tillämpningsområdet definierade

KONTAKT:
[ ] E-postadress angiven
[ ] Webbformulär tillgängligt
[ ] security.txt distribuerad
[ ] Svarskanaler övervakade

TIDSLINJE:
[ ] Tidslinje för bekräftelse angiven
[ ] Tidslinje för bedömning angiven
[ ] Lösningsmål angivet
[ ] Tidslinje för avslöjande angiven

RÄTTSLIGT:
[ ] Uttalande om fri hamn inkluderat
[ ] Täckta aktiviteter definierade

PROCESS:
[ ] Intern triage dokumenterad
[ ] Eskaleringsväggar definierad
[ ] Mallsvar klara
[ ] ENISA-integration planerad

Viktigt: En policy för samordnat sårbarhetavslöjande (CVD) är obligatorisk under CRA. Du måste publicera den och göra den lätt tillgänglig (helst via security.txt).

Tips: Åta dig specifika svarstider i din CVD-policy: bekräfta inom 3 dagar, inledande bedömning inom 10 dagar, lösningsmål inom 90 dagar.

Hur CRA Evidence hjälper

CRA Evidence inkluderar CVD-arbetsflödsstöd:

• Rapportintag-spårning: Logga och spåra forskarrapporter
• Tidslinjehantering: Automatisk SLA-spårning
• ENISA-integration: Utlös rapportering när exploatering detekteras
• Dokumentation: Revisionslogg för regulatorisk efterlevnad

Etablera din CVD-process med craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.