CRA allvarlighetsgradering: CVSS, EPSS och KEV

Publicerad 8 maj 2026 Uppdaterad 15 juni 2026

EU:s cyberresiliensförordning (förordning (EU) 2024/2847) kräver att tillverkare triagerar sårbarheter, åtgärdar dem i tid och rapporterar aktiv exploatering när de får kännedom om den. Rapporteringsskyldigheten i Artikel 14 gäller från och med 11 september 2026; skyldigheterna avseende sårbarhetshantering, åtgärd och redovisning i Artikel 13 och Bilaga I gäller från och med 11 december 2027. Förordningen namnger inte CVSS, EPSS, KEV eller något annat graderingssystem. Den här sidan täcker vad varje signal mäter, hur de kombineras till en försvarbar prioritering och hur gradering stödjer sårbarhetsrapportering och samordnad sårbarhetsredovisning.

Sammanfattning

  • CRA kräver inte något graderingssystem. Den kräver åtgärd i tid men överlåter den operativa mätningen till tillverkaren.
  • CVSS mäter inneboende allvarlighetsgrad på en skala 0 till 10: sårbarhetens egenskaper oberoende av om exploatering har observerats i praktiken.
  • EPSS mäter exploateringssannolikhet på en skala 0 till 1: sannolikheten för observerad exploatering inom de kommande 30 dagarna, beräknad av FIRST EPSS Special Interest Group.
  • CISA KEV är en binär signal för aktiv exploatering som kan stödja rapporteringsbeslut, även om CRA-utlösaren är bredare än KEV-upptagning.
  • CVSS, EPSS och KEV kombinerade ger en försvarbar prioriteringsmatris; ingen enskild signal är tillräcklig på egen hand.
  • Rapporteringsutlösarna är faktabaserade, inte poängstyrda. Aktiv exploatering och allvarliga incidenter fastställs enligt de rättsliga definitionerna, med gradering som stödbevis.
0-10
CVSS-intervall
inneboende allvarlighetsgrad
0-1
EPSS-sannolikhet
exploateringsrisk inom 30 dagar
24h
SRP tidig varning
aktivt utnyttjad
Sep 2026
Artikel 14 gäller
rapporteringsskyldigheten blir bindande

De fyra signalerna som ramar in CRA:s allvarlighetsbeslut: inneboende allvar, exploateringssannolikhet, rapporteringsklocka och det datum då rapporteringsskyldigheten gäller.

Vad cyberresiliensförordningen säger om gradering

Läs förordningen direkt och du hittar ingen hänvisning till CVSS, EPSS eller något annat namngivet graderingssystem. De operativa skyldigheterna är enklare: tillverkaren behöver en sårbarhetshanteringsprocess som fungerar under hela stödperioden, åtgärdar sårbarheter utan dröjsmål och publicerar tydlig allvarlighetsinformation när en åtgärd finns tillgänglig.

  • Åtgärd. Hantera och åtgärda sårbarheter utan dröjsmål, bland annat genom säkerhetsuppdateringar.
  • Offentlig information. När en säkerhetsuppdatering finns tillgänglig, dela en beskrivning av den åtgärdade sårbarheten, de berörda produkterna, sannolik påverkan, allvarlighetsgrad och tydlig vägledning för åtgärd.

Formuleringarna sätter en standard, inte ett fast antal dagar. De tolkas av marknadskontrollmyndigheter och i slutändan av nationella domstolar.

Gradering är hur tillverkare visar den tolkningen i revisioner och utredningar. En tillverkare som kan visa en dokumenterad allvarlighetspolicy, ett spårningssystem som registrerar CVSS och EPSS vid intag, SLA:er kopplade till allvarlighetsband och åtgärdstidsstämplar som följer dessa SLA:er har en försvarbar "utan dröjsmål"-position. En tillverkare som inte kan det har det inte.

För det bredare sårbarhetshanteringsregimet, se sårbarhetshantering. För rapporteringskadensen under incidentanmälningsregimet, se sårbarhetsrapportering.

CVSS: inneboende allvarlighetsgrad

Common Vulnerability Scoring System, underhållet av FIRST CVSS Special Interest Group, graderar en sårbarhet på en skala 0,0 till 10,0. Det är den dominerande inneboendeallvarlighetsgraden i branschen och den poäng de flesta CVE-poster publicerar.

CVSS v3.1 har tre poängtyper:

PoängtypVad den mäterCRA-användning
GrundpoängSårbarhetens inneboende egenskaper: attackvektor, komplexitet, nödvändiga privilegier, användarinteraktion, scope och påverkan på konfidentialitet, integritet och tillgänglighet.Använd som intagsbaslinje eftersom det är den poäng de flesta CVE-poster publicerar.
TidspoängTidsvarierande offentlig kontext: mognad hos exploateringskod, åtgärdsnivå och rapportförtroende.Använd när den finns, men var inte beroende av den eftersom offentliga CVE-poster sällan fyller i den.
MiljöpoängDin produktkontext: tillgångskritikalitet, kompenserande kontroller, nåbara kodvägar och faktisk driftsättningspåverkan.Använd för att dokumentera varför tillverkaren höjde, sänkte eller sköt upp en åtgärdsprioritet.

CVSS v4.0 publicerades av FIRST den 1 november 2023. Den behåller grupperna Grundpoäng och Miljöpoäng, ersätter v3.1:s Tidspoäng-grupp med en smalare Hot-grupp inriktad på exploateringsmognad, och lägger till en Kompletterande grupp (som omfattar säkerhet, automatiserbarhet, återhämtning och värdedensitet) som registrerar kontext utan att ändra slutpoängen. Adoptionen sker gradvis: många CVE-flöden publicerar fortfarande v3.1 och verktygsstödet för v4.0 är ojämnt. Hämta in båda där de är tillgängliga och behandla inte övergången som en omgradering av eftersläpningen.

CVSS ensamt är otillräckligt. Empirisk forskning visar konsekvent att de flesta sårbarheter som CVSS graderar som "hög" eller "kritisk" aldrig observeras bli utnyttjade. En ren CVSS-driven kö förbrukar ingenjörskapacitet på teoretisk risk medan verklig exploatering förblir oåtgärdad.

EPSS: exploateringssannolikhet

Exploit Prediction Scoring System, också underhållet av FIRST via dess EPSS SIG, förutsäger sannolikheten att exploateringsaktivitet mot ett CVE kommer att observeras inom de kommande 30 dagarna. EPSS publicerar en sannolikhet mellan 0 och 1 samt en percentilrankning mot alla CVE.

EPSS beräknas av en maskininlärningsmodell som hämtar in CVE-attribut (CVSS-mätvärden, CWE, berörd leverantör och produkt, ålder) och offentliga signaler (PoC-tillgänglighet, observerad exploateringsaktivitet från bidragande partners, omnämnanden i hotunderrättelser). Poängen uppdateras dagligen. Ett nytt CVE utan offentlig PoC ger typiskt under 0,05; ett med ett vapniserat PoC kan stiga märkbart, beroende på modellens övriga indata.

EPSS ensamt är också otillräckligt. En låg EPSS idag är ingen garanti för imorgon: när en forskare publicerar en fungerande exploit rör sig poängen. EPSS måste utvärderas löpande, inte bara vid intag.

CISA KEV: bekräftad exploatering

Known Exploited Vulnerabilities-katalogen, underhållen av den amerikanska Cybersecurity and Infrastructure Security Agency, är en lista över sårbarheter med tillförlitliga bevis på aktiv exploatering. Ett CVE är antingen med i katalogen eller inte. CISA lägger till ett CVE när myndigheten har tillförlitliga bevis på att sårbarheten har utnyttjats mot ett verkligt mål.

KEV är en källa från den amerikanska regeringen. EU-tillverkare använder den brett på grund av dess breda verktygsstöd. Sedan 13 maj 2025 driver ENISA även European Vulnerability Database (EUVD), som publicerar exploateringsstatus och en dedikerad vy över utnyttjade sårbarheter. Använd den som en kompletterande EU-prioriteringssignal vid sidan av KEV. Båda är separata från CRA:s gemensamma rapporteringsplattform (Artikel 16), och ingen av dem är i sig själv rapporteringsutlösaren enligt Artikel 14.

För den tidiga varningsutlösaren är KEV-upptagning en stark signal på att en sårbarhet kan vara "aktivt utnyttjad" i förordningens mening. Det är inte den enda signalen: utlösaren är bredare och omfattar varje aktivt utnyttjad sårbarhet, inklusive sådana som upptäcks via kundrapporter, intern telemetri eller hotunderrättelser som ännu inte nått CISA. En sårbarhet som utnyttjas mot dina kunder men ännu inte finns i KEV kan ändå utlösa skyldigheten. Fastställandet är faktabaserat, inte listbaserat, och kräver tillförlitliga bevis på att en illvillig aktör exploaterade sårbarheten utan tillstånd.

Kombinera CVSS, EPSS och KEV till en CRA-prioriteringsmatris

Ingen enskild signal räcker. Det försvarliga tillvägagångssättet är att kombinera alla tre och koppla åtgärdande SLA:er till det kombinerade bandet. Diagrammet nedan visar varför: ett CVSS-9,8 utan observerad exploatering är en lägre verklig risk än ett CVSS-7 med EPSS 0,95 och KEV-upptagning, även om det första ser värre ut i en CVSS-enda kö.

CVSS mot EPSS prioriteringsplan med KEV-överlager Ett tvådimensionellt plan med CVSS på den horisontella axeln (0 till 10) och EPSS på den vertikala axeln (0 till 1). Sex prioritetszoner färgar diagrammet: Akut i det övre högra hörnet när CVSS är 9 eller högre och EPSS är över 0,5, Hög i tre större zoner (hög EPSS med medel-CVSS, hög CVSS med medel-EPSS och det övre högra CVSS-plus-EPSS-bandet), Medel för CVSS 4 till 6,9 med låg EPSS, Låg för CVSS under 4. KEV-listade CVE eskaleras till Akut oavsett position. Fyra numrerade exempel-CVE illustrerar att ett CVSS-9,8 med EPSS 0,01 hamnar i Hög-bandet enbart på grund av inneboende allvarlighetsgrad, medan ett CVSS-7,5 med EPSS 0,95 och KEV hamnar i Akut-bandet trots lägre CVSS. Varför en signal inte räcker: CVSS × EPSS-plan med KEV-överlager Akut Hög Hög Hög Medel Låg 0 4 7 9 10 CVSS Grundpoäng (inneboende allvarlighetsgrad) 0,0 0,5 1,0 EPSS (exploateringsrisk 30 dagar) A B C D Exempel-CVE inplottade ovan A. CVSS 9,8 / EPSS 0,01. Hög-band på grund av inneboende allvarlighetsgrad, ingen exploatering observerad. B. CVSS 7,5 / EPSS 0,95 / KEV-listat (★). Akut: KEV eskalerar alltid oavsett CVSS eller EPSS. C. CVSS 5,5 / EPSS 0,7. Hög enbart på EPSS, medelnivå inneboende allvarlighetsgrad. D. CVSS 4,0 / EPSS 0,05. Medel.
Tvåsignalsprioritering: CVSS fångar inneboende allvarlighetsgrad, EPSS fångar observerad exploateringssannolikhet, KEV är det binära överlägret för aktivt utnyttjad. CVE-A (hög CVSS, nästan noll EPSS) och CVE-B (medel-CVSS, KEV-listat) är inverterade i prioritet jämfört med en CVSS-enda kö.
Band Signalkombination Åtgärds-SLA CRA-implikation
Akut KEV-listad ELLER bekräftad aktiv exploatering ELLER (CVSS Kritisk 9,0+ OCH EPSS > 0,5) Dagar, inte veckor Brådskande rapporteringsgranskning om exploateringen kan röra din produkt
Hög CVSS Hög (7,0-8,9) ELLER EPSS > 0,5 30 dagar "Utan dröjsmål"-positionen är i riskzonen över 30 dagar
Medel CVSS Medel (4,0-6,9), EPSS < 0,5, inte KEV-listad 90 dagar Försvarbar med dokumentation och tidsstämplar
Låg CVSS Låg (< 4,0) Nästa ordinarie releasecykel Dokumentera uppskjutandet i sårbarhetshanteringsposten

Matrisen är tillverkarens policy, inte ett CRA-krav. Att skriva ned den ger en marknadskontrollmyndighet ett dokumenterat, repeterbart underlag för de åtgärdsbeslut den kan komma att granska när en allvarlig sårbarhet blir offentlig. En dokumenterad policy som bandklassificerar varje CVE vid intag, registrerar vilket band detta CVE hamnade i och visar att det levererades inom matchande SLA med tidsstämplar är mycket lättare att försvara än "vi patchade när vi fick tid".

Vår bedömning: en CVSS-enda kö håller på att bli revisionsvarningssignalen

Avsnitten ovan är operationell mekanik. Rutan nedan är vår läsning som praktiker, inte juridisk rådgivning.

Vår bedömning: exploateringsmedveten triage håller på att bli baslinjen, inte det avancerade alternativet

Den nuvarande förordningen namnger inte något graderingssystem, och vi förväntar oss inte att den kommer att göra det. Men riktningen är tydlig. Nu när ENISA:s EUVD publicerar en vy över utnyttjade sårbarheter vid sidan av CISA KEV blir exploateringsmedvetna bevis svårare för myndigheter att bortse från: "vi prioriterade efter CVSS och missade den som faktiskt utnyttjades" är ett svagare svar för varje kvartal som går. Vi förväntar oss att marknadskontrollmyndigheter och CSIRT-enheter läser en EPSS- och KEV-medveten process som golvet för ett kompetent sårbarhetshanteringsregime, inte som ett avancerat alternativ. Bygg för den riktning tillsynen rör sig i, och du graderar för exploateringssannolikhet, inte bara allvarlighetsgrad.

Koppla allvarlighetsgrad till rapporteringsutlösare

Rapportering styrs inte av poäng. Incidentanmälningsregimet delas upp i två strömmar med samma 24-timmars- och 72-timmarsklockor men olika tidsgränser för slutrapport:

  • Aktivt utnyttjad sårbarhet. 24-timmars tidig varning, 72-timmarsanmälan om sårbarhet, slutrapport inom 14 dagar från att en korrigerande eller riskreducerande åtgärd finns tillgänglig.
  • Allvarlig incident. 24-timmars tidig varning, 72-timmars incidentanmälan, slutrapport inom 1 månad från 72-timmarsanmälan.

Ingen utlösare är ett CVSS-tröskelvärde. "Aktivt utnyttjad" är ett faktabaserat fastställande: det finns tillförlitliga bevis på att en illvillig aktör exploaterade sårbarheten utan tillstånd. En allvarlig incident är en som kan påverka produktens förmåga att skydda tillgängligheten, äktheten, integriteten eller konfidentialiteten hos känsliga eller viktiga data eller funktioner, eller som kan leda till att skadlig kod förs in i eller körs i produkten eller i en användares nätverks- och informationssystem.

CVSS och EPSS stödjer fastställandet. En CVSS-kritisk sårbarhet med EPSS > 0,9 och en KEV-upptagning bör utlösa en brådskande rapporteringsgranskning så snart du har bevis för att exploateringen kan röra din produkt. De ersätter inte fastställandet. 24-timmarsklockan börjar löpa när tillverkaren får kännedom om aktiv exploatering, inte när CVSS-poängen passerar något tal.

För den fullständiga rapporteringskadensen, se sårbarhetsrapportering. För den uppströms intagskanal som ofta ger den första exploateringssignalen, se samordnad sårbarhetsredovisning.

Att operationalisera gradering i din sårbarhetsprocess

En fungerande CRA-anpassad graderingsprocess har sex konkreta komponenter:

  1. Hämta in CVSS vid skanntillfället. Din SBOM-till-CVE-pipeline ska koppla CVSS-grundpoäng till varje fynd vid första detektion. Se SBOM för den underliggande kartläggningsmekanismen.
  2. Uppdatera EPSS dagligen. Ett nattjobb som omgraderar öppna sårbarheter är miniminivån.
  3. Bevaka CISA KEV. Prenumerera på KEV-flödet och eskalera automatiskt alla öppna sårbarheter som tas med i katalogen.
  4. Ange per-band SLA:er i ditt spårningssystem. Band och tidsgränser måste vara maskinläsbara så att försenade ärenden syns utan manuell triage.
  5. Eskalera vid tröskelöverskridanden. När EPSS överskrider 0,5 för ett öppet fynd, omklassificera det (Hög, eller Akut om CVSS också är 9,0+). När KEV lägger till ett av dina CVE, eller en kund rapporterar aktiv exploatering, flyttas ärendet automatiskt till akutbandet.
  6. Automatisera SBOM-komponent-till-CVE-kartläggningen. Manuell kartläggning går sönder i skala och är den vanligaste källan till missade sårbarheter i revisionsfynd.

Registrering hos ENISA:s gemensamma rapporteringsplattform är ett separat men besläktat arbetsflöde. Se ENISA SRP-onboarding.

Vanliga fallgropar

  • Jaga CVSS-9 samtidigt som du ignorerar EPSS-0,95. En CVSS-7-sårbarhet med EPSS 0,95 och ett offentligt PoC är en högre verklig risk än ett CVSS-9,8 med EPSS 0,01.
  • Anta att KEV är komplett. KEV är den bästa offentliga katalogen men den ligger efter. Aktiv exploatering mot dina kunder kan föregå KEV-upptagning med dagar eller veckor.
  • Behandla CVSS som en deadline. Ett CVSS Kritisk innebär inte "patcha inom 24 timmar". Det innebär "titta på detta först". Deadlinen kommer från din policy-SLA, EPSS, KEV-statusen och ytterst den förväntade standarden för åtgärd utan dröjsmål.
  • Underlåta att uppdatera EPSS-poäng. En sårbarhet graderad EPSS 0,02 vid intag och aldrig omgraderad hamnar kvar i din låg-prioritetskö medan verklig exploatering byggs upp utanför din synvinkel.
  • Ignorera CVSS Miljömodifierare. En CVSS-grundpoäng på 9,8 mot en komponent din produkt aldrig instansierar är inte 9,8 i din miljö. Dokumentera miljöpoängen och motiveringen.
  • Använda CVSS eller EPSS som rapporteringsutlösare. Rapporteringsskyldigheten styrs av faktisk aktiv exploatering. En poäng är stödbevis, inte fastställandet.

Vanliga frågor

Kräver CRA att vi använder CVSS?

Nej. CRA namnger inte CVSS eller något annat graderingssystem. Offentliggörandeskyldigheten kräver att du kommunicerar "allvarlighetsgrad" när du offentliggör en åtgärdad sårbarhet, men specificerar inte skalan. CVSS är branschstandard och den skala som är lättast att försvara i revision. En anpassad eller alternativ skala kan fungera om den är dokumenterad och tillämpas konsekvent.

Är EPSS obligatoriskt enligt CRA?

Nej. EPSS nämns inte i förordningen. Det hjälper till att demonstrera "utan dröjsmål"-standarden eftersom det visar att prioriteringen spårade verklig exploateringssannolikhet, inte bara inneboende allvarlighetsgrad. En tillverkare som ignorerar exploateringssannolikhet och enbart patchas efter CVSS-rankning kommer att ha svårt att rättfärdiga långsamt åtgärdande av ett högt EPSS-fynd i efterhand.

Hur påverkar gradering 24-timmarsklockan?

Det förändrar inte när klockan börjar. Klockan börjar vid tillverkarens kännedom om aktiv exploatering, oavsett CVSS. Gradering hjälper till att triagera vilka inkommande signaler som når kännedomströskeln, men när exploateringen är trovärdigt fastställd löper klockan även om CVSS-poängen ännu inte är slutgiltig.

Kan vi använda ett eget graderingssystem?

Ja, förutsatt att du kan försvara det i revision. Ett system som kombinerar intern hotmodellskontext med externa signaler är acceptabelt om det är dokumenterat, tillämpas konsekvent och ger åtgärdsresultat som stämmer överens med "utan dröjsmål"-standarden. Branschstandarden CVSS plus EPSS plus KEV är minsta motståndets väg eftersom den är allmänt erkänd.

Straffar CRA en felaktig allvarlighetspoäng?

Inte direkt. Riskerna rör underlåtenhet att uppfylla kraven på sårbarhetshantering eller underlåtenhet att rapportera aktiv exploatering. En enstaka felaktig poäng är inte automatiskt en överträdelse, men en frånvarande eller inkonsekvent graderingsprocess kan bli bevis på att sårbarhetshanteringen inte var effektiv.

Ska vi använda CVSS v3.1 eller v4.0?

Båda, där de är tillgängliga. CVSS v4.0 publicerades av FIRST den 1 november 2023. Den behåller Grundpoäng och Miljöpoäng, ersätter Tidspoäng-gruppen med en smalare Hot-grupp inriktad på exploateringsmognad, och lägger till en Kompletterande grupp (som omfattar säkerhet, automatiserbarhet, återhämtning och värdedensitet) som registrerar kontext utan att ändra poängen. Adoptionen sker gradvis: många offentliga CVE-flöden publicerar fortfarande v3.1 och verktygsstödet för v4.0 är ojämnt. Hämta in båda signalerna där källan tillhandahåller dem och behandla inte övergången från v3.1 till v4.0 som en omgradering av eftersläpningen.

När börjar dessa rapporteringsskyldigheter gälla?

Artikel 14, som innehåller de rapporteringsskyldigheter som beskrivs på den här sidan, gäller från och med 11 september 2026. CRA:s skyldigheter avseende sårbarhetshantering, åtgärd och redovisning i Artikel 13 och Bilaga I gäller från och med 11 december 2027, och merparten av förordningen gäller från det senare datumet. Bygg upp gradering och rapporteringsberedskap nu så att det är operativt innan september 2026.

Vad räknas som "fick kännedom om" för 24-timmarsklockan?

24-timmars tidig varningsklockan börjar löpa när tillverkaren får kännedom om en aktivt utnyttjad sårbarhet. Det innebär trovärdig kunskap om att en illvillig aktör har utnyttjat sårbarheten mot ett verkligt mål, inte enbart en privat sårbarhetsrapport eller ett fungerande proof-of-concept. Ett CVSS- eller EPSS-poängvärde startar inte klockan; det faktabaserade fastställandet av aktiv exploatering gör det.

Hur ska vi använda ENISA EUVD vid sidan av CISA KEV?

Sedan 13 maj 2025 driver ENISA European Vulnerability Database (EUVD), som publicerar exploateringsstatus och en dedikerad vy över utnyttjade sårbarheter. Använd den som en prioriteringssignal vid sidan av CISA KEV. Ingen av katalogerna är rapporteringsutlösaren enligt Artikel 14, och båda är separata från CRA:s gemensamma rapporteringsplattform enligt Artikel 16.

Påverkar VEX CRA:s allvarlighetsgradering eller rapportering?

Nej. Ett VEX-dokument (Vulnerability Exploitability eXchange) ändrar inte rapporteringsutlösaren eller den inneboende allvarlighetsgraden för en sårbarhet. Det är ett maskinläsbart sätt att registrera om din produkt faktiskt berörs av en känd sårbarhet (berörd, inte berörd, under utredning eller åtgärdad) vid sidan av ditt SBOM. Det gör det till ett starkt stödbevis för en miljöbaserad nedgradering eller ett dokumenterat uppskjutande.

Ska vi använda SSVC istället för en CVSS-matris?

Det kan du. SSVC (Stakeholder-Specific Vulnerability Categorization), publicerat av CISA med Carnegie Mellons SEI, är ett beslutsträdsalternativ som når ett åtgärdsbeslut (Track, Track*, Attend, Act) utifrån indata som exploateringsstatus, exponering och uppdragsrelevans. CRA kräver det inte. Det är ett erkänt och försvarbart ramverk om du föredrar ett beslutsträd framför CVSS-plus-EPSS-plus-KEV-matrisen på den här sidan.

Nästa steg för en CRA-försvarbar graderingsprocess

  1. Dokumentera din allvarlighetspolicy: band, signaler (CVSS, EPSS, KEV), per-band SLA:er, eskaleringsregler.
  2. Koppla in CVSS-intagningen i din SBOM-till-CVE-pipeline vid skanntillfället. Se SBOM-klusterguiden.
  3. Schemalägg ett dagligt EPSS-uppdateringsjobb och en CISA KEV-prenumeration med automatisk eskalering när ett spårat CVE tas med i katalogen.
  4. Kartlägg alla öppna sårbarheter till ett band idag och tilldela ägare för alla ärenden som överskridit sitt SLA.
  5. Definiera rapporteringsgranskningar med samma signaler. Se guiden för sårbarhetsrapportering.
  6. Håll ett löpande register över varje allvarlighetsbeslut och dess åtgärdstidsstämpel så att "utan dröjsmål" är dokumenterat, inte bara påstått.