CRA allvarlighetsgradering: CVSS, EPSS och KEV

EU:s cyberresilienslag (förordning (EU) 2024/2847) kräver att tillverkare åtgärdar sårbarheter "utan dröjsmål" (Bilaga I Del II led 2) och rapporterar aktivt utnyttjade sådana inom 24 timmar (Artikel 14(1)), men namnger inget graderingssystem. CVSS, EPSS och CISA KEV-katalogen är de branschverktyg som används för att uppfylla dessa skyldigheter. Den här sidan täcker vad respektive mäter, hur de kombineras till en försvarbar prioritering och hur graderingen kopplar till Artikel 14-rapportering och samordnad sårbarhetsredovisning.

Sammanfattning

  • CRA kräver inte något graderingssystem. Bilaga I Del II led 2 kräver åtgärd "utan dröjsmål" men överlåter den operativa mätningen till tillverkaren.
  • CVSS mäter inneboende allvarlighetsgrad på en skala 0 till 10: sårbarhetens egenskaper oberoende av om exploatering har observerats i vilt.
  • EPSS mäter exploateringssannolikhet på en skala 0 till 1: sannolikheten för observerad exploatering inom de kommande 30 dagarna, beräknad av FIRST EPSS Special Interest Group.
  • CISA KEV är den binära signalen "aktivt utnyttjad" som mest direkt informerar beslut om Artikel 14(1)-rapportering, även om Artikel 14(1) är bredare än KEV-upptagning.
  • CVSS, EPSS och KEV kombinerade ger en försvarbar prioriteringsmatris; ingen enskild signal är tillräcklig på egen hand.
  • Artikel 14-rapporteringsutlösarna är faktabaserade, inte poängstyrda. Aktiv exploatering och allvarlig incident fastställs enligt de rättsliga definitionerna, med gradering som stödbevis.
0-10
CVSS-intervall
inneboende allvarlighetsgrad
0-1
EPSS-sannolikhet
exploateringsrisk inom 30 dagar
24h
Artikel 14 SRP tidig varning
aktivt utnyttjad
€15M / 2.5%
Böter enligt Artikel 64
det högre beloppet gäller

De fyra talen som ramar in CRA:s allvarlighetsbeslut: inneboende allvarlighetsgrad, exploateringssannolikhet, rapporteringsklockan och bötestaken.

Vad cyberresilienslagen säger om gradering

Läs förordningen direkt och du hittar ingen hänvisning till CVSS, EPSS eller något annat namngivet graderingssystem. Det relevanta operativa språket finns i Bilaga I Del II, som listar de sårbarshetshanteringskrav varje tillverkare måste uppfylla under hela stödperioden:

  • Led 2 kräver att tillverkare "åtgärdar och avhjälper sårbarheter utan dröjsmål, bland annat genom att tillhandahålla säkerhetsuppdateringar".
  • Led 4 kräver att tillverkare, när en säkerhetsuppdatering blivit tillgänglig, delar information om den åtgärdade sårbarheten, "inklusive en beskrivning av sårbarheterna, information som gör det möjligt för användare att identifiera den berörda produkten med digitala element, sårbarheternas påverkan, deras allvarlighetsgrad och tydlig och tillgänglig information som hjälper användare att åtgärda sårbarheterna".

Artikel 13(8) placerar dessa skyldigheter under en "hanteras effektivt"-förpliktelse under hela stödperioden. Frasen "utan dröjsmål" i Bilaga I Del II led 2 och "utan onödigt dröjsmål" i Artikel 14 sätter den tidsmässiga standarden. Ingen av fraserna är ett fastställt antal dagar. Båda är föremål för tolkning av marknadskontrollmyndigheter och i slutändan av nationella domstolar.

Gradering är hur tillverkare demonstrerar den tolkningen i revisioner och utredningar. En tillverkare som kan visa en dokumenterad allvarlighetspolicy, ett spårningssystem som registrerar CVSS och EPSS vid intag, ett SLA kopplat till allvarlighetsband och åtgärdstidsstämplar som respekterar dessa SLA:er har en försvarbar "utan dröjsmål"-position. En tillverkare som inte kan det har det inte.

För det bredare Bilaga I Del II-hanteringsregimet, se sårbarshetshantering. För Artikel 14-rapporteringskadenerna, se sårbarshetsrapportering.

CVSS: inneboende allvarlighetsgrad

Common Vulnerability Scoring System, underhållet av FIRST CVSS Special Interest Group, graderar en sårbarhet på en skala 0,0 till 10,0. Det är den dominerande inneboendeallvarlighetsgraden i branschen och den poäng de flesta CVE-poster publicerar.

CVSS har tre poängtyper:

Grundpoäng

Fångar sårbarhetens egenskaper som inte förändras över tid eller i olika driftsmiljöer: attackvektor, komplexitet, nödvändiga privilegier, användarinteraktion, scope och påverkan på konfidentialitet, integritet och tillgänglighet. Det är vad de flesta CVE-poster publicerar och vad folk menar med "CVSS-poängen".

Tidspoäng

Justerar grundpoängen för tidsberoende faktorer: mognad hos exploateringskod, åtgärdsnivå, rapportförtroende. Sällan ifyllt i offentliga CVE-poster.

Miljöpoäng

Justerar grundpoängen för din driftsmiljö: tillgångskritikalitet, kompenserande kontroller, verklig påverkan i din miljö. Det är den poäng en tillverkare bör beräkna för sin egen produkt.

CVSS v4.0 publicerades av FIRST i november 2023. Den förfinar v3.1 med mer detaljerade attackkravsmätvärden och kompletterande mätvärden för säkerhet, automatiserbarhet, återhämtning och värdedensitet. Adoptionen sker gradvis: de flesta CVE-flöden publicerar fortfarande v3.1 och verktygsstödet för v4.0 är ojämnt. Hämta in båda där de är tillgängliga och behandla inte övergången som en omgradering av eftersläpningen.

CVSS ensamt är otillräckligt. Empirisk forskning visar konsekvent att de flesta sårbarheter som CVSS graderar som "hög" eller "kritisk" aldrig observeras bli utnyttjade. En ren CVSS-driven kö förbrukar ingenjörskapacitet på teoretisk risk medan verklig exploatering förblir oåtgärdad.

EPSS: exploateringssannolikhet

Exploit Prediction Scoring System, också underhållet av FIRST via dess EPSS SIG, förutsäger sannolikheten att ett CVE utnyttjas i vilt inom de kommande 30 dagarna. EPSS publicerar en sannolikhet mellan 0 och 1 samt en percentilrankning mot alla CVE.

EPSS beräknas av en maskininlärningsmodell som hämtar in CVE-attribut (CVSS-mätvärden, CWE, berörd leverantör och produkt, ålder) och offentliga signaler (PoC-tillgänglighet, exploateringstelemetri från bidragande partners, omnämnanden i hotunderrättelser). Poängen uppdateras dagligen. Ett nytt CVE utan offentlig PoC ger typiskt under 0,05; ett med ett vapniserat PoC kan stiga över 0,5 inom dagar.

EPSS ensamt är också otillräckligt. En låg EPSS idag är ingen garanti för imorgon: när en forskare publicerar en fungerande exploit rör sig poängen. EPSS måste utvärderas löpande, inte bara vid intag.

CISA KEV: bekräftad exploatering

Known Exploited Vulnerabilities-katalogen, underhållen av den amerikanska Cybersecurity and Infrastructure Security Agency, är en binär lista för "utnyttjas detta för tillfället". Ett CVE är antingen med i katalogen eller inte. CISA lägger till ett CVE när myndigheten har tillförlitliga bevis på aktiv exploatering mot ett verkligt mål.

KEV är en källa från den amerikanska regeringen, men det är den mest auktoritativa offentliga katalogen över bekräftad exploatering som finns tillgänglig för försvarare utanför underrättelsegemenskapen. EU-tillverkare använder den brett eftersom ingen likvärdig ENISA-katalog finns idag.

För Artikel 14(1)-ändamål är KEV-upptagning en stark signal på att en sårbarhet är "aktivt utnyttjad" i förordningens mening. Det är inte den enda signalen: Artikel 14(1) är bredare och utlöses av varje aktivt utnyttjad sårbarhet, inklusive sådana som detekterats via kundrapporter, intern telemetri eller hotunderrättelser som ännu inte nått CISA. En sårbarhet som utnyttjas mot dina kunder men ännu inte finns i KEV utlöser ändå Artikel 14(1). Fastställandet enligt Artikel 14(1) är faktabaserat, inte listbaserat.

Kombinera CVSS, EPSS och KEV till en CRA-prioriteringsmatris

Ingen enskild signal räcker. Det försvarliga tillvägagångssättet är att kombinera alla tre och koppla åtgärdande SLA:er till det kombinerade bandet. Diagrammet nedan visar varför: ett CVSS-9,8 utan observerad exploatering är en lägre verklig risk än ett CVSS-7 med EPSS 0,95 och KEV-upptagning, även om det första ser värre ut i en CVSS-enda kö.

CVSS mot EPSS prioriteringsplan med KEV-överlager Ett tvådimensionellt plan med CVSS på den horisontella axeln (0 till 10) och EPSS på den vertikala axeln (0 till 1). Sex prioritetszoner färgar diagrammet: Akut i det övre högra hörnet när CVSS är 9 eller högre och EPSS är över 0,5, Hög i tre större zoner (hög EPSS med medel-CVSS, hög CVSS med medel-EPSS och det övre högra CVSS-plus-EPSS-bandet), Medel för CVSS 4 till 6,9 med låg EPSS, Låg för CVSS under 4. KEV-listade CVE eskaleras till Akut oavsett position. Fyra numrerade exempel-CVE illustrerar att ett CVSS-9,8 med EPSS 0,01 hamnar i Hög-bandet enbart på grund av inneboende allvarlighetsgrad, medan ett CVSS-7,5 med EPSS 0,95 och KEV hamnar i Akut-bandet trots lägre CVSS. Varför en signal inte räcker: CVSS × EPSS-plan med KEV-överlager Akut Hög Hög Hög Medel Låg 0 4 7 9 10 CVSS Grundpoäng (inneboende allvarlighetsgrad) 0,0 0,5 1,0 EPSS (exploateringsrisk 30 dagar) A B C D Exempel-CVE inplottade ovan A. CVSS 9,8 / EPSS 0,01. Hög-band på grund av inneboende allvarlighetsgrad, ingen exploatering observerad. B. CVSS 7,5 / EPSS 0,95 / KEV-listat (★). Akut: KEV eskalerar alltid oavsett CVSS eller EPSS. C. CVSS 5,5 / EPSS 0,7. Hög enbart på EPSS, medelnivå inneboende allvarlighetsgrad. D. CVSS 4,0 / EPSS 0,05. Medel.
Tvåsignalsprioritering: CVSS fångar inneboende allvarlighetsgrad, EPSS fångar observerad exploateringssannolikhet, KEV är det binära överlägret för aktivt utnyttjad. CVE-A (hög CVSS, nästan noll EPSS) och CVE-B (medel-CVSS, KEV-listat) är inverterade i prioritet jämfört med en CVSS-enda kö.
Band Signalkombination Åtgärds-SLA CRA-implikation
Akut CVSS Kritisk (9,0+) OCH (KEV-listat ELLER EPSS > 0,5) Dagar, inte veckor Artikel 14(1)-rapporteringskandidat om exploateringen riktar sig mot din produkt
Hög CVSS Hög (7,0-8,9) ELLER EPSS > 0,5 30 dagar "Utan dröjsmål"-positionen är i riskzonen över 30 dagar
Medel CVSS Medel (4,0-6,9), EPSS < 0,5, inte KEV-listad 90 dagar Försvarbar under Bilaga I Del II led 2 med dokumentation
Låg CVSS Låg (< 4,0) Nästa ordinarie releasecykel Dokumentera uppskjutandet i sårbarshetshanteringsposten

Matrisen är tillverkarens policy, inte ett CRA-krav. Att skriva ned den ger marknadskontrollmyndigheter ett dokumenterat, repeterbart underlag för de åtgärdsbeslut de kommer att granska när en allvarlig sårbarhet blir offentlig. Myndigheter accepterar inte "vi patchade när vi fick tid" som ett försvar enligt Bilaga I Del II led 2; de accepterar "vår policy bandklassificerar varje CVE vid intag, detta CVE hamnade i Hög-bandet, vi levererade inom 30-dagars-SLA:t, här är tidsstämplarna".

Kartläggning av allvarlighetsgrad till Artikel 14-rapporteringsutlösare

Artikel 14 delar upp i två strömmar med samma 24-timmarsklocka och 72-timmarsklocka men olika tidsgränser för slutrapport:

  • Aktivt utnyttjad sårbarhet (Artikel 14(1) och 14(2)). 24-timmars tidig varning, 72-timmarsanmälan om sårbarhet, slutrapport inom 14 dagar från att en korrigerande eller mildrande åtgärd finns tillgänglig.
  • Allvarlig incident (Artikel 14(3) och 14(4)). 24-timmars tidig varning, 72-timmarsanmälan om incident, slutrapport inom 1 månad från 72-timmarsanmälan.

Ingen utlösare är ett CVSS-tröskelvärde. "Aktivt utnyttjad" är ett faktabaserat fastställande: en illvillig aktör har använt sårbarheten mot din produkt. Artikel 14(5) definierar en "allvarlig incident" som en som "negativt påverkar eller kan negativt påverka förmågan hos en produkt med digitala element att skydda tillgängligheten, äktheten, integriteten eller konfidentialiteten hos känsliga eller viktiga data eller funktioner" eller som "har lett till eller kan leda till introduktion eller exekvering av skadlig kod i en produkt med digitala element eller i nätverks- och informationssystemen hos en användare".

CVSS och EPSS stödjer fastställandet. Ett CVSS-Kritisk-sårbarhet med EPSS > 0,9 och en KEV-upptagning antyder starkt Artikel 14(1)-territorium när du har bevis för att exploateringen riktar sig mot din produkt. De ersätter inte fastställandet. 24-timmarsklockan börjar löpa det ögonblick tillverkaren får kännedom om aktiv exploatering, inte det ögonblick CVSS-poängen passerar något tal.

För den fullständiga Artikel 14-kadensen, se sårbarshetsrapportering. För den uppströms intagskanal som ofta ger den första signalen om exploatering, se samordnad sårbarhetsredovisning.

Att operationalisera gradering i din sårbarshetsprocess

En fungerande CRA-anpassad graderingsprocess har sex konkreta komponenter:

  1. Hämta in CVSS vid skanntillfället. Din SBOM-till-CVE-pipeline ska koppla CVSS-grundpoäng till varje fynd vid första detektion. Se SBOM för den underliggande kartläggningsmekansimen.
  2. Uppdatera EPSS dagligen. Ett nattjobb som omgraderar öppna sårbarheter är miniminivån.
  3. Bevaka CISA KEV. Prenumerera på KEV-flödet och eskalera automatiskt alla öppna sårbarheter som tas med i katalogen.
  4. Ange per-band SLA:er i ditt spårningssystem. Band och tidsgränser måste vara maskinläsbara så att försenade ärenden syns utan manuell triage.
  5. Eskalera vid tröskelöverskridanden. När EPSS överskrider 0,5 för ett öppet fynd, när KEV lägger till ett av dina CVE, eller när en kund rapporterar aktiv exploatering, flyttas ärendet automatiskt till akutbandet.
  6. Automatisera SBOM-komponent-till-CVE-kartläggningen. Manuell kartläggning går sönder i skala och är den vanligaste källan till missade sårbarheter i revisionsfynd.

Registrering hos ENISA:s enda rapporteringsplattform är ett separat men besläktat arbetsflöde. Se ENISA SRP-onboarding.

Vanliga fallgropar

  • Jaga CVSS-9 samtidigt som du ignorerar EPSS-0,95. En CVSS-7-sårbarhet med EPSS 0,95 och ett offentligt PoC är en högre verklig risk än ett CVSS-9,8 med EPSS 0,01.
  • Anta att KEV är komplett. KEV är den bästa offentliga katalogen men den ligger efter. Aktiv exploatering mot dina kunder kan föregå KEV-upptagning med dagar eller veckor.
  • Behandla CVSS som en deadline. Ett CVSS Kritisk innebär inte "patcha inom 24 timmar". Det innebär "titta på detta först". Deadlinen kommer från din policy-SLA, EPSS, KEV-statusen och ytterst standarden "utan dröjsmål" i Bilaga I Del II led 2.
  • Underlåta att uppdatera EPSS-poäng. En sårbarhet graderad EPSS 0,02 vid intag och aldrig omgraderad hamnar kvar i din låg-prioritetskö medan verklig exploatering byggs upp utanför din synvinkel.
  • Ignorera CVSS Miljömodifierare. En CVSS-grundpoäng på 9,8 mot en komponent din produkt aldrig instansierar är inte 9,8 i din miljö. Dokumentera miljöpoängen och motiveringen.
  • Använda CVSS eller EPSS som Artikel 14-utlösare. Artikel 14(1) utlöses av faktisk aktiv exploatering. En poäng är stödbevis, inte fastställandet.

Vanliga frågor

Kräver CRA att vi använder CVSS?

Nej. CRA namnger inte CVSS eller något annat graderingssystem. Bilaga I Del II led 4 kräver att du kommunicerar "allvarlighetsgrad" när du offentliggör en åtgärdad sårbarhet, men specificerar inte skalan. CVSS är branschstandard och den skala som är lättast att försvara i revision. En anpassad eller alternativ skala som ger likvärdiga operativa utfall är tillåten om den är dokumenterad och tillämpas konsekvent.

Är EPSS obligatoriskt enligt CRA?

Nej. EPSS nämns inte i förordningen. Det hjälper till att demonstrera "utan dröjsmål"-standarden i Bilaga I Del II led 2 eftersom det visar att prioriteringen spårade verklig exploateringssannolikhet, inte bara inneboende allvarlighetsgrad. En tillverkare som ignorerar exploateringssannolikhet och enbart patchas efter CVSS-rankning kommer att ha svårt att rättfärdiga långsamt åtgärdande av ett högt EPSS-fynd i efterhand.

Hur påverkar gradering Artikel 14:s 24-timmarsklocka?

Det förändrar inte när klockan börjar. Klockan börjar vid tillverkarens kännedom om aktiv exploatering, oavsett CVSS. Gradering hjälper till att triagera vilka inkommande signaler som når kännedomströskeln, men när exploateringen är trovärdigt fastställd löper klockan även om CVSS-poängen ännu inte är slutgiltig.

Kan vi använda ett eget graderingssystem?

Ja, förutsatt att du kan försvara det i revision. Ett system som kombinerar intern hotmodellskontext med externa signaler är acceptabelt om det är dokumenterat, tillämpas konsekvent och ger åtgärdsresultat som stämmer överens med "utan dröjsmål"-standarden i Bilaga I Del II led 2. Branschstandarden CVSS plus EPSS plus KEV är minsta motståndets väg eftersom varje marknadskontrollmyndighet kommer att känna igen den.

Straffar CRA en felaktig allvarlighetspoäng?

CRA straffar underlåtenhet att hantera sårbarheter effektivt (Bilaga I Del II) och underlåtenhet att rapportera enligt Artikel 14. En försvarbar graderingspolicy med dokumenterad tillämpning är det som skyddar tillverkaren. En enskild felaktig poäng är ingen överträdelse; en frånvarande eller inkonsekvent process är det.

Ska vi använda CVSS v3.1 eller v4.0?

Båda, där de är tillgängliga. CVSS v4.0 publicerades av FIRST i november 2023 och förfinar v3.1 med mer detaljerade attackkravsmätvärden och kompletterande mätvärden för säkerhet, automatiserbarhet, återhämtning och värdedensitet. Adoptionen sker gradvis: de flesta offentliga CVE-flöden publicerar fortfarande v3.1 och verktygsstödet för v4.0 är ojämnt. Hämta in båda signalerna där källan tillhandahåller dem och behandla inte övergången från v3.1 till v4.0 som en omgradering av eftersläpningen.

Nästa steg för en CRA-försvarbar graderingsprocess

  1. Dokumentera din allvarlighetspolicy: band, signaler (CVSS, EPSS, KEV), per-band SLA:er, eskaleringsregler.
  2. Koppla in CVSS-intagningen i din SBOM-till-CVE-pipeline vid skanntillfället. Se SBOM-klusterguiden.
  3. Schemalägg ett dagligt EPSS-uppdateringsjobb och en CISA KEV-prenumeration med automatisk eskalering när ett spårat CVE tas med i katalogen.
  4. Kartlägg alla öppna sårbarheter till ett band idag och tilldela ägare för alla ärenden som överskridit sitt SLA.
  5. Koppla dina Artikel 14-kännedomskriterier till samma signaler så att graderingsbeslut och rapporteringsbeslut inte kan glida isär. Se Artikel 14-rapporteringsguiden.
  6. Håll ett löpande register över varje allvarlighetsbeslut och dess åtgärdstidsstämpel så att "utan dröjsmål" är dokumenterat, inte bara påstått.