Sårbarhedshåndtering (CRA)

Sårbarhedshåndtering under Cyber Resilience Act (CRA) er de krav, EU stiller til fabrikanter om løbende at identificere, dokumentere, rapportere og rette sikkerhedssårbarheder i produkter med digitale elementer. Kravene gælder i hele produktets supportperiode og omfatter rapportering til ENISA inden 24 timer ved aktivt udnyttede sårbarheder.

Tilbage til ordbog

Kravene til sårbarhedshåndtering

CRA's bilag I, del II, specificerer kravene til sårbarhedshåndtering. Det er den ene af CRA's to søjler af krav. Hvor den første søjle handler om produktets sikkerhedsdesign, handler denne søjle om, hvad der sker efter produktet er lanceret.

Fabrikanten skal etablere og dokumentere en proces til at:

Identificere og dokumentere sårbarheder i produktet, herunder i tredjepartskomponenter
Prioritere sårbarheder baseret på risiko og udarbejde rettelser
Distribuere sikkerhedsopdateringer til brugerne uden unødig forsinkelse
Rapportere aktivt udnyttede sårbarheder til ENISA
Offentliggøre information om rettede sårbarheder
Have en politik for koordineret sårbarhedsafsløring

Kravene gælder i hele supportperioden, som skal være mindst fem år fra produktets markedsføring. Det er en markant ændring for producenter, der historisk har betragtet produkter som færdige ved lancering.

Rapportering til ENISA

CRA indfører en rapporteringspligt for aktivt udnyttede sårbarheder. Denne pligt er den første, der træder i kraft, allerede i september 2026.

Rapporteringsprocessen følger tre trin:

Inden 24 timer: En tidlig varsling til ENISA, der identificerer sårbarheden og angiver, om den udnyttes aktivt. Varslingen behøver ikke være fuldstændig.
Inden 72 timer: En mere detaljeret notifikation med beskrivelse af sårbarheden, alvorlighedsgrad og foreløbige afhjælpningsforanstaltninger.
Inden 14 dage: En endelig rapport med fuld analyse, påvirkning og implementerede rettelser.

Tidsrammerne minder om GDPR's 72-timers notifikationspligt for databrud og NIS2's rapporteringskrav for sikkerhedshændelser. For organisationer med etablerede hændelsesrespons-processer vil strukturen være genkendelig.

ENISA fungerer som central modtager og videresender rapporter til de relevante nationale CSIRT'er. Rapporteringen sker via en fælles EU-rapporteringsplatform.

Koordineret sårbarhedsafsløring

CRA kræver, at fabrikanter etablerer en politik for koordineret sårbarhedsafsløring (Coordinated Vulnerability Disclosure, CVD). Det skal være muligt for sikkerhedsforskere og brugere at rapportere sårbarheder til fabrikanten på en struktureret måde.

Politikken skal som minimum definere:

En kontaktkanal til indberetning af sårbarheder (typisk en security@-adresse eller et dedikeret webformular)
Tidsrammer for, hvornår fabrikanten bekræfter modtagelsen og leverer en rettelse
Retningslinjer for, hvornår og hvordan sårbarheden offentliggøres

CVD er ikke nyt. Mange modne softwareproducenter har allerede sådanne programmer. CRA gør det til et lovkrav for alle fabrikanter af produkter med digitale elementer.

En velfungerende CVD-proces er tæt koblet til penetrationstest og sårbarhedsscanning. Hvor du selv aktivt søger efter sårbarheder, giver CVD en kanal for, at eksterne parter kan bidrage.

Sikkerhedsopdateringer

Når en sårbarhed er identificeret, skal fabrikanten udvikle og distribuere en rettelse. CRA stiller klare krav til denne proces:

Sikkerhedsopdateringer skal leveres gratis i hele supportperioden
Opdateringer skal distribueres uden unødig forsinkelse
Sikkerhedsopdateringer skal adskilles fra funktionelle opdateringer, så brugerne kan installere sikkerhedsrettelser uden at blive tvunget til at opdatere funktionalitet
Produktet skal designes med en mekanisme til automatiske opdateringer, som brugeren kan slå fra

Kravet om adskillelse af sikkerheds- og funktionsopdateringer er vigtigt. Det sikrer, at brugere ikke undlader at installere kritiske sikkerhedsrettelser af frygt for, at en funktionsopdatering ændrer produktets adfærd.

Fabrikanten skal dokumentere alle leverede sikkerhedsopdateringer som del af den tekniske dokumentation. Det understøtter CE-mærkningens krav om løbende overensstemmelse.

SBOM og løbende overvågning

Effektiv sårbarhedshåndtering kræver, at du ved, hvad dit produkt indeholder. En Software Bill of Materials (SBOM) er fundamentet for den løbende overvågning.

Ved at matche din SBOM mod sårbarhedsdatabaser som NVD, OSV og GitHub Advisory Database kan du automatisk opdage, når en komponent i dit produkt er ramt af en ny sårbarhed. Uden en SBOM er du afhængig af, at nogen manuelt opdager problemet.

CRA's krav om sårbarhedshåndtering hænger tæt sammen med princippet om sikkerhed by design. Et produkt, der er designet med sikkerhed fra starten, vil have færre sårbarheder og være lettere at opdatere. Kryptering, adgangskontrol og netværkssegmentering reducerer konsekvensen af de sårbarheder, der alligevel opstår.

Ofte stillede spørgsmål om sårbarhedshåndtering (cra)

Hvad kræver CRA i forhold til sårbarhedshåndtering?

CRA kræver, at fabrikanter etablerer en proces til at identificere, dokumentere og rette sårbarheder i hele produktets supportperiode. Aktivt udnyttede sårbarheder skal rapporteres til ENISA inden 24 timer, og sikkerhedsopdateringer skal leveres gratis til brugerne.

Hvornår skal sårbarheder rapporteres under CRA?

Aktivt udnyttede sårbarheder skal rapporteres til ENISA inden 24 timer efter opdagelsen med en tidlig varsling. Inden 72 timer skal fabrikanten levere en mere detaljeret notifikation. En endelig rapport skal følge inden 14 dage.

Hvad er koordineret sårbarhedsafsløring?

Koordineret sårbarhedsafsløring (CVD) er en proces, hvor sikkerhedsforskere rapporterer fundne sårbarheder til fabrikanten, som får tid til at udvikle en rettelse, før sårbarheden offentliggøres. CRA kræver, at fabrikanter etablerer en politik for CVD.

Hvor længe skal fabrikanten levere sikkerhedsopdateringer?

Fabrikanten skal levere sikkerhedsopdateringer i hele produktets forventede levetid eller i mindst fem år fra markedsføringen. Opdateringerne skal være gratis og tilgængelige uden unødig forsinkelse.