ELi CRA 2026 haavatavustest teavitamise valmisoleku juhend
On esmaspäeva hommik, september 2026, kell on 08:17. Kiiresti kasvava Euroopa SaaS-ettevõtte infoturbejuht Anna mõtleb endiselt eelmise nädala juhatuse koosolekule. Tegevjuht esitas küsimuse, mida praegu kuuleb iga turbejuht: „Kui oleme juba NIS2 jaoks valmistunud ja meie fintech-kliendid küsivad pidevalt DORA kohta, siis mida Cyber Resilience Act muudab?”
Siis saabub vastus tema postkasti.
Sõltumatu uurija teatab kaugelt ärakasutatavast haavatavusest püsivara uuenduskomponendis, mida kasutab üks ettevõtte ühendatud toodetest. Sõnum sisaldab kontseptsiooni tõendust, sõltuvuse nime ja hoiatust, et sarnast ärakasutamist on täheldatud tegelikus keskkonnas.
Mõne minuti jooksul vajab igaüks erinevat vastust. Tehnoloogiajuht küsib, kas haavatavus on tegelik. Õigusosakond küsib, kas ELi Cyber Resilience Act kohane teavitamiskohustus on käivitunud. Tootemeeskond küsib, millised versioonid on mõjutatud. Infoturbejuht küsib, kas sõltuvus esineb mõnes SBOM-is. Müük küsib, kas finantssektori klientidele on vaja DORA tõendusmaterjali. Vastavusjuht avab ISO 27001 riskiregistri ja leiab sealt haavatavuste halduse protsessi, kuid mitte selget otsustusteed tootega seotud teavitamiseks.
See ongi tegelik CRA valmisoleku probleem. Enamik organisatsioone ei alusta nullist. Neil on juba olemas intsidentidele reageerimise poliitikad, paikamise rutiinid, turvalise arenduse tavad, tarnijate ülevaatused, haavatavuse skannerid ja ISO 27001 tõendusmaterjal. Kuid CRA ei hinda eraldiseisvaid dokumente. See nõuab kiiret ja kaitstavat töövoogu, mis suudab vastata korraga viiele küsimusele:
- Kas tegemist on aktiivselt ärakasutatud haavatavuse või toote turvalisust mõjutava raske intsidendiga?
- Millised tooted, versioonid, kliendid, sõltuvused ja tarnijad on mõjutatud?
- Millist asutust, klienti või lepingulist teavituse saajat tuleb teavitada ja millal?
- Milline tõendusmaterjal näitab, et esmane hindamine, leevendamine ja avalikustamine olid kontrollitud?
- Kuidas on see kooskõlas ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF-i ja auditi ootustega?
Vastus ei ole eraldi „CRA kaust”. Vastus on siduda CRA haavatavustest teavitamine ISMS-i, koordineeritud haavatavuste avalikustamise protsessi, SBOM-ide halduse, tarnijajuhtimise ja intsidendihalduse tõendusmaterjali ahelaga, mida vajate niikuinii küpseks küberturbe juhtimiseks.
Miks ELi Cyber Resilience Act muudab teavitamismudelit
ELi Cyber Resilience Act, määrus (EL) 2024/2847, toob tooteturbe nõuetele vastavuse põhivoolu. Seda kohaldatakse ELi turule lastud digielementidega toodetele, mille hulka võivad kuuluda ühendatud seadmed, tarkvara, püsivara, manussüsteemid ja ettevõttetarkvara tooted.
Infoturbejuhtide, tooteturbe juhtide ja vastavusmeeskondade jaoks kõige olulisem operatiivne muudatus algab 11. septembril 2026. CRA Article 14 nõuab etapiviisilist teavitamist aktiivselt ärakasutatud haavatavustest ja digielementidega toodete turvalisust mõjutavatest rasketest intsidentidest. Praktikas tähendab see, et tootjad peavad olema valmis järgmiseks:
| CRA teavitamissündmus | Eeldatav tähtaeg | Vajalik praktiline tõendusmaterjal |
|---|---|---|
| Varajane hoiatus aktiivselt ärakasutatud haavatavuse kohta | 24 tunni jooksul teadlikuks saamisest | Teadlikuks saamise ajatempel, ärakasutamise hinnang, esmane oletus mõjutatud toote kohta |
| Täielikum haavatavuse teade | 72 tunni jooksul teadlikuks saamisest | Tõsidus, mõjutatud tooted, leevendamise staatus, SBOM-i tõendusmaterjal, esmane parandusplaan |
| Haavatavuse lõpparuanne | Pärast parandus- või leevendusmeetme kättesaadavaks tegemist | Algpõhjus, mõju, parandusmeetmed, turvauuenduse üksikasjad, kasutajajuhised |
| Varajane hoiatus toote turvalisust mõjutava raske intsidendi kohta | 24 tunni jooksul teadlikuks saamisest | Intsidendi ajajoon, mõju tootele, tegevusmõju, esmane ohjeldamine |
| Täielikum raske intsidendi teade | 72 tunni jooksul teadlikuks saamisest | Mõjuanalüüs, mõjutatud kasutajad, parandusmeetmed, koordineerimiskirjed |
| Raske intsidendi lõpparuanne | Ühe kuu jooksul pärast esmast intsidenditeadet | Täielik ajajoon, põhjus, leevendamine, õppetunnid, jääkrisk |
Täpse õigusliku hinnangu peab alati andma kvalifitseeritud õigusnõustaja, kuid operatiivne järeldus on selge. Esimesed 24 kuni 72 tundi on täpselt nii head, kui hea oli mitu kuud varem tehtud ettevalmistus.
Kui teie SBOM-id on puudulikud, kui CVD-postkasti seiratakse mitteametlikult, kui tarnijalepingud ei nõua haavatavustest teavitamist või kui teie intsidentidele reageerimise poliitika ei erista toote haavatavustest teavitamist privaatsus- või tegevusintsidentidest, liigub õiguslik kell kiiremini kui teie tõendusmaterjali protsess.
Kasutage ISO/IEC 27001:2022 standardit CRA valmisoleku tugiraamistikuna
ISO/IEC 27001:2022 ei asenda CRA õiguslikku vastavust, kuid see on parim juhtimissüsteemi tugiraamistik CRA kohustuste lõimimiseks igapäevasesse juhtimisse.
Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemist ja välist konteksti, huvitatud pooli, nõudeid, liideseid teiste organisatsioonidega ning ISMS-i kohaldamisala ISO/IEC 27001:2022. CRA valmisoleku puhul tähendab see, et teie ISMS-i kohaldamisala peab tuvastama digielementidega tooted, toote elutsükli vastutused, majutatud komponendid, koostekonveierid, avatud lähtekoodiga sõltuvused, tarnijad, kasutajad, importijad, levitajad, reguleeritud kliendid ja asjakohased asutused.
Punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamist ja riskikäsitlust, sealhulgas riskiomanikke, tagajärgi, tõenäosust, käsitlusotsuseid, kohaldatavusdeklaratsiooni (SoA) ja jääkriski aktsepteerimist. CRA teavitamist tuleb selles protsessis käsitleda tooteturbe riskistsenaariumina, mitte erakorralise õigusliku tõlgendamise harjutusena.
ISO/IEC 27002:2022 ISO/IEC 27002:2022 annab seejärel praktilise kontrollimeetmete struktuuri. CRA haavatavustest teavitamise jaoks on kõige olulisemad kontrollimeetmed järgmised:
| ISO/IEC 27002:2022 kontrollimeede | Korrektne kontrollimeetme nimetus | Roll CRA valmisolekus |
|---|---|---|
| 8.8 | Tehniliste haavatavuste haldus | Tuvastab, hindab, prioriseerib, käsitleb ja jälgib haavatavusi |
| 8.25 | Turvalise arenduse elutsükkel | Lõimib tooteturbe, sõltuvuste läbivaatuse ja turvalise arenduse arendusprotsessi |
| 5.21 | Infoturbe haldamine IKT tarneahelas | Seob tarnijakomponendid, SBOM-i sisendid ja ülesvoolu teavitused tooteriskiga |
| 5.20 | Infoturbe käsitlemine tarnijalepingutes | Muudab tarnijakohustused jõustatavateks lepinguklausliteks |
| 5.24 | Infoturbeintsidentide halduse planeerimine ja ettevalmistus | Määratleb intsidendirollid, tööjuhised, eskaleerimise, teavitamise ja tõendusmaterjali käitlemise |
| 5.26 | Infoturbeintsidentidele reageerimine | Toetab kontrollitud ohjeldamist, kõrvaldamist, taastamist ja kommunikatsiooni |
| 8.15 | Logimine | Säilitab tõendusmaterjali ärakasutamise hindamiseks ja intsidendi rekonstrueerimiseks |
| 8.16 | Seiretegevused | Tuvastab ärakasutamise signaale ja toetab aktiivse ärakasutamise otsuseid |
Zenith Controls: The Cross-Compliance Guide käsitleb Clarysec ISO/IEC 27002:2022 kontrollimeedet 8.8, tehniliste haavatavuste haldust, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. Selle atribuudid seostuvad Identify ja Protect küberturbe kontseptsioonidega ning operatiivseks võimekuseks on ohtude ja haavatavuste haldus.
See raamistik on oluline. CRA teavitamine ei seisne ainult asutuste teavitamises. See seisneb tõendamises, et ennetav haavatavuste halduse võimekus oli olemas juba enne teate saabumist.
Ehitage tegevusmudel CVD, SBOM-i ja teavitamiskella ümber
Usaldusväärne CRA haavatavuste töövoog algab enne seda, kui uurija teiega üldse ühendust võtab. See algab võimekusest võtta vastu haavatavusteateid, neid valideerida, tuvastada mõjutatud komponendid, hinnata ärakasutamist, koordineerida leevendamist, suhelda kasutajatega ja säilitada tõendusmaterjali.
Esimene ehituskivi on avalik haavatavustest teavitamise kanal. Clarysec Koordineeritud haavatavuste avalikustamise poliitika, rakendamisnõuete punkt 6.1, sätestab:
Avalikud avalikustamiskanalid: organisatsioon peab hoidma selget haavatavustest teavitamise kanalit, näiteks eraldi turbekontakti e-posti aadressi (näiteks security@company.com) või veebivormi. See teave tuleb avaldada ettevõtte veebisaidi turbelehel koos organisatsiooni PGP avaliku võtmega, et võimaldada krüpteeritud edastamist.
See lahendab levinud auditipuuduse. Paljud ettevõtted ütlevad, et võtavad haavatavusteateid vastu, kuid teavitamise tee on peidetud, haldamata või suunatud üldisesse kasutajatoe järjekorda. CRA tingimustes muutub teavitamiskanal õigusliku teadlikkuse, tõsiduse hindamise ja tõendusmaterjali kogumise käivituspunktiks.
Teine ehituskivi on esmane hindamine. Koordineeritud haavatavuste avalikustamise poliitika, rakendamisnõuete punkt 6.4, sätestab:
Esmane hindamine ja kinnitus: teate saamisel peab haavatavustele reageerimise meeskond (VRT) selle registreerima ja saatma teavitajale kinnituse 2 tööpäeva jooksul, määrates jälgimisviite. VRT peab tegema esmase tõsiduse hinnangu, näiteks CVSS-skoori abil, ning valideerima probleemi, vajaduse korral IT- ja arendusmeeskondade toel, sihtajaga 5 tööpäeva. Kriitilisi haavatavusi, näiteks neid, mis võimaldavad kaugkoodi käivitamist või olulist andmekaitserikkumist, tuleb käsitleda kiirendatult.
CRA valmisoleku jaoks tuleb seda esmase hindamise kirjet laiendada väljadega, mis toetavad õiguslikku teavitamisotsust:
| CRA esmase hindamise väli | Miks see on oluline | Tõendusmaterjali omanik |
|---|---|---|
| Aktiivse ärakasutamise staatus | Määrab, kas CRA haavatavusest teavitamine võib kohalduda | Haavatavustele reageerimise meeskond |
| Mõjutatud toode ja versioon | Seob probleemi digielementidega toodete ja kliendimõjuga | Tooteturve |
| SBOM-i sõltuvuse vaste | Kinnitab, kas mõjutatud komponendid esinevad väljastatud koostudes | Arendus või DevSecOps |
| Raske tooteintsidendi indikaator | Eristab haavatavuse käsitlemise tooteturbe intsidendist teavitamisest | Turbeoperatsioonid |
| Regulatiivne teavitamisotsus | Salvestab, kas kohaldub CRA, NIS2, DORA, GDPR või lepinguline teavitus | Õigus, infoturbejuht ja vastavus |
Kolmas ehituskivi on SBOM-ide süsteemne haldus. Clarysec Turvalise arenduse poliitika, juhtimisnõuete punkt 5.4, sätestab:
Avatud lähtekoodiga või kolmanda osapoole koodi kasutamine peab olema heaks kiidetud, jälgitud ja valideeritud järgmiste tegevuste kaudu: 5.4.1 Tarkvarakompositsiooni analüüs (SCA) 5.4.2 Litsentsi läbivaatus (GPL, MIT, BSD jne) 5.4.3 Tuntud haavatavuste skannimine (CVE-d, OSS Index jne)
Väiksemate organisatsioonide jaoks seab Clarysec Rakenduste turbenõuete poliitika - VKE, poliitika rakendamisnõuete punkt 6.4.2, sama ootuse praktilises vormis:
Arendaja või IT-teenuseosutaja peab pidama kirjet iga kasutatud välise komponendi kohta, sealhulgas:
Sellest komponendikirjest saab SBOM-põhise haavatavustele reageerimise minimaalne tõendusmaterjali kogum. See peab siduma komponendi nime, versiooni, allika, tarnija või repositooriumi, litsentsi, tooteversiooni, koostekuupäeva ja haavatavuse skannimise staatuse. Kui saabub CVE, uurija teade või tarnija teavitus, peab teie meeskond suutma mõne tunni jooksul vastata: „Millised väljastatud tooted sisaldavad seda komponenti?”
Siduge CRA, NIS2, DORA ja GDPR ühte teavitamisotsuste maatriksisse
Cyber Resilience Act ei toimi eraldiseisvalt. Üks toote haavatavus võib käivitada CRA teavitamise, NIS2 intsidendihindamise, DORA klienditõendite kohustused, GDPR-i rikkumishindamise ja lepingulised teavitamiskohustused.
NIS2 Article 21 nõuab, et olulised ja tähtsad üksused rakendaksid asjakohaseid tehnilisi, operatiivseid ja korralduslikke meetmeid. Need meetmed hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist, arendust ja hooldust, haavatavuste käsitlemist ja avalikustamist, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, mitmetegurilist autentimist ja turvalist sidet.
NIS2 Article 23 kehtestab etapiviisilise intsidentidest teavitamise mudeli: varajane hoiatus 24 tunni jooksul teadlikuks saamisest, intsidenditeade 72 tunni jooksul, vahearuanded nõudmise korral ning lõpparuanne hiljemalt ühe kuu jooksul pärast intsidenditeadet. NIS2 Article 20 loob ka juhtorgani vastutuse küberturbe riskijuhtimismeetmete heakskiitmise ja järelevalve eest.
DORA kohaldub alates 17. jaanuarist 2025 ja loob finantsüksustele ühtse ELi digitaalse tegevuskerksuse raamistiku. SaaS-teenusepakkujate, tarkvaratarnijate ja IKT-tarnijate jaoks ilmub DORA sageli kliendilepingute kaudu. Teie finantssektori klient võib olla reguleeritud DORA üksus, kuid teie haavatavuste käsitlemine, SBOM-i tõendusmaterjal, intsidenditugi, auditeerimisõigused ja teavitamiskohustused võivad olla vajalikud selleks, et klient saaks täita oma kohustusi.
GDPR lisab veel ühe haru. Kui haavatavus või intsident põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu, on nõutav isikuandmetega seotud rikkumise hindamine. GDPR Article 5 hõlmab ka terviklust, konfidentsiaalsust ja vastutust, mis tähendab, et organisatsioon peab suutma oma otsustamist tõendada.
Clarysec Intsidentidele reageerimise poliitika, poliitika rakendamisnõuete punkt 6.4.1, toetab juba seda mitme regulatiivse režiimi hindamist:
Kui intsident põhjustab isikuandmete või muude reguleeritud andmete kinnitatud või tõenäolise avalikustumise, peavad õigusfunktsioon ja andmekaitseametnik hindama järgmiste nõuete kohaldatavust: 6.4.1.1 GDPR Article 33 (72-tunnine teavitamine järelevalveasutusele) 6.4.1.2 GDPR Article 34 (andmesubjektide teavitamine, kui kohaldub kõrge risk) 6.4.1.3 NIS2 Article 23 (teavitamine 24 tunni jooksul intsidendist teadlikuks saamisest) 6.4.1.4 DORA Article 17 (rasketest IKT-ga seotud intsidentidest teavitamine)
CRA valmisoleku jaoks laiendage seda tööjuhist, lisades CRA Article 14 kohase teavitamishindamise aktiivselt ärakasutatud haavatavuste ja toote turvalisust mõjutavate raskete intsidentide kohta.
Ühtne otsustusmaatriks takistab meeskondadel käivitada eraldi ja vastuolulisi teavitamise tööjuhiseid:
| Käivitav küsimus | CRA | NIS2 | DORA | GDPR | Tõendusmaterjal |
|---|---|---|---|---|---|
| Kas haavatavust kasutatakse aktiivselt ära digielementidega tootes? | Hinda CRA Article 14 kohast teavitamist | Võib toetada olulise intsidendi hindamist | Võib toetada IKT-intsidendi või ohu klassifitseerimist | Hinda, kas isikuandmed on mõjutatud | Esmase hindamise kirje, ohuteave, logid |
| Kas tooteturve või teenuse osutamine on raskelt häiritud? | Hinda raskest intsidendist teavitamist | Hinda olulist intsidenti | Hinda suure IKT-ga seotud intsidendi mõju | Tavaliselt ainult siis, kui toimus isikuandmetega seotud rikkumine | Intsidendi ajajoon, mõjuanalüüs |
| Kas finantssektori kliendid on mõjutatud? | Toote teavitamiskohustus võib endiselt kohalduda | Sõltub üksuse kohaldamisalast | Klient võib vajada DORA tõendusmaterjali | Sõltub andmerollidest | Klientide loend, lepingud, DORA lisa |
| Kas isikuandmed avalikustati või neile pääseti ligi? | Võib mõjutada tõsidust ja kasutajateavitust | Võib mõjutada mõjuhindamist | Võib mõjutada kliendimõju | Rikkumishindamine on nõutav | Andmekaitseametniku hinnang, kohtuekspertiisi tõendusmaterjal |
| Kas kaasatud on tarnijakomponent? | Tootja peab siiski omama vaadet toote mõjule | Tarneahela riskide tõendusmaterjal | Võib olla vaja IKT kolmanda osapoole tõendusmaterjali | Volitatud töötleja või vastutava töötleja analüüs | SBOM, tarnija teade, lepinguklausel |
VKE-de jaoks annab Clarysec Intsidentidele reageerimise poliitika - VKE, juhtimisnõuete punkt 5.3.2, sama põhimõtte lihtsamas vormis:
Reageerimise tähtajad, sealhulgas andmete taastamise ja teavitamiskohustused, peavad olema dokumenteeritud ja kooskõlas õiguslike nõuetega, näiteks GDPR-i 72-tunnise isikuandmetega seotud rikkumisest teavitamise nõudega.
CRA valmisolek laiendab seda põhimõtet lihtsalt isikuandmetega seotud rikkumisest teavitamiselt toote haavatavusest ja tooteturbe intsidendist teavitamisele.
Tarnija tõendusmaterjal on nüüd tooteturbe tõendusmaterjal
Paljud CRA seisukohast olulised haavatavused pärinevad väljastpoolt teie koodibaasi. Need võivad tulla avatud lähtekoodiga pakettidest, püsivaramoodulitest, SDK-dest, majutatud API-dest, koostetööriistadest, pilveteenustest, alltöövõtu komponentidest või ülesvoolu teekidest. Seetõttu on tarnijajuhtimine CRA valmisoleku keskne osa.
ISO 27001:2022 punkt 8.1 nõuab, et organisatsioonid ohjaksid ISMS-i seisukohast asjakohaseid väljastpoolt osutatavaid protsesse, tooteid või teenuseid. ISO/IEC 27002:2022 kontrollimeede 5.21, infoturbe haldamine IKT tarneahelas, annab kontrollimeetme ankru.
Zenith Controls raames käsitleb Clarysec kontrollimeedet 5.21 ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. Selle operatiivne võimekus on tarnijasuhete turvalisus ning selle valdkonnad hõlmavad juhtimist, ökosüsteemi ja kaitset. Mõte on lihtne: tarnijakontrollid ei ole hankedokumendid. Need on ökosüsteemi kaitse kontrollimeetmed.
Clarysec Kolmandate osapoolte ja tarnijate infoturbepoliitika - VKE, juhtimisnõuete punkt 5.3, sätestab lepingulise aluse:
Lepingud peavad sisaldama kohustuslikke klausleid, mis hõlmavad:
Ettevõtte taseme programmide puhul selgitab Zenith Blueprint: An Auditor’s 30-Step Roadmap, kontrollimeetmed tegevuses etapp, samm 23, organisatsioonilised kontrollimeetmed 5.19 kuni 5.37, ISO/IEC 27002:2022 kontrollimeedet 5.20, infoturbe käsitlemist tarnijalepingutes:
Tarnijate puhul ei saa usaldus põhineda eeldustel. See tuleb lepinguliselt kirja panna.
CRA valmisoleku jaoks peavad tarnijalepingud sisaldama tooteturbe klausleid, mis toetavad kiiret haavatavustele reageerimist:
| Tarnijaklausel | Seos CRA-ga | Nõutav tõendusmaterjal |
|---|---|---|
| Haavatavustest teavitamine | Tagab, et ülesvoolu tarnijad teavitavad teid kiiresti, kui nende komponent on mõjutatud | Tarnija haavatavuste teavituskirjed ja SLA |
| SBOM või komponentide register | Toetab mõjuhindamist tooteversioonide lõikes | SBOM, komponentide loend või kinnitus |
| Turvalise uuenduse tugi | Võimaldab parandusmeetmeid ja kliendijuhiseid | Paiga väljalaskemärkmed ja parandusmeetmete plaan |
| Avalikustamise koordineerimine | Väldib vastuolulist avalikku kommunikatsiooni ja enneaegset avalikustamist | CVD koordineerimislogi |
| Intsidendiabi | Toetab kohtuekspertiisi analüüsi, kasutajamõju hindamist ja teavitamist | Toekirjed ja uurimismärkmed |
| Auditi- ja kindlustandmise õigused | Aitab rahuldada klientide, regulaatorite ja siseauditi nõudeid | Auditiaruanded ja kontrollide kinnitused |
DORA kinnitab sama suunda. Finantsüksused peavad juhtima IKT kolmanda osapoole riski, pidama IKT-teenuselepingute registreid, hindama kriitilisust, tegema taustakontrolli, juhtima kontsentratsiooniriski, määratlema lepingulised kaitsemeetmed, tagama auditeerimisõigused ja kavandama väljumise. Kui müüte tarkvara või IKT-teenuseid finantsüksustele, eeldage, et kliendid küsivad, kas teie haavatavustest teavitamise ja SBOM-i protsess toetab nende DORA intsidendi-, toimepidevuse ja kolmandate osapoolte tõendusmaterjali vajadusi.
Clarysec CRA valmisoleku töövoog
Clarysec aitab klientidel rakendada CRA teavitamist ISO 27001:2022-ga kooskõlas olevas ISMS-is praktilise töövoo kaudu.
1. Lisage CRA kohustused ISMS-i nõuete registrisse
Alustage ISO 27001:2022 punktidest 4.1 kuni 4.4. Uuendage organisatsiooni konteksti, huvitatud pooli ja kohaldamisala, et hõlmata digielementidega tooted, ELi turule suunatus, kasutajad, importijad, levitajad, regulaatorid, CSIRT-id, tarnijad ja reguleeritud kliendid.
Looge nõuete registri kirjed CRA haavatavustest teavitamise, CRA raskest tooteturbe intsidendist teavitamise, NIS2 intsidenditeavituse, DORA klienditoe kohustuste, GDPR-i isikuandmetega seotud rikkumise hindamise, lepingulise intsidenditeavituse, CVD-kohustuste ja uurijatega suhtlemise kohta.
See annab audiitoritele jälgitava tee välisest kohustusest sisemise kontrollimeetmeni.
2. Looge toote haavatavuse vastuvõtuvorm
Lähtuge vastuvõtuvormi koostamisel Koordineeritud haavatavuste avalikustamise poliitikast. Vorm peab koguma teavitaja identiteedi, turvalised kontaktandmed, tooteversiooni, mooduli, keskkonna, kontseptsiooni tõenduse, reprodutseerimissammud, ärakasutamise staatuse, võimaliku andmete avalikustumise, teenuse mõju, SBOM-i komponendi vaste, CVSS-i või samaväärse tõsiduse, omaniku, jälgimisviite ja regulatiivse kontrollpunkti.
Vorm peab automaatselt looma pileti haavatavustele reageerimise järjekorras. Samuti peab see käivitama teavitamisotsuse taimeri isegi siis, kui lõplik vastus on „ei kuulu teavitamisele”.
3. Siduge SBOM-andmed väljalasetega
Iga väljastatud tooteversiooni kohta tuleb pidada SBOM-i või samaväärset komponentide registrit. Minimaalne kasulik tõendusmaterjal hõlmab komponendi nime, versiooni, allikat, litsentsi, tarnijat või repositooriumi, tooteversiooni, koostekuupäeva ja haavatavuse skannimise staatust.
Turvalise arenduse poliitika ja Rakenduste turbenõuete poliitika - VKE annavad poliitikaaluse SCA-le, komponentide läbivaatusele ja väliste komponentide kirjetele.
4. Säilitage tõendusmaterjal esimesest päevast
Iga CRA-ga seotud haavatavuse pilet peab säilitama:
- Algse teate
- Kinnituse ajatembli
- Esmase hindamise märkmed
- CVSS-i või samaväärse tõsiduse põhjenduse
- SBOM-i vaste tulemused
- Ärakasutamise hinnangu
- Logid, indikaatorid ja kohtuekspertiisi tõmmised
- Tarnijatega suhtluse
- Riski aktsepteerimise, kui leevendamine viibib
- Paikamisplaani, väljalaskemärkmed ja testimistõendid
- Klientide ja asutuste teavitamisotsused
- Lõpparuande sisendid ja õppetunnid
See on kooskõlas ISO 27001:2022 punktiga 8.1, mis nõuab dokumenteeritud teavet piisavas mahus, et tõendada protsesside toimimist kavandatud viisil, ning punktidega 8.2 ja 8.3, mis nõuavad dokumenteeritud riskihindamise ja riskikäsitluse tulemusi.
5. Testige realistliku sõltuvusstsenaariumiga
Viige läbi lauaõppus, kasutades simuleeritud aktiivselt ärakasutatud sõltuvuse haavatavust. Kaasake arendus, turve, õigus, privaatsus, toode, kommunikatsioon, tarnijahaldus ja kliendisuhtlusega tegelevad meeskonnad. Test peab tõendama, et organisatsioon suudab tuvastada mõjutatud versioonid, hinnata ärakasutamist, teha teavitamisotsuse, võtta ühendust tarnijatega, koostada kasutajajuhised ja säilitada tõendusmaterjali.
Kuidas audiitorid testivad CRA haavatavustest teavitamise valmisolekut
CRA valmisoleku ülevaatus piirdub harva CRA kontrollnimekirjaga. Eri audiitorid testivad sama tõendusmaterjali eri raamistike kaudu.
Zenith Controls raames käsitleb Clarysec ISO/IEC 27002:2022 kontrollimeedet 5.24, infoturbeintsidentide halduse planeerimist ja ettevalmistust, korrigeeriva kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. See seostub Respond ja Recover funktsioonidega ning operatiivsete võimekustena juhtimise ja infoturbe sündmuste haldusega.
See kontrollimeede on sild haavatavuse avastamise ja regulatiivse teavitamise vahel.
| Audiitori taust | Mida küsitakse | Küsimusele vastav tõendusmaterjal |
|---|---|---|
| ISO 27001:2022 audiitor | Kas haavatavustest teavitamine on lõimitud riskihindamisse, riskikäsitlusse, Annex A kontrollimeetmetesse ja dokumenteeritud ISMS-i protsessidesse? | ISMS-i kohaldamisala, riskiregister, SoA, haavatavuste protseduur, CVD-poliitika, intsidendikirjed, juhtkonnapoolne ülevaatus |
| ISO/IEC 27002:2022 kontrollimeetmete hindaja | Kas kontrollimeetmed 8.8, 8.25, 5.21, 5.24, 5.20 ja seotud kontrollimeetmed on järjepidevalt rakendatud? | Paikade logid, SBOM-id, turvalise SDLC kontrollväravad, tarnijaklauslid, intsidendi tööjuhised, tõendusmaterjali kirjed |
| NIS2 asutus või hindaja | Kas Article 20 juhtimine, Article 21 meetmed ja Article 23 teavitamisprotseduurid toimivad? | Juhatuse protokollid, riskimeetmed, intsidendiprotseduurid, teavituskirjed, tarneahela tõendusmaterjal |
| DORA-le suunatud audiitor | Kas IKT-intsidendid, haavatavused, kolmandate osapoolte sõltuvused, testimine ja kliendikommunikatsioon toetavad finantssektori toimepidevuse kohustusi? | IKT sõltuvuste register, intsidendiklassifikatsioonid, testimiskirjed, tarnijaregister, lepinguline tõendusmaterjal |
| GDPR-i läbivaataja | Kas organisatsioon hindas, kas haavatavus põhjustas isikuandmetega seotud rikkumise, ja dokumenteeris vastutuse? | Rikkumishindamine, andmekaitseametniku märkmed, Article 33 ja 34 otsusekirje, andmevoogude kaart, kohtuekspertiisi leiud |
| NIST CSF 2.0 hindaja | Kas organisatsioon suudab juhtida, tuvastada, kaitsta, avastada, reageerida ja taastuda ühe riskipõhise mudeli kaudu? | Praegused ja sihtprofiilid, tarnijariskide programm, tuvastusmõõdikud, reageerimise ja taastamise tõendusmaterjal |
NIST CSF 2.0 on eriti kasulik juhatuse tasandi kommunikatsioonikihina. Selle GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER funktsioonid aitavad selgitada, kuidas toote haavatavustest teavitamine sobitub ettevõtte küberturbe juhtimisse, mitte ei jää arenduse erandiks.
Levinud CRA valmisoleku puudused, mis tuleb enne 2026. aastat kõrvaldada
Clarysec näeb samu lünki korduvalt.
Esimene on CVD ilma teavitamiseta. Ettevõttel on turbe e-posti aadress või security.txt-fail, kuid puudub sisemine tee uurija teatest õigusliku teavitamishindamiseni.
Teine on SBOM ilma omanikuta. Arendus suudab koostamise ajal SBOM-i genereerida, kuid keegi ei vastuta väljastatud toodete täpsuse eest ega selgita, kuidas SBOM-i leiud jõuavad haavatavustele reageerimisse.
Kolmas on ISO sertifikaat ilma toote kohaldamisalata. ISMS katab ettevõtte IT ja SaaS-operatsioonid, kuid mitte manustarkvara, püsivara, toote uuendustaristut, koostekonveiereid ega haavatavuste avalikustamist.
Neljas on tarnijalepingud ilma haavatavusklausliteta. Hange nõuab konfidentsiaalsust ja andmekaitset, kuid mitte haavatavustest teavitamist, komponentide läbipaistvust, intsidendiabi, koordineeritud avalikustamist ega auditi tõendusmaterjali.
Viies on intsidentidele reageerimine ilma toote haavatavuse loogikata. Intsidendiplaan katab lunavara, andmepüügi ja isikuandmetega seotud rikkumised, kuid mitte aktiivselt ärakasutatud tootehaavatavusi, mille puhul kliendisüsteemid võivad olla ohus enne tootja enda keskkonna kompromiteerimist.
Kuues on DORA klienditõendite käsitsi käsitlemine. Müük või kliendiedu vastab finantssektori küsimustikele juhtumipõhiselt, samas kui turvemeeskonnal puudub standardne tõenduspakett, mis näitab haavatavuste käsitlemist, SBOM-i juhtimist, intsidendituge ja tarnijakontrolle.
Iga lünk on kõrvaldatav. Iga lünk muutub kulukaks, kui see avastatakse aktiivse haavatavuse ajal.
90-päevane CRA haavatavustest teavitamise valmisoleku kontrollnimekiri
Kasutage järgmised 90 päeva kaitstava aluse loomiseks:
- Tuvastage digielementidega tooted, mis on lastud ELi turule või tehtud seal kättesaadavaks.
- Uuendage ISMS-i kohaldamisala ja huvitatud poolte analüüsi, et hõlmata CRA huvitatud pooled.
- Lisage CRA Article 14 kohane teavitamishindamine õiguslike ja regulatiivsete nõuete registrisse.
- Avaldage ja seirake turvalist haavatavustest teavitamise kanalit.
- Looge haavatavustele reageerimise meeskond õigus-, toote-, arendus-, turbe- ja kommunikatsioonirollidega.
- Pidage SBOM-e või komponentide registreid väljastatud tooteversioonide kohta.
- Siduge SCA tulemused haavatavuse piletite ja tooteväljalasetega.
- Lisage esmase hindamise vormidele aktiivse ärakasutamise ja raske tooteintsidendi kriteeriumid.
- Looge ühine CRA, NIS2, DORA, GDPR ja lepingulise teavitamise otsustusmaatriks.
- Uuendage tarnijalepinguid haavatavustest teavitamise, SBOM-i, intsidendiabi ja avalikustamise koordineerimise klauslitega.
- Pidage paikade logisid ja parandusmeetmete tõendusmaterjali.
- Testige töövoogu simuleeritud aktiivselt ärakasutatud sõltuvuse haavatavusega.
- Esitage tulemused juhtkonnale koos lünkade, jääkriskide ja parandusmeetmete omanikega.
- Lisage tõenduspakett siseauditisse ja juhtkonnapoolsesse ülevaatusse.
Clarysec Haavatavuste ja paikade halduse poliitika - VKE, poliitika rakendamisnõuete punkt 6.2.1, toetab seire alust:
IT-funktsioon peab seirama haavatavusi, kasutades:
Sama poliitika juhtimisnõuete punkt 5.4.1 lisab auditijälje:
Paikade logi tuleb pidada ja läbi vaadata auditite ning intsidentidele reageerimise tegevuste käigus
Sellest paikade logist võib saada üks olulisemaid artefakte CRA lõpparuandes. See tõendab avastamist, prioriseerimist, parandusmeetmeid, testimist ja sulgemist.
Muutke september 2026 igavaks
Parim CRA teavitamissündmus ei ole lihtne sellepärast, et haavatavus on lihtne. See on lihtne sellepärast, et organisatsioon on töövoogu juba harjutanud.
Enne septembrit 2026 saab Clarysec aidata teil muuta haavatavustest teavitamise auditeerimisvalmis süsteemiks, kaardistades teie praeguse ISO 27001:2022 ISMS-i, CVD-protsessi, SBOM-võimekuse, tarnijaklauslid ja intsidentidele reageerimise tööjuhised CRA, NIS2, DORA, GDPR ja NIST CSF-i ootustega.
Alustage fokuseeritud CRA haavatavustest teavitamise valmisoleku hindamisega. Clarysec vaatab üle teie poliitikad, SBOM-i tõendusmaterjali, tarnijalepingud, haavatavuse piletid, intsidendi tööjuhised ja auditijälje. Seejärel kasutame Zenith Blueprint ja Zenith Controls, et koostada praktiline parandusmeetmete teekaart, mitte teoreetiline vastavuskaust.
Kui te juba kasutate Clarysec poliitikaid, kohandame need CRA teavitamiseks. Kui mitte, aitame rakendada õige poliitikakomplekti, sealhulgas Koordineeritud haavatavuste avalikustamise poliitika, Turvalise arenduse poliitika, Intsidentidele reageerimise poliitika, Haavatavuste ja paikade halduse poliitika - VKE, Rakenduste turbenõuete poliitika - VKE ja Kolmandate osapoolte ja tarnijate infoturbepoliitika - VKE, kus see on asjakohane.
September 2026 on planeerimiseks piisavalt lähedal ja distsiplineeritud ettevalmistuseks piisavalt kaugel. Organisatsioonid, kes tegutsevad nüüd, ei küsi esimese 24 tunni jooksul: „Kes seda haavatavust omab?” Neil on juba vastus, tõendusmaterjal ja teavitamistee.
Võtke ühendust Clarysec meeskonnaga, et kavandada CRA haavatavustest teavitamise valmisoleku hindamine ja muuta regulatiivne keerukus kaitstavaks tooteturbe eeliseks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
