Was ist unter Vulnerability Management bzgl. des Cyber Resilience Act 2024/2847 (CRA) zu verstehen?

Hersteller müssen während des gesamten Lebenszyklus des Produktes ein systematisches Schwachstellenmanagement betreiben.

Dazu gehören:

-         Kontinuierliche Risikoanalyse und Aktualisierung der Bewertung, sobald neue Bedrohungen bekannt werden.

-         Identifikation, Bewertung und Behandlung von Schwachstellen im Produkt sowie in integrierten Drittkomponenten.

-         Due‑Diligence‑Pflichten, wenn Komponenten Dritter verwendet werden (z. B. Bibliotheken, Frameworks, Module).

-         Hersteller müssen risikobasiert entscheiden, ob ein Patch, ein Workaround oder eine andere Maßnahme erforderlich ist – nicht jede Schwachstelle muss

zwingend gepatcht werden, aber die Entscheidung muss nachvollziehbar sein.

Veröffentlicht für: Schneider Electric Schweiz