CRA: Schwachstellen-management und Vulnerability Disclosure

Sind Sie betroffen?

Der CRA kann für Sie relevant sein, wenn Sie:

• Produkte mit digitalen Elementen in der EU vertreiben
• Teil einer Lieferkette mit EU-Bezug sind
• Software, vernetzte Systeme oder digitale Komponenten entwickeln, integrieren oder betreiben

Vom punktuellen Test zum kontinuierlichen Prozess

Der CRA verschiebt den Fokus: Sicherheit ist nicht mehr nur eine periodische Prüfung, sondern ein laufender Prozess über den gesamten Produktlebenszyklus. Entscheidend ist, dass Schwachstellen erkannt, bewertet, behoben und dokumentiert werden.

Klassischer Ansatz	CRA-Perspektive
Periodische Tests	Kontinuierliche Überwachung
Audit-getrieben	Risiko- und schwachstellengetrieben
Dokumentation nachgelagert	Nachweis als integraler Bestandteil

Wie VDP und Bug Bounty unterstützen

• VDP: Strukturierter Kanal für eingehende Schwachstellenmeldungen
• Bug Bounty: Kontinuierliche externe Sicht durch Security Researcher
• Triage: Validierung, Priorisierung und Qualitätssicherung der Findings
• Reporting: Nachvollziehbare Dokumentation für interne Steuerung und Audits

Schwachstellenmanagement kontrolliert umsetzen

Wir unterstützen gezielt den Bereich Schwachstellenmanagement und externe Sicherheitsprüfung im CRA-Kontext. Im Fokus steht ein strukturierter, nachvollziehbarer Umgang mit Schwachstellen, von der Meldung über die Validierung und Priorisierung bis zur dokumentierten Behebung.

• Klar definierter Scope: Welche Systeme und digitalen Komponenten geprüft werden
• Validierte Findings: Relevante Meldungen werden geprüft, priorisiert und verständlich aufbereitet
• Nachvollziehbare Evidenz: Validierte Findings, Priorisierung und empfohlene Massnahmen werden strukturiert dokumentiert.
• Kontrollierter Ablauf: VDP, Bug Bounty oder Testing werden so aufgesetzt, dass sie zu Ihrer Organisation passen

GObugfree ist ISO-27001-zertifiziert und betreibt eine Schweizer Plattform für strukturiertes Schwachstellenmanagement.