Cyber Resilience Act · Anhang I Teil 2

CVD-Policy-Generator

Der Cyber Resilience Act verpflichtet Hersteller zu einer dokumentierten Richtlinie zur koordinierten Offenlegung von Schwachstellen. Füllen Sie das Formular aus und erhalten Sie sofort eine druckfertige CVD-Policy (fachlich an ISO/IEC 29147 und 30111 orientiert) sowie eine security.txt nach RFC 9116. Alles läuft vollständig in Ihrem Browser.

Ihre Angaben

z. B. Firma, Straße, PLZ Ort, Land — erscheint als Verantwortlicher im Dokument.

Verschlüsselte Übermittlung von Schwachstellen (ISO/IEC 29147 empfiehlt einen sicheren Kanal).

z. B. „Alle von {Firma} hergestellten Produkte mit digitalen Elementen".

z. B. https://ihre-domain.de/cvd-policy — wird als Policy-Feld in security.txt genutzt.

Dieses Werkzeug richtet sich ausschließlich an Unternehmerinnen und Unternehmer (§ 14 BGB).

Vorschau: CVD-Policy

Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD-Policy)

[Firmenname]

1. Geltungsbereich

Diese Richtlinie zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) gilt für alle von [Firmenname] hergestellten Produkte mit digitalen Elementen.

Sie beschreibt, wie Sicherheitsforschende und Dritte potenzielle Schwachstellen an [Firmenname] melden können und wie [Firmenname] damit umgeht. Sie setzt die Anforderungen des Cyber Resilience Act (VO (EU) 2024/2847, Anhang I Teil 2 Nr. 5) an eine Richtlinie zur koordinierten Offenlegung um und orientiert sich fachlich an ISO/IEC 29147 (Vulnerability Disclosure) und ISO/IEC 30111 (Vulnerability Handling).

2. Meldung einer Schwachstelle

Bitte melden Sie vermutete Schwachstellen an security@example.com.

Wir empfehlen die vertrauliche Übermittlung. Auf Anfrage stellen wir einen Kanal zur verschlüsselten Kommunikation bereit.

Hilfreiche Angaben sind: betroffenes Produkt und Version, eine Beschreibung der Schwachstelle, Schritte zur Reproduktion, mögliche Auswirkungen sowie — falls vorhanden — ein Proof of Concept. Bitte übermitteln Sie keine echten personenbezogenen Daten Dritter.

3. Unser Vorgehen und zugesagte Fristen

Wir bestätigen den Eingang einer Meldung innerhalb von 3 Werktage.

Wir bewerten und bearbeiten gemeldete Schwachstellen nach einem strukturierten Prozess in Anlehnung an ISO/IEC 30111 (Triage, Analyse, Behebung, Nachverfolgung). Über den Fortschritt halten wir Sie in angemessenen Abständen auf dem Laufenden.

Wir streben an, bestätigte Schwachstellen innerhalb von 90 Tagen ab Eingang der Meldung zu beheben oder eine abgestimmte Behandlung zu vereinbaren. Diese Frist kann sich bei komplexen Fällen oder bei erforderlicher Koordination mit Dritten (z. B. Zulieferern von Komponenten) verlängern; wir informieren Sie in diesem Fall.

4. Koordinierte Offenlegung

Wir bevorzugen die koordinierte Offenlegung. Nach Behebung und in Abstimmung mit der meldenden Person veröffentlichen wir — soweit angemessen — Sicherheitsinformationen (Advisory), gegebenenfalls mit CVE-Kennung. Wir bitten darum, Details bis zur Bereitstellung einer Behebung oder bis zum Ablauf der abgestimmten Offenlegungsfrist von 90 Tagen vertraulich zu behandeln.

Sofern eine ausnutzbare Schwachstelle im Sinne des CRA vorliegt, kommen wir zusätzlich unseren Melde- und Informationspflichten gegenüber den zuständigen Stellen und betroffenen Nutzern nach.

5. Anerkennung

Wir schätzen die Arbeit von Sicherheitsforschenden. Auf Wunsch nennen wir Sie in unseren Advisories als Melderin oder Melder (Anerkennung / „Hall of Fame"), sofern die Meldung im Rahmen dieser Richtlinie erfolgt ist.

6. Safe Harbor

Sicherheitsuntersuchungen, die in gutem Glauben und in Übereinstimmung mit dieser Richtlinie durchgeführt werden, betrachten wir als autorisiert. [Firmenname] wird gegen Personen, die diese Richtlinie einhalten, keine rechtlichen Schritte wegen ihrer Sicherheitsforschung einleiten und wird entsprechende Meldungen nicht als böswillig behandeln.

Von der Safe-Harbor-Zusage ausgenommen sind insbesondere: Zugriff auf oder Veränderung von Daten Dritter, absichtliche Beeinträchtigung der Verfügbarkeit (z. B. Denial-of-Service), Social Engineering gegen Beschäftigte sowie jede über das zur Bestätigung einer Schwachstelle erforderliche Maß hinausgehende Handlung. Diese Zusage begründet keinen Verzicht auf Rechte gegenüber Dritten und gilt unbeschadet zwingender gesetzlicher Vorschriften.

Vorlage, keine Rechtsberatung — vor Veröffentlichung prüfen. Dieses Dokument ist eine schematische Assemblierung aus Ihren Angaben (§ 2 RDG) und ersetzt keine Prüfung Ihres Einzelfalls durch eine Rechtsanwältin oder einen Rechtsanwalt.

Vorschau: security.txt (RFC 9116)

# Coordinated Vulnerability Disclosure — security.txt (RFC 9116)
# Company

Contact: mailto:security@example.com
Expires: 2027-07-18T17:21:32Z
Preferred-Languages: de, en

# Hinterlegen unter https://<ihre-domain>/.well-known/security.txt
# Empfohlen: Datei mit dem im Encryption-Feld genannten Schlüssel signieren (RFC 9116, Abschnitt 2.3).

Fertiges Paket per E-Mail

Sie sehen die Vorschau bereits vollständig. Das fertige Paket (druckfertige CVD-Policy als PDF + security.txt für /.well-known/security.txt) senden wir Ihnen zusätzlich kostenlos per E-Mail.

Umsetzung besprechen?