Schwachstellenmanagement, das CRA-Fristen einhält
Artikel 14 erlegt kontinuierliche Schwachstellenmanagement-Pflichten auf – einschließlich 24-Stunden-Meldung an die ENISA. Kunnus automatisiert Erkennung, Triage, Tracking und Meldung.
CRA-Schwachstellenpflichten im Detail
Der CRA etabliert das vorschreibendste Schwachstellenmanagement-Framework für EU-Produkthersteller.
Kontinuierliche Pflichten (Anhang I, Teil II)
Schwachstellen via SBOM identifizieren, unverzüglich durch kostenlose Updates beheben, regelmäßig testen, Fixes mit CVE-Kennungen veröffentlichen, CVD-Richtlinie pflegen.
24-Stunden-Frühwarnung an ENISA
Bei aktiv ausgenutzten Schwachstellen muss innerhalb von 24 Stunden eine Frühwarnung an die ENISA erfolgen.
72-Stunden-Schwachstellenmeldung
Innerhalb von 72 Stunden: Beschreibung, Auswirkungsanalyse, Korrekturmaßnahmen und Ausnutzungsstatus.
14-Tage-Abschlussbericht
Innerhalb von 14 Tagen: detaillierte Analyse, Ursache, ergriffene Maßnahmen und Restrisikobewertung.
Schwachstellen-Lifecycle in Kunnus
Von der Entdeckung bis zum Abschluss – jeder Schritt dokumentiert.
Automatisierte Erkennung
CVE-Korrelation gegen NVD, OSV und Hersteller-Feeds. CVSS-Scoring mit kontextbezogenen Anpassungen. Zero-Day-Alerts und produktübergreifende Auswirkungsanalyse.
Triage & Priorisierung
Risikobasierte Priorisierung mit CVSS, EPSS-Ausnutzbarkeit, Produktexposition und Komponentenkontext. CRA-SLA-Trigger für aktiv ausgenutzte Schwachstellen.
Behebungs-Tracking
Patch-Monitoring, SLA-Dashboards, Update-Verteilungsprotokollierung und Regressions-Tracking. Vollständiger Audit-Trail.
Regulatorische Meldung
ENISA-konforme Berichtsvorlagen. Automatisierte 24h/72h/14d-Countdown-Timer. Vollständige Dokumentation.
Metriken für Auditoren
Mittlere Erkennungszeit (MTTD)
Durchschnittliche Zeit von CVE-Veröffentlichung bis zur Kenntnis. Nachweis proaktiver Überwachung.
Mittlere Behebungszeit (MTTR)
Durchschnittliche Zeit von Kenntnis bis Patch-Release. Beleg für „unverzügliche“ Behebung gemäß Anhang I.
ENISA-Meldequote
Anteil meldepflichtiger Ereignisse innerhalb 24h/72h/14d. Direkter regulatorischer Compliance-Nachweis.
24 Stunden beginnen jetzt
Wenn eine aktiv ausgenutzte Schwachstelle Ihr Produkt trifft, läuft die Uhr. Kunnus stellt sicher, dass Sie erkennen, reagieren und dokumentieren.