CRA, yazılım ve bağlantılı ürün güvenliği için oyunun kurallarını değiştiren bir düzenleme olacaktır. CRA, AB pazarında satılan yazılım ve bağlantılı ürün üreticileri için (üreticinin nerede bulunduğuna bakılmaksızın) siber güvenlik gereklilikleri uygulamaktadır. Bağlı cihazlardaki ve yazılımlarındaki güvenlik açıklarının işlenmesi ve raporlanmasıyla ilgili gereksinimlerden bazıları aşağıda verilmiştir:
- Koordineli bir güvenlik açığı açıklama politikası (CVD) oluşturun;
- Düzenli testler sağlamak ve mümkün olduğunda güvenlik güncellemelerini sağlamak için süreçlerin geliştirilmesi ve sürdürülmesi de dahil olmak üzere, gecikmeden güvenlik açıklarını ele alın ve düzeltin;
- “Aktif olarak istismar edilen” güvenlik açıklarını, belirlenen Bilgisayar Güvenliği Olaylarına Müdahale Ekibine (CSIRT) ve Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) bildirin;
- Kapsam dahilindeki ürünlerdeki en önemli yazılım bağımlılıklarının bir Yazılım Malzeme Listesini (SBOM) sağlayın.
Yasama belgesi bundan sonra Konsey ve Avrupa Parlamentosu başkanları tarafından imzalanacak ve önümüzdeki haftalarda AB’nin resmi gazetesinde yayınlanacak. Yeni yönetmelik yayınlandıktan yirmi gün sonra yürürlüğe girecek ve hükümlerin çoğu yürürlüğe girdikten üç yıl sonra uygulanacaktır. Güvenlik açığı raporlaması gibi belirli gereksinimler 21 ay içinde devreye girecek.
HackerOne’ın savunuculuğu, (1) iyi niyetli güvenlik araştırmacılarının zorunlu güvenlik açığı raporlamasına karşı geliştirilmiş korumaları ve (2) AB devletlerini araştırmacıları sorumluluktan korumaya ve çabalarının karşılığını almalarını sağlamaya teşvik eden hükümler dahil olmak üzere, CRA’da kayda değer iyileştirmelerin yapılmasına yardımcı oldu. Ne yazık ki CRA, ürün üreticilerinin, hafifletme durumuna veya devlet kurumlarının güvenlik açıklarını nasıl kullanabileceğine ilişkin korkuluklara bakılmaksızın aktif olarak yararlanılan güvenlik açıklarını açıklamasını zorunlu kılmaktadır. HackerOne, bu süreçte ek güvenlik önlemleri almak için uygulama süreci sırasında Üye Devletlerle birlikte çalışmaya devam edecektir.
Güvenlik açığı yönetimi ve raporlama gereksinimlerinin derinlemesine anlaşılması için HackerOne’ın özetine göz atın.