MKK, yazılım ve bağlı ürün güvenliği için oyun değiştiren bir düzenleme olacaktır. MKK, AB pazarında satılan yazılım ve bağlı ürün üreticileri için siber güvenlik gereksinimleri uygular (üreticinin nerede bulunduğuna bakılmaksızın). Aşağıda, bağlı cihazlardaki ve yazılımlarındaki güvenlik açıklarının işlenmesi ve raporlanması ile ilgili bazı gereksinimler verilmiştir:
- Koordineli bir güvenlik açığı açıklama politikası (CVD) oluşturun;
- Düzenli test sağlamak ve mümkün olan yerlerde güvenlik güncellemeleri sağlamak için süreçler geliştirmek ve sürdürmek de dahil olmak üzere, gecikmeden güvenlik açıklarını gidermek ve düzeltmek;
- Belirlenen Bilgisayar Güvenliği Olay Müdahale Ekibine (CSIRT) ve Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) “aktif olarak sömürülen” güvenlik açıklarını bildirin;
- Kapsanan ürünlerdeki en önemli yazılım bağımlılıklarının bir Yazılım Malzeme Yasası’nı (SBOM) sağlayın.
Yasama Yasası daha sonra Konsey ve Avrupa Parlamentosu başkanları tarafından imzalanacak ve önümüzdeki haftalarda AB’nin resmi dergisinde yayınlanacak. Yeni düzenleme, yayınlandıktan yirmi gün sonra yürürlüğe girecek. Güvenlik açığı raporlaması gibi bazı gereksinimler 21 ay içinde başlayacaktır.
HackerOne’un savunuculuğu, (1) iyi niyetli güvenlik araştırmacıları için zorunlu güvenlik açığı raporlamasından artan korumalar ve (2) AB devletlerini araştırmacıları sorumluluktan korumaya ve çabaları için telafi etmeye teşvik eden hükümler dahil olmak üzere MKK’da önemli iyileştirmeler sağlamaya yardımcı oldu. Ne yazık ki, MKK, ürün üreticilerinin, hafifletme statüsünden veya kasa kasabalarının güvenlik açıklarını nasıl kullanabileceğine bakılmaksızın aktif olarak sömürülen güvenlik açıklarını ifşa etmelerini gerektirir. Hackerone, bu süreçte ek önlemler almak için uygulama sürecinde Üye Devletlerle çalışmaya devam edecektir.
Güvenlik açığı işleme ve raporlama gereksinimlerinin derinlemesine anlaşılması için Hackerone’un özetine dalın.