Schwachstellenmeldung (CVD / Coordinated Vulnerability Disclosure)

Coordinated Vulnerability Disclosure (CVD) beschreibt den koordinierten Prozess, bei dem Sicherheitsforscher entdeckte Schwachstellen zunächst vertraulich an den Hersteller melden, bevor sie öffentlich bekannt gemacht werden, um Patches vor der Veröffentlichung zu ermöglichen. Der Cyber Resilience Act (CRA) verpflichtet Hersteller vernetzter Produkte ab 2027, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA zu melden. In IT-Vergaben für sicherheitskritische Systeme sollten CVD-Richtlinien und Reaktionszeiten des Anbieters als Eignungskriterium abgefragt werden.