Artikel 33 VO (EU) 2024/482

(1) Der Inhaber eines EUCC-Zertifikats muss alle erforderlichen Verfahren für das Schwachstellenmanagement gemäß den Vorschriften dieses Abschnitts, die nötigenfalls durch die in der Norm EN ISO/IEC 30111 festgelegten Verfahren ergänzt werden, festlegen und aufrechterhalten.

(2) Der Inhaber eines EUCC-Zertifikats unterhält und veröffentlicht geeignete Methoden für die Einholung von Informationen über Schwachstellen in Bezug auf sein Produkt aus externen Quellen, darunter auch von Nutzern, Zertifizierungsstellen und Sicherheitsforschern.

(3) Wenn ein Inhaber eines EUCC-Zertifikats eine mögliche Schwachstelle in Bezug auf ein zertifiziertes IKT-Produkt feststellt oder Informationen hierüber erhält, zeichnet er diese Informationen auf und führt eine Analyse der Auswirkungen der Schwachstellen durch.

(4) Wenn sich eine mögliche Schwachstelle auf ein zusammengesetztes Produkt auswirkt, informiert der Inhaber des EUCC-Zertifikats die Inhaber abhängiger EUCC-Zertifikate über die mögliche Schwachstelle.

(5) Auf angemessenes Verlangen der Zertifizierungsstelle, die das Zertifikat ausgestellt hat, übermittelt der Inhaber eines EUCC-Zertifikats dieser Zertifizierungsstelle alle relevanten Informationen über mögliche Schwachstellen.