Beleid inzake gecoördineerde kwetsbaarheidsmelding

Het Coordinated Vulnerability Disclosure Policy (CVD), aangeduid als P39, stelt een gestructureerd en formeel proces vast voor de ontvangst, afhandeling en publieke openbaarmaking van kwetsbaarheden in de netwerken en informatiesystemen van de organisatie. Dit beleid is specifiek ontwikkeld om hiaten aan te pakken die in eerdere beleidslijnen zijn vastgesteld met betrekking tot de melding en coördinatie van extern gedetecteerde kwetsbaarheden, en waarborgt proactieve naleving van NIS2-richtlijn artikel 21(2)(e) en afstemming met internationale normen, waaronder ISO/IEC 29147 en Uitvoeringsverordening (EU) 2024/2690 van de Commissie. Het doel van dit beleid is tweeledig: het faciliteren van tijdige detectie en oplossing van beveiligingskwetsbaarheden door zowel interne beoordelingen als externe input te benutten, en het creëren van duidelijke, beveiligde routes voor externe partijen, zoals beveiligingsonderzoekers, partners en klanten, om kwetsbaarheden te melden. Concreet verplicht het beleid tot het opzetten van een publiek toegankelijk kanaal voor kwetsbaarheidsmelding, doorgaans een beveiligingscontact-e-mailadres of een versleuteld webformulier dat op de website van de organisatie wordt gepubliceerd, ter ondersteuning van veilige en effectieve communicatie met melders. Dit CVD-beleid beschrijft de taken en samenwerking die vereist zijn tussen alle betrokken partijen: het Vulnerability Response Team (VRT), verantwoordelijk voor triage en coördinatie van remediatie en openbaarmaking; IT- en ontwikkelingsteams, die technische aspecten van kwetsbaarheden valideren en aanpakken; communicatieprofessionals, die adviezen voorbereiden voor belanghebbenden en het publiek; en de externe melders zelf, die zich moeten houden aan richtsnoeren voor verantwoorde openbaarmaking. Belangrijk is dat het beleid een 'safe harbor'-principe verankert: onderzoekers te goeder trouw die handelen volgens de beleidsregels worden beschermd tegen juridische stappen, wat een coöperatieve cultuur voor kwetsbaarheidsbeheer bevordert. Het beleid is expliciet over servicelevels en beheersmaatregelen: bevestigingen van meldingen worden gegarandeerd binnen 2 werkdagen, de ernst wordt snel getrieerd en kritieke kwetsbaarheden leiden tot versnelde risicobeperking en escalatie naar management. Termijnen voor openbaarmaking worden vermeld (doorgaans binnen 90 dagen of op basis van wederzijdse overeenstemming), en publieke adviezen worden gecoördineerd om de beveiliging te maximaliseren, terwijl melders die toestemming geven om bij naam genoemd te worden, worden gecrediteerd. De vertrouwelijkheid van ingediende kwetsbaarheden en de identiteit van melders wordt benadrukt totdat gecoördineerde publieke openbaarmaking is overeengekomen. Governance over het CVD-programma is strikt. Het beleid wordt jaarlijks herzien of na significante incidenten, met eisen voor continue verbetering op basis van post-mortemreviews. Metrieken worden bijgehouden, logs worden onderhouden en regelmatige audits zijn verplicht om transparantie en doeltreffendheid in de afhandeling van kwetsbaarheden te waarborgen volgens het beleid en relevante regelgeving. Dit beleid is niet op het MKB toegesneden (er is geen MKB-notatie zoals 'S') en gaat uit van toegewijde beveiligings-, ontwikkelings- en communicatiefuncties voor een correcte CVD-werking, die allemaal voldoen aan strikte eisen voor ISO/IEC 27001:2022 en sectorale richtlijnen zoals NIS2.