Policy för samordnad sårbarhetsrapportering

Policy för samordnad sårbarhetsrapportering (CVD), benämnd P39, fastställer en strukturerad och formell process för mottagande, hantering och offentliggörande av sårbarheter i organisationens nätverk och informationssystem. Denna policy har utvecklats specifikt för att åtgärda brister som identifierats i tidigare policyer avseende rapportering och samordning av externt upptäckta sårbarheter och säkerställer proaktiv regelefterlevnad med NIS2-direktivets artikel 21.2(e) samt anpassning till internationella standarder, inklusive ISO/IEC 29147 och kommissionens genomförandeförordning (EU) 2024/2690. Syftet med denna policy är tvådelat: att möjliggöra snabb upptäckt och lösning av säkerhetssårbarheter genom att utnyttja både interna bedömningar och extern input, samt att skapa tydliga, säkra vägar för externa parter, såsom säkerhetsforskare, partners och kunder, att rapportera sårbarheter. Policyn kräver särskilt att en publik sårbarhetsrapporteringskanal etableras, vanligtvis en säkerhetskontakt via e‑post eller ett krypterat webbformulär publicerat på organisationens webbplats, som stödjer säker och effektiv kommunikation med rapportörer. Denna CVD-policy beskriver de skyldigheter och det samarbete som krävs mellan alla involverade parter: Sårbarhetsresponsteamet (VRT), som ansvarar för incidenttriage och samordning av åtgärdande och offentliggörande; IT- och utvecklingsteam, som validerar och hanterar tekniska aspekter av sårbarheter; kommunikationsspecialister, som förbereder rådgivande meddelanden till intressenter och allmänheten; samt de externa rapportörerna själva, som måste följa riktlinjer för ansvarsfullt offentliggörande. Viktigt är att policyn fastslår en "safe harbor"-princip: forskare som agerar i god tro och följer policyreglerna skyddas från rättsliga åtgärder, vilket främjar en samarbetsinriktad kultur för sårbarhetshantering. Policyn är tydlig avseende servicenivåer och kontroller: bekräftelse av rapporter garanteras inom 2 arbetsdagar, allvarlighetsgrad triageras skyndsamt och kritiska sårbarheter utlöser accelererade riskbegränsande åtgärder och eskalering till ledning. Tidslinjer för offentliggörande anges (vanligen inom 90 dagar eller enligt ömsesidig överenskommelse), och offentliga rådgivande meddelanden samordnas för att maximera säkerheten, samtidigt som rapportörer som samtycker kan krediteras med namn. Konfidentialiteten för inskickade sårbarheter och rapportörers identiteter betonas tills samordnat offentligt offentliggörande har överenskommits. Styrningen av CVD-programmet är strikt. Policyn ses över årligen eller efter betydande incidenter, med krav på ständig förbättring baserat på efterincidentgranskning. Mätetal följs upp, loggar upprätthålls och regelbundna revisioner krävs för att säkerställa transparens och effektivitet i sårbarhetshantering enligt policyn och relevanta regelverk. Denna policy är inte anpassad för små och medelstora företag (det finns ingen SME-markering såsom "S") och förutsätter dedikerade funktioner för säkerhet, utveckling och kommunikation för korrekt CVD-drift, i enlighet med strikta krav för ISO/IEC 27001:2022 och sektorsdirektiv såsom NIS2.