Recital 76 Vulnerability disclosure policy and bug bounty programmes

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen sollten Konzepte für die koordinierte Offenlegung von Schwachstellen einführen, um das Melden von Schwachstellen durch natürliche oder juristische Personen entweder direkt an den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; oder indirekt und auf Wunsch anonym über die CSIRTs zu erleichtern, die gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 als Koordinatoren für die Zwecke der koordinierten Offenlegung von Schwachstellen benannt werden. Das Konzept der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; für die koordinierte Offenlegung von Schwachstellen sollte einen strukturierten Prozess vorsehen, in dem Schwachstellen dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in einer Weise gemeldet werden, die dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Diagnose und Behebung solcher Schwachstellen ermöglicht, bevor detaillierte Informationen über die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; an Dritte oder die Öffentlichkeit weitergegeben werden. Darüber hinaus sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auch in Erwägung ziehen, ihre Sicherheitskonzepte in maschinenlesbarem Format zu veröffentlichen. Angesichts dessen, dass mit Informationen über ausnutzbare Schwachstellen in weitverbreiteten Produkten mit digitalen Elementen auf dem Schwarzmarkt hohe Preisen zu erzielen sind, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; solcher Produkte in der Lage sein, im Rahmen ihrer Konzepte für die koordinierte Offenlegung von Schwachstellen Programme durchzuführen, mit denen sie Anreize für das Melden von Schwachstellen schaffen, indem sie dafür sorgen, dass natürliche oder juristische Personen Anerkennung und Belohnung für ihre Bemühungen erhalten. Hierbei handelt es sich um sogenannte „Bug-Bounty-Programme“.