Recital 58

Aangezien de exploitatie van kwetsbaarheden in netwerk- en informatiesystemen aanzienlijke verstoringen en schade kan veroorzaken, is het snel identificeren en verhelpen van dergelijke kwetsbaarheden een belangrijke factor in het verminderen van het risico. Entiteiten die netwerk- en informatiesystemen ontwikkelen of beheren, moeten daarom passende procedures vaststellen om kwetsbaarheden aan te pakken wanneer deze worden ontdekt. Aangezien kwetsbaarheden vaak door derden worden ontdekt of bekendgemaakt, moet de fabrikant of aanbieder van ICT-producten of ICT-diensten ook voorzien in de noodzakelijke procedures om kwetsbaarheidsinformatie van derden te ontvangen. In dat verband bieden de internationale normen ISO/IEC 30111 en ISO/IEC 29147 richtsnoeren voor de respons op en de bekendmaking van kwetsbaarheden. Het versterken van de coördinatie tussen de rapporterende natuurlijke personen en rechtspersonen en de fabrikanten of aanbieders van ICT-producten of ICT-diensten is met name van belang ten behoeve van het vrijwillige kader voor de bekendmaking van kwetsbaarheden. De gecoördineerde bekendmaking van kwetsbaarheden duidt een gestructureerd proces aan waarbij kwetsbaarheden aan de fabrikant of aanbieder van de potentieel kwetsbare ICT-producten of ICT-diensten worden gemeld op een manier die deze in staat stelt de kwetsbaarheid te diagnosticeren en te verhelpen voordat gedetailleerde informatie over de kwetsbaarheid aan derden of aan het publiek wordt bekendgemaakt. De gecoördineerde bekendmaking van kwetsbaarheden moet ook betrekking hebben op de coördinatie tussen de rapporterende natuurlijke persoon of rechtspersoon en de fabrikant of aanbieder van de potentieel kwetsbare ICT-producten of ICT-diensten wat betreft het tijdstip van het herstel en de bekendmaking van de kwetsbaarheden.