Bei aktiv ausgenutzten Schwachstellen handelt es sich um Fälle, in denen ein Hersteller feststellt, dass eine Sicherheitsverletzung, die sich auf seine Nutzer oder andere natürliche oder juristische Personen auswirkt, darauf zurückzuführen ist, dass ein böswilliger Akteur einen Fehler in einem der Produkte mit digitalen Elementen nutzt, die vom Hersteller auf dem Markt bereitgestellt werden. Bei solchen Schwachstellen kann es sich beispielsweise um Schwächen in den Identifizierungs- und Authentifizierungsfunktionen eines Produkts handeln. Schwachstellen, die ohne böswillige Absicht bei in gutem Glauben ausgeführten Tests, Untersuchungen, Korrekturen oder Offenlegungen, die auf die Sicherheit und den Schutz des Systemeigners und seiner Nutzer abzielen, festgestellt werden, sollten nicht meldepflichtig sein. Schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, beziehen sich hingegen auf Situationen, in denen ein Cybersicherheitsvorfall die Entwicklungs-, Herstellungs- oder Wartungsprozesse des Herstellers so beeinträchtigt, dass er zu einem erhöhten Cybersicherheitsrisiko für die Nutzer oder andere Personen führen könnte. Zu diesen schwerwiegenden Sicherheitsvorfällen gehört beispielsweise der Fall, dass ein Angreifer erfolgreich ein Schadprogramm in den Freigabekanal eingeschleust hat, über den der Hersteller Sicherheitsaktualisierungen für die Nutzer freigibt.
Erwägungsgrund 68
Verordnung (EU) 2024/2847 — veröffentlicht 10. Dezember 2024 · Letzte Prüfung durch Kunnus: März 2026
Schnellantwort für Hersteller
Erwägungsgrund 68 definiert „aktiv ausgenutzte Schwachstellen“: Fälle, in denen der Hersteller feststellt, dass ein Sicherheitsverstoß durch böswillige Akteure verursacht wurde. Damit beginnt die 24-Stunden-Frühwarnpflicht nach Artikel 14.
Diese Schnellantwort + FAQ ergänzen den Original-Rechtstext mit praxisorientierter Auslegung. Rechtsverbindlich ist allein der Originaltext.
Häufige Hersteller-Fragen
Was unterscheidet „aktiv ausgenutzt“ von einer normalen Schwachstelle?
Eine aktiv ausgenutzte Schwachstelle ist nicht nur theoretisch möglich, sondern nachweislich angegriffen. Erwägungsgrund 68 nennt: ein böswilliger Akteur nutzt einen Fehler im Produkt aus und verursacht einen Sicherheitsverstoß bei Nutzern.
Zählt ein Bug-Bounty-Fund als aktive Ausnutzung?
Nein. Schwachstellen, die im Rahmen von Sicherheitsforschung, Testing oder kontrollierter Offenlegung entdeckt werden, fallen nicht unter die Pflichtmeldung — sofern keine böswillige Ausnutzung erfolgt ist. Das ist die kritische Abgrenzung.
Wer entscheidet, dass eine Schwachstelle aktiv ausgenutzt wird?
Der Hersteller — auf Basis seiner verfügbaren Erkenntnisse. Telemetrie, Incident-Response-Daten, Kundenmeldungen können Auslöser sein. Im Zweifel: vorsichtshalber melden ist sicherer als Nicht-Meldung.
Verwandte Artikel
(1)Dieser Text wurde aus der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 übernommen. Die Darstellung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Maßgeblich ist allein der im Amtsblatt der Europäischen Union veröffentlichte Wortlaut. Originaltext auf EUR-Lex