Svelnor CVD
Ein fertiges Meldeportal für Sicherheitshinweise zu Ihren Produkten. Forschende und aufmerksame Nutzer erreichen Sie auf einer klar definierten, öffentlich auffindbaren Adresse; Sie bekommen strukturierte, priorisierte Meldungen statt Rauschen in der Support-Inbox. Ab September 2026 ist eine solche Meldestelle für Softwarehersteller in der EU Pflicht, der Cyber Resilience Act schreibt sie vor.
Dieses Werkzeug befindet sich noch in Entwicklung und ist noch nicht nutzbar. Die hier beschriebenen Funktionen sind als Vorschau auf den späteren Lieferumfang zu verstehen.
- Hosted security.txt nach RFC 9116 unter Ihrer Domain
- Einreichungs-Formular mit optionaler PGP-Verschlüsselung und TLP-Stufen (Traffic Light Protocol)
- Ticket-System mit automatischer Benachrichtigung an Ihr Team per E-Mail oder Webhook
- CVE-Request-Vorlage und Vorlauf für die Weiterleitung an BSI oder ENISA
- Auto-Reply mit Offenlegungs-Frist und nächsten Schritten, damit Forschende wissen, woran sie sind
- Export jeder Meldung als signiertes PDF für Revisionsakten
Warum jetzt
Der Cyber Resilience Act verpflichtet Hersteller von "Produkten mit digitalen Elementen" ab 11. September 2026 zur Bereitstellung einer strukturierten Meldestelle. Ein vergessenes "security@..."-Postfach, das nach drei Tagen antwortet, reicht dafür nicht aus. Svelnor CVD liefert den kompletten Baustein ab Tag eins.
Was wir bewusst nicht sind
Kein Bug-Bounty-Marktplatz, keine Zahlungsabwicklung für Forschende, kein Triage-Service. Wer das braucht, ist bei YesWeHack oder Intigriti besser aufgehoben. CVD ist die schlanke, CRA-konforme Meldestelle, nicht die Dachorganisation Ihres Schwachstellen-Programms.
Datenschutz für alle Beteiligten
Meldende können pseudonym einreichen. Sensitive Inhalte (Proof-of-Concept, Screenshots) werden nicht dauerhaft bei uns vorgehalten, sondern nach Bestätigung des Empfangs bei Ihnen gelöscht. Gesundheits- und Kanzleikunden können Pflichtfelder durchsetzen, die Berufsgeheimnisse fernhalten (Stichwort § 203 StGB).
Verhältnis zu BSI und ENISA
Das Portal ersetzt keine eigene Meldung bei Behörden. Es liefert aber die Rohdaten, aus denen eine CRA-konforme Meldung (24 Stunden Erstmeldung, 72 Stunden Details, 14 Tage Abschluss) schnell formuliert werden kann. Die eigentliche Meldung an CSIRT und ENISA verbleibt bei Ihnen oder läuft später über Svelnor Report, sobald dieser Baustein fertig ist.