Deze maatregel borgt dat Aangeslotenen elkaar binnen 48 uur informeren wanneer zij informatie hebben over opgetreden of verwachte kwetsbaarheden die van invloed kunnen zijn op het afsprakenstelsel van Zorgeloos Vastgoed. Het kan hier bijvoorbeeld gaan om informatie verkregen via het NCSC, penetratietesten of een Responsible Disclosure-melding). Zie ook A.12.6.1 Beheer van technische kwetsbaarheden.

Kwetsbaarheden en incidenten die betrekking hebben op gegevens of het functioneren van het afsprakenstelsel Zorgeloos Vastgoed moeten binnen 48 uur gemeld te worden bij het centrale aanspreekpunt binnen Zorgeloos Vastgoed zoals beschreven in het Incident- en calamiteitenproces. Zie Aansluitovereenkomsten.

Softwareleveranciers Dienstverlener maken hierover zo nodig afspraken met de aangesloten Dienstverleners.

Deze maatregel gaat ook over gebruikers die de mogelijkheid (en plicht) hebben kwetsbaarheden en incidenten te (kunnen) melden. 

A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

• Stel vast dat de organisatie in haar procedures aansluit op het proces van incidenten en calamiteiten en proces beheren technische kwetsbaarheden uit het afsprakenstelsel Zorgeloos Vastgoed.

• Stel door middel van interview met de betrokken medewerkers en waar mogelijk onderbouwd met bewijslast vast of de procedures worden nageleefd.

• Stel door middel van interview en bewijslast vast of de deelnemer alle ontdekte kwetsbaarheden tijdig heeft gemeld aan Zorgeloos Vastgoed.

• Welke informatie / procedures (incl. versienummers) zijn ingezien.

• Met wie gesproken is ter bevestiging van de implementatie.

• Bewijslast m.b.t. ontdekte kwetsbaarheden en tijdige melding aan Zorgeloos Vastgoed.