Somente nos EUA, 14.286 CVEs foram publicadas até agora em 2024 no site do National Institute of Standards and Technology. Essas "Common Vulnerabilities and Exposures (CVEs)" designam vulnerabilidades de segurança e outras fraquezas em sistemas de computador que podem permitir que um hacker realize um ataque. De acordo com a futura legislação da UE, o Cyber Resilience Act (CRA), os dispositivos em breve não poderão mais ser entregues com vulnerabilidades exploráveis conhecidas. Se vulnerabilidades conhecidas e exploráveis ocorrerem, os fabricantes, vendedores ou importadores serão responsabilizados como empresas, assim como toda a gestão corporativa. Em relação à ciber-resiliência, a legislação do Cyber Resilience Act deixa claro para o futuro que os clientes – tanto no ambiente privado quanto industrial – têm um direito efetivo a software seguro. No entanto, a corrida para descobrir vulnerabilidades primeiro continua: as empresas, portanto, agem com sabedoria ao introduzir agora tanto a detecção eficiente de CVEs quanto uma avaliação de impacto para analisar melhor seus próprios produtos e se proteger contra as graves consequências de cenários de vulnerabilidade. "O CRA exige de todos os fabricantes a realização de testes, monitoramento e documentação obrigatórios da cibersegurança do produto, o que inclui a verificação de vulnerabilidades desconhecidas, os chamados 'Zero-Days'", diz Jan Wendenburg, CEO da ONEKEY, empresa especializada em cibersegurança sediada em Düsseldorf.
O termo Zero-Day refere-se a vulnerabilidades de segurança recém-descobertas pelas quais os hackers podem atacar e se refere a "zero dias" que um fabricante ou desenvolvedor tem para corrigir o erro. Muitos fabricantes ou distribuidores conhecem insuficientemente as vulnerabilidades potenciais de seus próprios produtos, que podem se esconder, por exemplo, em controles industriais, também em componentes com firmware próprio de fornecedores. Em geral, hardware e firmware, bem como todos os dispositivos da Internet das Coisas (IoT), podem ser afetados por tais vulnerabilidades. Com o ONEKEY Compliance Wizard, os especialistas em cibersegurança da ONEKEY oferecem uma avaliação abrangente de cibersegurança de produtos com elementos digitais. Ao combinar a detecção automática de vulnerabilidades, priorização e filtragem de CVEs com um questionário de conformidade interativo e holístico, o esforço e os custos dos processos de conformidade de cibersegurança são significativamente reduzidos e o risco de multas iminentes é minimizado. "Quem não quiser estar na linha de frente dos pagadores de multas no início do CRA, precisa criar processos agora para analisar e corrigir seus próprios riscos", aconselha Jan Wendenburg da ONEKEY.

