PRE-LAUNCHText & numbers are AI-generated placeholders.
← Terug naar juridisch overzicht

Beveiliging

Beveiliging — Kwetsbaarheidsmelding

Beleid voor kwetsbaarheidsbehandeling: Incutec BV

ENISA-meldingen onder Art. 14 CRA gelden vanaf 11 september 2026. Volledige CRA-verplichtingen voor kwetsbaarheidsbehandeling gelden vanaf 11 december 2027.

CRA (EU) 2024/2847 is van toepassing vanaf 11 december 2027, met kwetsbaarheidsmeldingen onder Art. 14 vanaf 11 september 2026.

Van toepassing op alle Incutec-producten met digitale elementen (firmware).

Beleid

Incutec BV behandelt beveiligingskwetsbaarheden in zijn producten verantwoord: monitoring van upstream-projecten, coördinatie van openbaarmaking met onderzoekers te goeder trouw, en melding aan ENISA wanneer vereist.

Belgisch kader

Onderzoekers die te goeder trouw kwetsbaarheden melden volgens dit beleid genieten de bescherming van het Belgische kader voor gecoördineerde kwetsbaarheidsmelding (Wet van 26 april 2024 + relevante CCB-bepalingen). Wij raden aan om gelijktijdig met deze melding ook het Centrum voor Cybersecurity België (CCB) te informeren via vulnerabilityreport@ccb.belgium.be — zie https://ccb.belgium.be/nl. Een gelijktijdige CCB-melding kan strafrechtelijke immuniteit opleveren onder Art. 550bis Sw. voor onderzoek dat anders als ongeoorloofde toegang gekwalificeerd zou worden.

Het CCB fungeert ook als CVE Numbering Authority voor België.

Gecoördineerde kwetsbaarheidsmelding (Safe harbour)

Incutec verwelkomt kwetsbaarheidsmeldingen van beveiligingsonderzoekers. Indien u te goeder trouw dit beleid naleeft tijdens veiligheidsonderzoek, dan zullen wij:

  • Geen juridische actie tegen u ondernemen of ondersteunen
  • Met u samenwerken om het probleem snel te begrijpen en op te lossen
  • U vermelden in de beveiligingsmelding (tenzij u anoniem wenst te blijven)

Binnen scope

  • Door Incutec ontworpen hardware (flight controllers, ESC's, ELRS-receivers, en alle toekomstige producten)
  • Firmware die door Incutec wordt geleverd of gedistribueerd, inclusief board-target-definities die naar Betaflight, AM32 of ExpressLRS worden bijgedragen
  • incutec.eu, opendrone.be en subdomeinen die rechtstreeks door Incutec worden beheerd

Buiten scope

  • Denial-of-service-aanvallen en volumetrische tests
  • Fysieke aanvallen, social engineering of phishing van personeel
  • Diensten van derden die niet door Incutec worden beheerd (Shopify, Stripe, hostingproviders)
  • Meldingen die uitsluitend door geautomatiseerde scanners worden gegenereerd zonder bewijs van exploiteerbaarheid

Contact

Beveiligingskwesties: security@opendrone.be Machine-leesbaar: /.well-known/security.txt (RFC 9116)

Een PGP-sleutel zal hier en in security.txt worden gepubliceerd zodra de sleutelinfrastructuur in plaats is. Tot dan: begin met een niet-gevoelig eerste contact en wij zullen vóór het uitwisselen van technische details een versleuteld kanaal opzetten.

ENISA-registratie

Incutec zal zich registreren bij het ENISA Single Reporting Platform (SRP) vóór 11 september 2026. De ENISA-portaal-URL wordt hier gepubliceerd zodra het platform operationeel is.

Bijhouden van firmware-versies

Elk verzonden product is gekoppeld aan een firmware-versie. Wanneer een beveiligingspatch wordt uitgebracht, wordt de versie bijgewerkt en wordt het CVE-identificatienummer (indien van toepassing) opgenomen in de release-notes en op de productpagina.

Monitoring van upstream-CVE's

Delen van Incutec's firmware-stack zijn gebaseerd op upstream open-sourceprojecten: Betaflight (GPL-3.0), AM32 (GPL-3.0) en ExpressLRS (GPL-3.0). Voor sommige producten onderhouden we ook eigen firmware. Monitoring:

  • GitHub Security Advisories voor upstream-repositories
  • OSV.dev voor CVE's die deze projecten raken
  • Release-notificaties op upstream-repositories

Handmatige review wordt uitgevoerd wanneer upstream-projecten beveiligings-releases publiceren. Eigen firmware wordt gemonitord via de interne issue-tracker en de inbox security@opendrone.be.

Meldingsproces

Externe meldingen (altijd actief)

Verantwoorde openbaarmaking wordt te allen tijde aanvaard, onafhankelijk van de CRA-overgangsdata.

  1. Onderzoeker meldt aan security@opendrone.be
  2. Ontvangstbevestiging binnen 48 uur
  3. Beoordeling en triage binnen 5 werkdagen
  4. Coördineer patch-tijdlijn met de melder; vermelding tenzij anonieme voorkeur
  5. Standaard embargo: 90 dagen vanaf de eerste melding of tot een patch publiek beschikbaar is, naargelang welk tijdstip eerst valt. Embargo's kunnen in onderling overleg worden verlengd, bijvoorbeeld wanneer upstream-projecten extra tijd nodig hebben voor een gezamenlijke release

ENISA-melding (vanaf 11 september 2026)

Art. 14 CRA vereist melding van actief geëxploiteerde kwetsbaarheden EN ernstige incidenten met impact op de productbeveiliging.

StapTermijnInhoud
Vroegtijdige waarschuwing24 uur na kennisnameBetrokken product, aard van de kwetsbaarheid of het incident, exploitatie-indicatoren
Kwetsbaarheids-/incidentmelding72 uur na kennisnameTechnische details, betrokken versies, beschikbare mitigaties
Eindrapport14 dagen na de eerste melding (of na publicatie van de patch, naargelang welk tijdstip later valt)Hoofdoorzaak, patch-details, hoe getroffen gebruikers werden geïnformeerd, corrigerende maatregelen

"Kennisname" voor de toepassing van Art. 14 CRA betekent het moment waarop Incutec voldoende bewijs verkrijgt dat een kwetsbaarheid actief wordt geëxploiteerd of dat een ernstig incident heeft plaatsgevonden.

Interne ontdekking

  1. Documenteer in een privé-issue (niet op publieke GitHub)
  2. Bij actieve exploitatie of ernstig incident: melding aan ENISA binnen 24 uur volgens de tabel hierboven
  3. Ontwikkel en publiceer een patch
  4. Publiceer een beveiligingsmelding nadat de patch beschikbaar is

Distributie van patches en gebruikersmelding

  1. Publiceer gepatchte firmware op GitHub releases met een GitHub Security Advisory
  2. Plaats een productpagina-update en een notitie op de pagina met beveiligingsmeldingen
  3. Breng gebruikers op de hoogte per e-mail waar aankoopgegevens beschikbaar zijn
  4. Werk de SBOM van het betrokken product bij (CRA Bijlage I Deel II) en stel de nieuwe SBOM beschikbaar op de productpagina

Productondersteuningsperiode

Het CRA verplicht fabrikanten om beveiligingsupdates te leveren gedurende de verwachte levensduur van het product. Incutec verbindt zich tot beveiligingsupdates gedurende minimaal 5 jaar vanaf de laatste verzenddatum van een gegeven product, tenzij een langere periode op de productpagina staat vermeld. End-of-supportmeldingen worden minstens 6 maanden vóór het einde van de ondersteuning gepubliceerd op de productpagina en op de pagina met beveiligingsmeldingen.

Open-sourceoverwegingen

Voor kwetsbaarheden die zich in upstream-code bevinden (Betaflight, AM32, ExpressLRS) coördineert Incutec eerst de openbaarmaking met die projecten en respecteert hun embargo-periodes vóór enige openbare bekendmaking. Patches die upstream worden gemerged worden in Incutec's release-kanalen weerspiegeld.

Ernsttriage

Ernst wordt beoordeeld op basis van CVSS v3.1. Indicatieve patch-SLA's:

ErnstDoelstelling patch
Kritiek (CVSS ≥ 9,0)7 dagen
Hoog (CVSS 7,0–8,9)30 dagen
Gemiddeld (CVSS 4,0–6,9)90 dagen
Laag (CVSS < 4,0)Volgende reguliere release

Termijnen kunnen worden verlengd waar coördinatie met upstream-projecten vereist is.

Beleid van kracht: 20 april 2026 (datum waarop de BV operationeel wordt) Goedgekeurd door: Bestuurder, Incutec BV

Meld beveiligingsproblemen aan security@opendrone.be. Zie /.well-known/security.txt voor de machine-leesbare contactinformatie.