Sicherheitslücke melden
Coordinated Disclosure · Responsible Disclosure Policy
Wir entwickeln offline-first Compliance- und Trust-Apps. Wenn Sie eine Sicherheitslücke in unseren Apps (z. B. NIS2 Pilot) oder auf nis2pilot.app gefunden haben, freuen wir uns über eine vertrauliche Meldung.
So melden Sie
E-Mail an security@nis2pilot.app mit:
- betroffenem Produkt und Version,
- einer Beschreibung der Lücke,
- Schritten zur Reproduktion,
- Ihrer Einschätzung der Auswirkung.
Bitte keine öffentliche Meldung, bevor wir reagieren konnten. Maschinenlesbare Angaben nach RFC 9116 finden Sie in unserer security.txt.
Was Sie erwarten können
Eingangsbestätigung in der Regel innerhalb von 5 Werktagen. Wir prüfen jede Meldung, halten Sie über die Behebung auf dem Laufenden und nennen Sie auf Wunsch in den Release Notes. Ein bezahltes Bug-Bounty-Programm bieten wir derzeit nicht an — das sagen wir lieber offen.
Safe Harbor
Gegen Sicherheitsforscher, die in gutem Glauben handeln, keine Daten über das Notwendige hinaus abrufen, den Betrieb nicht stören und uns angemessene Zeit zur Behebung geben, leiten wir unsererseits keine rechtlichen Schritte ein. Auf Ansprüche Dritter oder behördliche Verfahren hat diese Zusage keinen Einfluss.
Rechtlicher Rahmen
Ab dem 11.09.2026 melden wir aktiv ausgenutzte Schwachstellen in unseren Produkten gemäß Art. 14 der Verordnung (EU) 2024/2847 (Cyber Resilience Act) über die dafür vorgesehenen Meldewege an das zuständige CSIRT (in Deutschland voraussichtlich das BSI) sowie an die ENISA. Ihre koordinierte Meldung hilft uns, dieser Pflicht nachzukommen.
English summary
Reporting a vulnerability: Email security@nis2pilot.app with product, version, description, reproduction steps and impact. Please do not disclose publicly before we have been able to respond. Machine-readable details: security.txt (RFC 9116).
Acknowledgement typically within 5 business days. No paid bug bounty at this time — we prefer to say that openly. Safe harbor applies to good-faith research on our part; claims by third parties or actions by public authorities are unaffected. From 2026-09-11, actively exploited vulnerabilities are reported to the competent CSIRT and ENISA under Regulation (EU) 2024/2847 (Cyber Resilience Act), Art. 14.
Stand: 11.06.2026