Das BACS sorgt dafür, dass Schwachstellen an Hard- und Software koordiniert offengelegt werden; es berücksichtigt dabei international anerkannte Standards.
Es setzt der Herstellerin der betroffenen Hard- oder Software eine Frist von 90 Tagen zur Behebung der Schwachstellen.
Es kann die Frist verkürzen, wenn eine Schwachstelle:
a. die Funktionsfähigkeit von kritischen Infrastrukturen gefährdet;
b. weit verbreitete Systeme betrifft; oder
c. für einen Cyberangriff verwendet wird oder besonders leicht für einen Cyberangriff ausgenutzt werden kann.
Es kann die Frist verlängern, wenn sich die Behebung der Schwachstelle als besonders aufwendig erweist.
Es kann die Betreiberinnen kritischer Infrastrukturen bereits vor der Offenlegung oder Behebung über Schwachstellen informieren.
Es informiert das Bundesamt für Kommunikation (BAKOM) unverzüglich über Schwachstellen in Fernmeldeanlagen nach Artikel 3 Buchstabe d des Fernmeldegesetzes vom 30. April 1997.
Die Absätze 1–4 gelten nicht für Schwachstellen, die das BAKOM im Rahmen seiner Aufsichtskontrollen (Art. 36–40 der Verordnung vom 25. November 2015 über Fernmeldeanlagen) feststellt und dem BACS meldet.