Die vorliegende Leitlinie sowie die veröffentlichte Richtlinie für Sicherheitsforschende beschreiben den BSI-seitigen Umgang mit Schwachstellenmeldungen, die IT-Produkte und Dienstleistungen der Bundesverwaltung oder solche von Drittherstellern betreffen. Im Leitliniendokument werden der CVD-Prozess, die wesentlichen Verantwortlichkeiten der Beteiligten sowie deren Zusammenwirken näher erläutert.