ENISA lanceert Europese kwetsbaarhedendatabase EUVD

De database biedt geaggregeerde, betrouwbare en bruikbare informatie over cybersecuritykwetsbaarheden die ICT-producten en -diensten treffen. Deze informatie omvat onder meer mitigatiemaatregelen en de status van misbruik van de kwetsbaarheden.

Henna Virkkunen, uitvoerend vicevoorzitter van de Europese Commissie voor technologische soevereiniteit, veiligheid en democratie, stelde: "De EU-kwetsbaarhedendatabase is een belangrijke stap in de richting van de versterking van de veiligheid en veerkracht van Europa. Door kwetsbaarheidsinformatie relevant voor de EU-markt samen te brengen, verhogen we de cybersecuritynormen en stellen we zowel de private als de publieke sector in staat om onze gedeelde digitale ruimtes beter te beschermen met grotere efficiëntie en autonomie."

Juhan Lepassaar, uitvoerend directeur van ENISA, verklaarde: "ENISA bereikt een mijlpaal met de implementatie van de vereiste voor een kwetsbaarhedendatabase uit de NIS2-richtlijn. De EU is nu uitgerust met een essentieel instrument dat is ontworpen om het beheer van kwetsbaarheden en de daarmee samenhangende risico's aanzienlijk te verbeteren. De database waarborgt transparantie voor alle gebruikers van de getroffen ICT-producten en -diensten en zal dienen als een efficiënte informatiebron voor het vinden van mitigatiemaatregelen."

Waarom een Europese kwetsbaarhedendatabase?

Het doel van de EUVD is om een hoge mate van interconnectie te waarborgen van publiek beschikbare informatie afkomstig uit meerdere bronnen, zoals CSIRTs, leveranciers en bestaande databases. Om dit doel te bereiken, hanteert het platform een holistische aanpak. Als een onderling verbonden database maakt de EUVD betere analyse en de correlatie van kwetsbaarheden mogelijk door gebruik te maken van de open-source software Vulnerability-Lookup, waardoor het beheer van cybersecurityrisico's wordt verbeterd.

De EUVD biedt daarom een betrouwbare, transparantere en bredere bron van informatie en verbetert de bewustwording van de situatie, terwijl de blootstelling aan bedreigingen wordt beperkt.

Voor wie is de EUVD bedoeld?

De database is toegankelijk voor het grote publiek om informatie te raadplegen over kwetsbaarheden die IT-producten en -diensten treffen. Het is ook gericht op leveranciers van netwerk- en informatiesystemen en entiteiten die hun diensten gebruiken. Gedocumenteerde informatie in de EUVD is ook bedoeld voor bevoegde nationale autoriteiten, zoals het EU CSIRTs-netwerk, evenals particuliere bedrijven en onderzoekers.

Hoe werkt het?

De geaggregeerde informatie van de database wordt weergegeven via dashboards. De EUVD biedt drie dashboardweergaven: voor kritieke kwetsbaarheden, voor misbruikte kwetsbaarheden en voor EU-gecoördineerde kwetsbaarheden. De EU-gecoördineerde kwetsbaarheden bevatten de kwetsbaarheden die worden gecoördineerd door Europese CSIRTs en omvatten de leden van het EU CSIRTs-netwerk.

De verzamelde en gerefereerde kwetsbaarheidsinformatie is afkomstig uit open-source databases. Aanvullende informatie wordt toegevoegd via adviezen en waarschuwingen van nationale CSIRTs, richtlijnen voor mitigatie en patching die door leveranciers zijn gepubliceerd, samen met markeringen voor misbruikte kwetsbaarheden. EUVD-datarecords kunnen de volgende informatie bevatten:

• Een beschrijving van de kwetsbaarheid;
• Getroffen ICT-producten of ICT-diensten en/of getroffen versies, de ernst van de kwetsbaarheid en hoe deze kan worden misbruikt;
• Informatie over bestaande relevante beschikbare patches of richtlijnen van bevoegde autoriteiten, waaronder CSIRTs, en gericht aan gebruikers over hoe risico's te beperken.

De rol van ENISA in het kwetsbaarheidsecosysteem

Om te voldoen aan de vereisten van de NIS2-richtlijn, is ENISA een samenwerking aangegaan met verschillende EU- en internationale organisaties, waaronder het CVE-programma van MITRE. ENISA staat in contact met MITRE om de impact en de volgende stappen te begrijpen na de aankondiging over de financiering van het Common Vulnerabilities and Exposures Program. CVE-gegevens, gegevens van ICT-leveranciers die kwetsbaarheidsinformatie vrijgeven via adviezen, en relevante informatie zoals de Known Exploited Vulnerability Catalogue van CISA worden automatisch overgebracht naar de EUVD. Dit zal ook worden bereikt met de steun van lidstaten die nationale Coordinated Vulnerability Disclosure (CVD)-beleidslijnen hebben opgesteld en die een van hun CSIRTs hebben aangewezen als coördinator, waardoor de EUVD uiteindelijk een betrouwbare bron wordt voor verbeterde bewustwording van de situatie in de EU.

Als een CVE Numbering Authority (CNA) kan ENISA sinds januari 2024 kwetsbaarheden registreren en kwetsbaarheidsdisclosure ondersteunen met betrekking tot:

• Kwetsbaarheden in IT-producten die zijn ontdekt door EU CSIRTs zelf; en
• Kwetsbaarheden die worden gemeld aan EU CSIRTs voor gecoördineerde disclosure, zolang deze niet onder de scope van een andere CVE Numbering Authority vallen.

Wat is het verschil tussen de EUVD en het CRA Single Reporting Platform?

Het melden van actief misbruikte kwetsbaarheden wordt vanaf september 2026 verplicht voor fabrikanten. Dit meldingsproces is van toepassing op kwetsbaarheden die hardware- en softwareproducten met digitale elementen treffen. Het Single Reporting Platform (SRP), voorzien door de Cyber Resilience Act (CRA), zal de tool zijn die voor dit doel wordt gebruikt. Het is belangrijk om te benadrukken dat het SRP daarom verschilt van de EUVD die is opgezet door de NIS2-richtlijn.

Wat is de volgende stap?

2025 zal worden besteed aan het verder verbeteren en ontwikkelen van de EUVD en alle gerelateerde diensten. Hiervoor zal ENISA feedback verzamelen.

Contextuele informatie

• Coordinated Vulnerability Disclosure (CVD): CVD kan worden omschreven als een model voor het vrijgeven van kwetsbaarheden dat de dreiging van misbruik van kwetsbaarheden probeert te beperken, door ervoor te zorgen dat kwetsbaarheden aan het publiek worden bekendgemaakt nadat de verantwoordelijke partijen voldoende tijd hebben gekregen om een oplossing, een patch te ontwikkelen of mitigatiemaatregelen te treffen.
• Common Vulnerabilities and Exposures (CVE) Programme: De missie van het CVE-programma is om publiek bekende cybersecuritykwetsbaarheden te identificeren, te definiëren en te catalogiseren. Er is één CVE-record voor elke kwetsbaarheid in de catalogus. De kwetsbaarheden worden ontdekt, vervolgens toegewezen en gepubliceerd door organisaties van over de hele wereld die samenwerken met het CVE-programma. Partners publiceren CVE-records om consistente beschrijvingen van kwetsbaarheden te communiceren. Informatietechnologie- en cybersecurityprofessionals gebruiken CVE-records om ervoor te zorgen dat ze hetzelfde probleem bespreken en om hun inspanningen te coördineren om de kwetsbaarheden te prioriteren en aan te pakken.
• CVE Numbering Authorities (CNA's): CNA's zijn organisaties die verantwoordelijk zijn voor de regelmatige toewijzing van CVE-ID's aan kwetsbaarheden en voor het creëren en publiceren van informatie over de kwetsbaarheid in het bijbehorende CVE-record. Elke CNA heeft een specifiek werkterrein voor de identificatie en publicatie van kwetsbaarheden. ENISA is nu bevoegd om CVE-identifiers (CVE-ID's) toe te wijzen en CVE-records te publiceren voor kwetsbaarheden die zijn ontdekt door of gemeld aan EU CSIRTs, in overeenstemming met hun toegewijde coördinatorrollen.
• Common Security Advisory Framework (CSAF): CSAF is een standaard voor machineleesbare beveiligingsadviezen. Een dergelijke gestandaardiseerde indeling voor het opnemen van informatie over kwetsbaarheidsadviezen vereenvoudigt triage- en herstelprocessen voor eigenaren van assets. Door beveiligingsadviezen te publiceren met behulp van CSAF zullen leveranciers de tijd verminderen die bedrijven nodig hebben om de impact op de organisatie te begrijpen en tijdige herstelmaatregelen te nemen.