ENISA lanceert European Vulnerability Database
De European Union Agency for Cybersecurity (ENISA) lanceert de European Vulnerability Database (EUVD). Deze database staat onder beheer van ENISA en omvat informatie over kwetsbaarheden.
De EUVD moet betrouwbare en actiegerichte informatie bieden over cybersecurity-kwetsbaarheden in ICT-producten en -diensten, inclusief mitigatiemaatregelen en exploitatiestatus. Henna Virkkunen, Europees Commissaris voor Technologische Soevereiniteit, Veiligheid en Democratie, noemt de EUVD een belangrijke stap is voor de versterking van Europa's veiligheid en veerkracht. Juhan Lepassaar, uitvoerend directeur van ENISA, ziet de EUVD als een essentieel hulpmiddel voor het verbeteren van het beheer van kwetsbaarheden en de bijbehorende risico's.
Het doel van de EUVD is om publiek beschikbare informatie uit verschillende bronnen te combineren. Denk daarbij aan CSIRTs, leveranciers en bestaande databases. De database moet zo een transparante en brede informatiebron, waarmee ENISA het bewustzijn over kwetsbaarheden wil vergroten en de blootstelling aan bedreigingen wil inperken. De EUVD is toegankelijk voor het grote publiek, leveranciers van netwerk- en informatiesystemen en entiteiten die hun diensten gebruiken. De gegevens zijn ook bedoeld voor nationale autoriteiten, zoals het EU CSIRTs-netwerk, private bedrijven en onderzoekers.
Dashboards
De geaggregeerde informatie in de EUVD wordt weergegeven via dashboards, met drie verschillende weergaven: kritieke kwetsbaarheden, actief uitgebuite kwetsbaarheden en EU-gecoördineerde kwetsbaarheden. De verzamelde informatie komt uit open-source databases en wordt aangevuld met advisories en alerts van nationale CSIRTs, mitigatie- en patchrichtlijnen van leveranciers, en markeringen van geëxploiteerde kwetsbaarheden.
ENISA werkt voor het kwetsbaarheidsecosysteem samen met verschillende EU- en internationale organisaties, waaronder MITRE's CVE-programma. Sinds januari 2024 kan ENISA als CVE Numbering Authority (CNA) kwetsbaarheden registreren en ondersteunen bij het openbaar maken van kwetsbaarheden.
Melden van kwetsbaarheden wordt verplicht
Het melden van actief geëxploiteerde kwetsbaarheden wordt verplicht voor fabrikanten vanaf september 2026 via de Single Reporting Platform (SRP), is vastgelegd in de Cyber Resilience Act (CRA). De SRP verschilt van de EUVD, die is opgericht volgens de NIS2-richtlijn. ENISA werkt dit jaar verder aan de verbetering en ontwikkeling van de EUVD en gerelateerde diensten, waarbij feedback wordt verzameld. Coördinatie van kwetsbaarheidsopenbaarmaking (CVD) en het CVE-programma spelen hierbij een belangrijke rol, waarbij ENISA als CNA een cruciale bijdrage levert aan het identificeren en publiceren van kwetsbaarheden.
Meer over Security
Over Wouter Hoeffnagel
