De Europese Unie (EU) heeft haar eigen kwetsbaarheden-database gelanceerd, de European Union Vulnerability Database (EUVD). Deze stap komt op een cruciaal moment, nu de internationale cybersecurity-gemeenschap geconfronteerd is met de potentiële finncierungsproblemen van het Common Vulnerabilities and Exposures (CVE)-programma, beheerd door MITRE.
De introductie van de EUVD is echter geen directe reactie op deze ontwikkeling, de timing is eerder toeval. De database is al langer in de maak en valt onder Artikel 12 van de NIS2-richtlijn, die het Europese cybersecurity-agentschap ENISA opdracht geeft om een Europees kwetsbaarhedenregister op te zetten.
Kenmerken van de EUVD
- EU-kwetsbaarheids-IDs - Elke kwetsbaarheid krijgt een unieke EUVD-ID (bijvoorbeeld EUVD-2022-49136) voor duidelijke, gestandaardiseerde tracering.
- CVE-integratie: Kruisverwijzing naar bestaande CVE's om brede en consistente dekking te waarborgen.
- CVSS-scores - Kwetsbaarheden worden beoordeeld met het Common Vulnerability Scoring System (CVSS), hoewel een eigen Europees scoringssysteem in de toekomst mogelijk is.
- Input van het CSIRT-netwerk - Omvat kwetsbaarheden die zijn gerapporteerd door het CSIRT-netwerk, waardoor de nauwkeurigheid en relevantie worden versterkt.
De timing van de lancering van de EUVD is opvallend, gezien de recente discussies over de financiering van de CVE-database. Mohamad Hajj, cybersecurity-specialist en nauw betrokken bij de Europese standaardisatie op dit gebied, merkt op LinkedIn op dat deze ontwikkeling interessante implicaties heeft voor de toekomst van cybersecurity in Europa.
Met de EUVD stelt de EU zich op als een belangrijke speler in het globale cybersecurity-landschap, met een focus op soevereiniteit en Europese governance. De database zal niet alleen bijdragen aan een betere catalogisering en beheer van kwetsbaarheden binnen Europa, maar ook een belangrijke rol spelen in het waarborgen van de digitale veiligheid van haar burgers en bedrijven.