ENISA, EU's agentur for cybersikkerhed, tager nu et væsentligt skridt mod at styrke modstandskraften i det digitale indre marked. Agenturet er blevet officielt autoriseret som CVE Numbering Authority (CNA), hvilket giver dem mandat til at tildele unikke identifikationskoder til it-sårbarheder. Samtidig arbejder ENISA på etableringen af en ny central europæisk database for sårbarheder (EUVD).
Nye værktøjer i kampen mod cybertrusler
Med den nye status som CNA kan ENISA nu tildele CVE-identifikatorer og offentliggøre oplysninger om sårbarheder, der opdages af eller rapporteres til EU's nationale it-sikkerhedsenheder (CSIRT'er). Dette initiativ er en del af en bredere indsats for at fremme Coordinated Vulnerability Disclosure (CVD), som sikrer, at sårbarheder først offentliggøres, når der findes en løsning eller afbødende foranstaltninger.
| Initiativ | Beskrivelse | Formål |
|---|---|---|
| CNA-status | Autorisation til CVE-registrering | Sikrer koordineret identifikation af sårbarheder i EU. |
| EUVD | European Vulnerability Database | En gennemsigtig database med beriget information om trusler. |
| CSAF | Common Security Advisory Framework | Standardiseret format til maskinlæsbare sikkerhedsmeddelelser. |
| CVD | Coordinated Vulnerability Disclosure | Model for ansvarlig offentliggørelse af sikkerhedshuller. |
Strategisk betydning for digital sikkerhed
Etableringen af EUVD sker som en direkte konsekvens af NIS2-direktivet. Databasen skal give adgang til detaljeret information fra flere kilder, herunder leverandører og eksisterende databaser. Ved at benytte CSAF-standarden muliggøres automatisering, hvilket gør det lettere for organisationer at prioritere deres sikkerhedsarbejde.
Hans de Vries, Chief Cybersecurity and Operating Officer (COO) hos ENISA, understreger vigtigheden af indsatsen:
"Vi er alle afhængige af software og tjenester i vores dagligdag. Software kan dog have sårbarheder, der forstyrrer brugen eller åbner døre for potentielt misbrug. At anerkende og adressere disse sårbarheder hurtigt er afgørende for at sikre vores digitale sikkerhed."
Lovgivningsmæssig ramme
Udover NIS2-direktivet vil den kommende Cyber Resilience Act (CRA) også stille krav til håndtering af sårbarheder. ENISA's nye rolle understøtter disse lovgivningsmæssige tiltag ved at skabe en mere effektiv koordinering på tværs af EU-medlemsstaterne.
