EU introduceert EUVD-database met informatie over kwetsbaarheden

Het EU-agentschap Enisa heeft een Europese kwetsbaarhedendatabase geïntroduceerd. In deze database komen gemelde kwetsbaarheden van bijvoorbeeld Csirt's, softwareleveranciers en andere databases te staan.

Enisa spreekt over een 'verbonden database' met 'betrouwbare en uitvoerbare informatie', waarbij de info uit verschillende bronnen wordt verzameld. Het gaat onder meer om computer security incident response teams, ofwel Csirt's, softwareleveranciers en bestaande databases. Onder deze laatste groep valt bijvoorbeeld bugs uit het Common Vulnerabilites and Exposures-database, ofwel CVE. Enisa zegt in contact te zijn met Mitre om te vragen hoe het zit met de toekomstige financiering van CVE.

De EUVD bevat drie dashboards; kritieke kwetsbaarheden, kwetsbaarheden die in de praktijk worden misbruikt en kwetsbaarheden die door EU-Csirt's worden gecoördineerd. De database is opengesteld voor iedereen en is bedoeld voor consumenten, bedrijven, Europese toezichthouders en onderzoekers. Enisa zegt dit jaar EUVD te willen ontwikkelen en verbeteren, mede op basis van feedback van gebruikers.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Hayte Hugo

Redacteur

Feedback • 14-05-2025 19:24
38 • submitter: wildhagen

14-05-2025 • 19:24

Submitter: wildhagen

Lees meer

Amerikaans cybersecurityagentschap redt CVE-programma met financiering

Amerikaans cybersecurityagentschap redt CVE-programma met financiering Nieuws van 16 april 2025

Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation

Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation Nieuws van 16 april 2025

'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden

'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden Nieuws van 21 november 2024

Agentschappen cyberbeveiliging Europa en VS kondigen officiële samenwerking aan

Agentschappen cyberbeveiliging Europa en VS kondigen officiële samenwerking aan Nieuws van 7 december 2023

Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten

Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten Nieuws van 2 augustus 2022

EU: Aantal cyberaanvallen op kritieke Europese sectoren is verdubbeld

EU: Aantal cyberaanvallen op kritieke Europese sectoren is verdubbeld Nieuws van 10 juni 2021

Meer producten en artikelen

Beveiliging en antivirus Europa Europese unie

Reacties (38)

ramonfincken 14 mei 2025 19:29

Laat die API maar komen

scorpie @ramonfincken • 14 mei 2025 19:37

Je bedoelt deze? https://euvd.enisa.europa.eu/apidoc

Kwistnix @scorpie • 14 mei 2025 23:43

Wij gebruiken nu de OWASP Dependency-Check die wordt gevoed door NVD Data Feeds. Lijkt dat deze API hier geen bruikbaar alternatief voor is. Althans, niet wanneer je de hele vulnerability set wilt laden en tegen project dependencies aan wil gooien. Zoiets zou wel erg praktisch zijn IMO. In ieder geval een manier om de hele DB te downloaden voor in een lokale cache en die dan vervolgen up-to-date te houden via deze API of iets dergelijks.

Edit: Hm, /api/vulnerabilities ondersteunt wel filtering en pagination met 100 records per pagina, dus daarmee zou je een eind kunnen komen, als ze rate-limiting niet te strak hebben ingeregeld. Nog steeds niet ideaal, maar goed.

[Reactie gewijzigd door Kwistnix op 14 mei 2025 23:48]

fenrirs @Kwistnix • 15 mei 2025 07:06

Ik zou zeggen, ze vragen om feedback…….

themadone @scorpie • 14 mei 2025 19:40

Tnx voor de link, die zal ik vanavond eens met de lokale AI gaan koppelen zodat ik alleen meldingen zie die op mijn spul van toepassing zijn.

Gelukkig nemen ze de normale cve's ook mee, want ja we snappen dat er voor alles een Europees initiatief moet komen, maar laat er aub geen cruciale info verloren gaan doordat we op verschillende plekken gaan rapporteren.

Xfade @themadone • 15 mei 2025 00:59

Is het AI of een script ?

@Xfade • 15 mei 2025 07:07

Sommige mensen zijn al.zo ver dat ze delen van hun werk niet scripten maar met ai-agents oplossen.
Dit is flexibeler; de ai kan bijvoorbeeld analyseren bij een nieuwe euvd en bij een code update of de kwetsbaarheid relevant is voor de repo én kan direct actie ondernemen.

[Reactie gewijzigd door djwice op 15 mei 2025 07:07]

themadone @Xfade • 15 mei 2025 08:48

Een AI, zie de reactie van djwice hierboven

bwerg @lariekoek • 14 mei 2025 23:32

Het gaat links of rechts om dus om informatie die je kunt uitvoeren. En sorry, maar daar zitten echt twee kanten aan, voor diegenen die het ontging.

Nog nooit met de CVE's uit Mitre gewerkt, zie ik. Daar staat regelmatig in "in Lib X versie Y zit een vulnerability, update naar versie Z, nadere details volgen nog". Daar heb je als aanvaller nauwelijks iets aan.

En zodra er wel details in staan is dat vaak gewoon een samenvatting van wat er ook besproken is via bijvoorbeeld reacties op github, dus dat is toch al publiek.

Je hebt het verder over "uitvoerbare informatie" alsof het de bedoeling is deze CVE's te misbruiken, maar de gelinkte tekst heeft het over "actionable information", waarmee bedoeld wordt dat je hier als beheerder/gebruiker van software op kan acteren door kwetsbaarheden te voorkomen.

[Reactie gewijzigd door bwerg op 14 mei 2025 23:36]

Beveiliging en antivirus

@bwerg • 14 mei 2025 23:58

Ja klopt, de details worden pas toegevoegd als de fix inmiddels uit is (en liefst enige tijd daarna). Dat doen ze behoorlijk consequent. Het is ook gewoon policy. De enige uitzondering is als de ontdekker alles zelf al publiek heeft gemaakt. Dat gebeurt wel eens, niet iedereen houdt zich aan responsible disclosure. Soms is het ook wel eens nodig omdat een leverancier weigert om het probleem op te lossen. Dan wordt het wel eens 'in de groep gegooid' om een actie te forceren.

Uiteraard wordt er over nagedacht dat er meegelezen wordt door 'de andere kant'.

Maar ik vind het ook heel goed dat Europa dit nu zelf doet. MITRE is veel te Amerikaans. Ze doen goed werk maar je kan er gewoon niet meer op vertrouwen. Het zou beter zijn als dit soort dingen door de VN worden geregeld want het gaat om wereldproblemen, niet alleen Amerikaanse of westerse. maar een eigen optie in de EU is ook een goed alternatief.

[Reactie gewijzigd door Llopigat op 15 mei 2025 00:02]

BartOtten @Llopigat • 15 mei 2025 09:22

VN, bekend van Iran als voorzitter van de werkgroep vrouwenrechten.

Rusland die dan een jaar lang de database mag bijhouden, gevolgd door een jaar lang China en dan een jaar de VS? Klinkt als een succes….

Stukfruit @lariekoek • 14 mei 2025 20:05

Inderdaad een beetje flauw om zo te reageren op iets wat eigenlijk wel een goed initiatief is

Nu de VS steeds meer autoritaire trekken begint te krijgen en technologische vooruitgang via publieke middelen niet meer wordt aangemoedigd, is het nieuws uit dit artikel heel netjes om te zien.

Het betekent dat er bij de EU in ieder geval nog mensen werken die weten waar ze mee bezig zijn of luisteren naar wat er nodig is.

[Reactie gewijzigd door Stukfruit op 14 mei 2025 20:05]

Stukfruit @lariekoek • 14 mei 2025 21:03

Waar jij tweeledigheid ziet, zien anderen dat criminelen (inclusief staten) ook over de betreffende informatie zullen beschikken. Maar dan waarschijnlijk al voordat het in een publieke database staat.

Mocht je dat niet bedoelen, dan is het wellicht verstandig om daar wat dieper op in te gaan ipv met wolligheid uit de platenkast van Alanis Morissette te komen

Stukfruit @wvdburgt • 14 mei 2025 20:18

EUR 26.2 miljoen voor 2024, zoals je terug kan vinden in de openbare budgetten.

Een schijntje vergeleken met de kosten van alle problemen die veroorzaakt worden door het wegvallen van dit soort systemen.

[Reactie gewijzigd door Stukfruit op 14 mei 2025 20:55]

Maurits van Baerle

Europa
Europese unie

@Stukfruit • 14 mei 2025 21:02

Dat is het totale budget voor het hele European Union Agency for Cybersecurity (ENISA), deze database zal daar natuurlijk maar een schijntje van kosten. Als het eenmaal in de lucht is misschien maar één FTE.

[Reactie gewijzigd door Maurits van Baerle op 14 mei 2025 22:46]

Stukfruit @Maurits van Baerle • 14 mei 2025 21:08

Klopt, maar aangezien de originele poster het over miljarden had vond ik dit genoeg zoekwerk om een gevoelsmatige stelling af te schieten die niet correct is

Dat er daarna vooral onderhoud zal zijn is inderdaad een goed punt. Maakt het nog goedkoper als je het afzet tegen al het onheil dat ermee opgespeurd en verholpen kan worden.

uiltje @Maurits van Baerle • 15 mei 2025 00:13

Da's maar goed ook, zoveel mensen werken er niet in het kantoorgebouwtje op dat Griekse eilandje

Maar natuurlijk is het meer een aansturend orgaan dan wat anders.

(het hoofdkantoor in Athens is meer een handig postadres, het kantoortje is op Heraklion)

EDIT: Oh, niet meer, dat ziet er echt uit als een mooi gebouw in Athene. Ik kijk vaak even op Maps om te zien waar ik echt mee te maken heb.

[Reactie gewijzigd door uiltje op 15 mei 2025 00:19]

@Stukfruit • 14 mei 2025 20:32

Echt hé... Dit soort (mis/op)vattingen over de politiek, plannen en overheidszaken zoals van @wvdburgt zijn in mijn gevoel vaak "why we can't have nice things" en waarom het buiten Europa soms zoveel makkelijker is/lijkt om te investeren in langetermijndoelen en échte oplossingen.... Want dit soort misvattingen bestaan niet alleen in Tweakers-comments, maar met dit soort argwaan en niet-daadwerkelijk-gecontroleerd-of-het-ook-zo-is onderbuikgevoelens wordt ook gestemd in de stembus en zit inmiddels het halve parlement vol met dit soort opvattingen, zowel nationaal als Europees...

Natuurlijk is het goed om kritisch te zijn op overheidsuitgaven, maar juist daarvoor hebben we zoveel elementen tot onze beschikking waarmee we als burger kunnen controleren. Zoals bijvoorbeeld gelinkt door @Stukfruit

En vraag elke expert over een onderwerp als deze en die zal je vertellen dat als het 26 miljoen heeft gekost dat een extreem lucratieve investering is, gezien hoeveel publiek én privaat geld er verloren gaat aan het voorkomen, oplossen en fixen van problemen die dankzij iets als EUVD misschien veel makkelijker (lees: goedkoper) zijn om mee te dealen.

[Reactie gewijzigd door Helium-3 op 14 mei 2025 20:32]

watercoolertje @wvdburgt • 14 mei 2025 20:18

Vast wel, maar imo lekker boeiend, paar euro de man om onafhankelijk zijn van een onbetrouwbare 'bondgenoot'. Ik laat er graag een biertje voor staan, of niet, onfhankelijkheid en een biertje om het te vieren!

Scriptkid @watercoolertje • 15 mei 2025 08:19

1 keer een rotte appel maakt de hele boom nog niet rot.

Denk dat hij de 4 jaar niet gaat halen eerste afzetting processen zijn al opgestart en hij doet zijn best om elke week weer munitie toe te voegen aan die cases.

Standeman @Scriptkid • 15 mei 2025 08:59

You won’t have to vote any more

(c) Donald Trump

Ik denk dat daar tot zijn dood blijft zitten, net zoals Putin.

Scriptkid @Standeman • 15 mei 2025 17:21

dat zal het volk nooit accepteren en is in direct violation van de grond wet.

satya @Scriptkid • 16 mei 2025 12:49

Die grondwet staat op dit moment bij het oud papier.

Scriptkid @satya • 16 mei 2025 14:18

Waarom wordt die kleuter dan telkens terug gefloten op basis van de grondwet door de suppreme court.

ja hij heeft 1 keer gelijk gekregen maar is alle andere dingen aan het verliezen zelfs door zijn eigen gekozen rechters.

downtime @wvdburgt • 14 mei 2025 20:46

Heb je liever dat elke lidstaat dit op eigen houtje gaat doen? Ik kan je verzekeren dat het dan veel meer kost dan wanneer de EU het doet.

Keypunchie 14 mei 2025 19:59

Logisch en verstandig dat EU dit doet. We zijn in Europa zeer sterk gedigitaliseerd (zeker in Nederland) en het is duidelijk dat de behoefte aan coordinatie van cybersecurity een blijvertje is.

Als ze dan in de VS zo onbetrouwbaar zijn dat ze bijna de financiering hadden stopgezet omdat 'exploits tracken' woke wordt gevonden, dan moet je een eigen fundament onder beveiliging gaan leggen. Heel vervelend dat er nu duplicatie ontstaat, maar dit is net even te belangrijk om van de grillen van een huisjesmelker af te laten hangen.

morphje @Keypunchie • 15 mei 2025 10:07

Logisch? Misschien. Ik zie het persoonlijk als een overtrokken anti-amerika reactie, zoals veel dingen die de EU momenteel doet. Ineens in de VS het kwaad vertegenwoordigt terwijl ze zich al decennia gedragen als slechte vrienden.

Of het verstandig is? In mijn mening totaal niet. Samenwerken had veel beter geweest. Meer EU invloed in de vorm van een CNA-TL bijvoorbeeld en een CNA-LR onder europese invloed. Veel van deze zaken zijn nu vrijwel exclusief onder amerikaanse bedrijfsinvloed.

Je gaat nu heel veel duplicatie krijgen en naarmate er meningsverschillen gaan ontstaan tussen MITRE en EUVD, zal de informatie andere informatiestromen gaan opwekken en dat levert een hoop werk op voor iedereen. Of ze blijven strikt op het CVE systeem, maar dan is een eigen initiatief zoals dit praktisch zinloos omdat er geen extra invloed komt.

Heel eerlijk hoop ik dat dit initiatief een stille dood sterft en er meer samenwerking komt en de database zelf simpelweg gedupliceerd over meerdere politieke invloedsferen. Want laat ik de EU ongeveer net zoveel vertrouwen als de VS op invloed gebied. Liever dat ze openlijk vijandig zijn over dezelfde database.

Keypunchie @morphje • 15 mei 2025 10:22

Ik zie het persoonlijk als een overtrokken anti-amerika reactie

Tsja, we waren letterlijk 1 dag verwijderd van plots gestopte financiering.

Het is niet anti-Amerikaans, maar het huidige Amerika heeft expliciet duidelijk gemaakt in woord en daad, dat andere landen niet op hun kunnen rekenen. "Strategic Uncertainty" noemen ze het zelf. Hoe ga je om met die onzekerheid? Door je eigen zekerheden op te bouwen.

[ed.]De verhoudingen tussen VS en EU zijn veranderd sinds de verkiezingen aldaar. Ik heb niet zozeer de indruk dat Europa anti-Amerikaanser is geworden. Het relatieprobleem is eerder dat de Amerikaanse regering een zekere mate van anti-Europees is geworden!

[Reactie gewijzigd door Keypunchie op 15 mei 2025 10:30]

morphje @Keypunchie • 15 mei 2025 13:01

De vraag zou veel meer moeten zijn waarom een belangrijke organisatie zoals de MITRE volledig afhankelijk is van amerikaanse subsidies. Een database waar de hele wereld gebruik van maakt, inclusief europa. We blijven maar afwachten, leren niet van het verleden en maken vervolgens domme beslissingen. Dit is maar een klein dingetje, maar wel een lichtend voorbeeld uit een reeks van continue afhankelijkheden.

Heel simpel voorbeeld.
Oekraine/Rusland: We waren afhankelijk van graan van de een en aardgas van de ander. Bij oorlog betaalde we de hoofdprijs voor beiden. Macht? Hadden we niet,. Het kostte 10 jaar om ons af te sluiten van russisch gas. En het was de VS die uiteindelijk de doorslaggevende factor was om die maximale prijs af te dwingen. De EU was en is alsnog machteloos in deze situatie. Het is nu alsnog de VS die de situatie probeert open te breken en meer succes heeft dan welke poging dan ook.

Wij als Europa hebben alleen maar de wortel in de vorm van samenwerking en handel. De VS heeft altijd de echte macht gehad en gebruikt. Wij zijn altijd afhankelijk geweest. De verhoudingen zijn niet veranderd, de verhoudingen waren altijd dat wij afhankelijk waren. Afhankelijkheid is onze identeit, altijd al geweest.

En er zijn talloze voorbeelden te vinden in de geschiedenis van Europa waar we afhankelijk waren met WW2 als grootste voorbeeld. De oliecrisis in de jaren 70. De afhankelijkheid van bloedkolen uit Afrika en nu weer afhankelijkheid van China voor grondstoffen. De VN bestaat bij gratie van grote naties, maar zodra puntje bij paaltje komt stemmen ze met hun veto. Het Internationaal Strafhof heeft geen enkele macht, tenzij de naties zelf hun eigen onderdanen uitleveren aan het hof voor vervolging.

Handel en samenwerking is niks waard als je geen producten van gelijke waarde kunt uitwisselen. Een vis is meer waardevol als je honger hebt. Kennis is alleen maar wat waard als je vrede hebt. De verhoudingen zijn niet veranderd tussen de EU en de VS, die verhouding was altijd afhankelijkheid. Maar als iemand met een stok "nyet" zegt, dan kijkt europa met een pikachu face.

Het enige verschil in de verhoudingen zit in het feit hoe deze afhankelijkheid nu toegepast wordt en hoe blind en naief Europa altijd al is geweest. Dus ik kom weer terug op het originele punt: Waarom heeft de VS zo lang de MITRE moeten sponsoren, waar was de EU? Waarom gaan we als een kat in het nauw nu spontaan rare sprongen maken?

Ik ben altijd een groot voorstander geweest van een sterk west-europa. Maar dan ook echt sterk. Een eigen militaire industrie met eigen vliegtuigen, schepen, onderzeeers. Een eigen industriele grootmacht met staal, machines en basisvoorziening in voedselproductie op eigen bodem. Een volledig onafhankelijke energievoorziening op basis van kernenergie ipv import van fossiele energie uit dictoriale landen. Een westeuropa dat waardig is om op het internationaal toneel te kunnen handelen en desnoods met kracht dat te onderbouwen.

Dat zou een Europa kunnen zijn die de balans kan vormen tussen de VS en Rusland/China.

Keypunchie @morphje • 15 mei 2025 14:23

Je spreekt wel jezelf tegen. Je vind het gek dat er een afhankelijkheid was. Maar als er dan stappen worden gezet om die afhankelijkheid af te bouwen noem je dat "rare sprongen".

Dat is helemaal geen rare sprong, dat is een leerproces. Onderdeel van een 'rude awakening'. Dat dat breder gevolgen moet hebben, kan ik wel onderschrijven. Er zullen nog wel meer van dit soort "leuningen" zijn.

Overigens leunt de VS ook op een aantal zaken juist op Europa, net zoals dat het bijvoorbeeld van grondstoffen afhankelijk is van Saoedi-Arabië (olie) of China (lithium). Het verschil is dat Europa van mening was dat we wederzijds op elkaar konden vertrouwen, net zoals binnen de EU, en betrouwbaar is gebleven. Daar was Europa misschien iets te comfortabel in, maar het gekke aan het verhaal is dat het juist 80 jaar Amerikaans beleid is geweest. Uiteraard klaagden ze wel over Europa als "free rider", maar dat was wel op het niveau van de man die in de kroeg klaagt dat zijn vrouw zijn salaris uitgeeft, maar die onmiddeliijk zou gaan steigeren als ze daadwerkelijk een baan was gaan zoeken.

morphje @Keypunchie • 16 mei 2025 10:01

De rare sprong in deze is vooral dat we nu onze afhankelijkheid willen afbouwen van onze grootste bondgenoot, maar bij onze grootste geopolitieke tegenstanders (rusland, china) dat niet of nauwelijks kunnen doen.

De rare sprong is dat we databases zoals de CVE gaan repliceren zonder eerst te kijken wat er nodig is om die machtspositie te onderbouwen. Om uberhaupt een machtspositie te maken voordat we op dergelijke kleine puntjes gaan onderhandelen.

Ik spreek mezelf niet tegen, Ik vind dat we eerst moeten kijken wat we echt nodig hebben voordat we een grote stoere bek gaan opzetten. Zo hadden we een grote bek tegen rusland, maar we bleken een klein keffertje te zijn die maar de brokjes bleven aannemen. Deze sprong is ook een grote bek hebben, maar het is een volledig ondoordacht plan dat spontaan naar voren kwam toen de subsidie van MITRE opdroogde.

Dus ja, in dat opzicht zijn we niet visionair bezig, maar puur reactief. En dat maakt ons op geen enkele wijze beter dan welke andere grote natie dan ook. Allemaal zaken voor de korte termijn, zonder te kijken naar de gevolgen op de lange termijn. Het credo van nagenoeg elke politicus.

necessaryevil @Keypunchie • 15 mei 2025 04:27

Wat bedoel jeb in deze context met duplicatie? Wat wordt er meer dan eens gedaan?

Keypunchie @necessaryevil • 15 mei 2025 07:20

Het registreren van een vulnerability. Voorlopig doet Mitre het ook nog.

Om meerdere redenen is het nadelig om meerdere systemen te hebben. Maar nog nadeliger is als er geen systeem is!

xxs @Keypunchie • 15 mei 2025 08:18

Het Duitse BSI doet volgens mij ook zoiets.

kuurtjes 14 mei 2025 19:38

Enisa lijkt grotendeels vanuit Griekenland te werken en heeft een kantoor in Brussel.

https://www.enisa.europa.eu/about-enisa/contact/contact

Om te kunnen reageren moet je ingelogd zijn