De officiële adviesgroep van Europees securityagentschap Enisa stelt in een nog vertrouwelijk rapport dat de organisatie een veel grotere rol moet pakken in kwetsbaarhedenprogramma CVE. Dat systeem dreigde in april te verdwijnen toen de regering-Trump de financiering wilde stopzetten.
Het rapport van Enisa’s Advisory Group is ingezien door Tweakers. De groep geeft Enisa daarin het dringende advies om een fundamentele rol in het CVE-systeem op zich te nemen. Dat programma voor het inventariseren en aanpakken van kwetsbaarheden is feitelijk een internationale standaard en volgens de Enisa-adviesgroep essentieel voor de digitale ambities van Europa. De Europese securityrichtlijn NIS2 dient hierbij als onderbouwing en financieringsmogelijkheid voor het voorstel.
Enisa heeft het bestaan van het rapport bevestigd tegenover Tweakers, maar wil niet veel kwijt over de inhoud. De woordvoerder benadrukt dat het hier niet gaat om een rapport van Enisa zelf: het document van de adviesgroep ‘zet een aantal aanbevelingen uit die Enisa kan overwegen’.
De Enisa-adviesgroep bestaat uit vertegenwoordigers van het Europese digitale bedrijfsleven. Zij heeft zich op een recente bijeenkomst gebogen over de manier waarop in Europa wordt omgegaan met kwetsbaarheden op cybersecuritygebied. Dat leidde tot het rapport met de dringende aanbeveling dat Enisa top-level root voor het Common Vulnerabilities and Exposures-systeem (CVE) wordt en dat overheden hiervoor met urgentie financiering regelen.
Enisa geeft Tweakers wel een kleine indicatie van de inhoud van het rapport. “Het idee is niet dat Enisa het CVE-beheer van Mitre gaat spiegelen”, aldus de woordvoerder. Mitre is het Amerikaanse bedrijf dat momenteel het wereldwijd gebruikte CVE-programma beheert met financiering van de Amerikaanse overheid. Dat kritieke securitywerk dreigde in april ineens weg te vallen, toen de regering-Trump het contract met Mitre niet wilde verlengen. Na een dag onzekerheid in de internationale securitygemeenschap is er alsnog een nieuw contract voor elf maanden gekomen.
In plaats van Mitres werk nabootsen is het advies volgens de woordvoerder dat de Europese organisatie onderzoekt hoe deze ‘kan bijdragen aan versterking van het wereldwijde kwetsbaarhedenecosysteem’. De woordvoerder noemt als voorbeeld dat het Europese securityagentschap ‘kan verkennen’ of het een top-level root in het CVE-framework voor de Europese Unie kan worden. Dat maakt dan tweerichtingsverkeer van informatie mogelijk tussen CVE-databases en de nieuwe EU-kwetsbaarhedendatabase EUVD.
“Het doel van de EUVD is zorgen voor een hoog niveau van interconnectiviteit van publiekelijk beschikbare informatie, afkomstig uit meerdere bronnen, zoals computer security incident response teams (Csirt's), leveranciers en bestaande databases zoals die van Mitre”, aldus de Enisa-woordvoerder. Het rapport wordt naar verwachting eind juli openbaar gemaakt.
Financiering van de CVE-rootrol zou mogelijk geregeld kunnen worden via de Europese cybersecurityrichtlijn NIS2, die nog in nationale wetgevingen moet worden omgezet. Nederland heeft de deadline daarvoor niet gehaald en herhaaldelijk uitstel op uitstel geboekt. Volgens huidige en voorgaande kabinetten is de complexiteit van deze wetsimplementatie onderschat. De verwachting is nu dat de Nederlandse Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt. Dit heeft demissionair minister van Justitie en Veiligheid Van Weel in juni laten weten aan de Tweede Kamer.
:strip_exif()/i/2005462954.jpeg?f=fpa)
:strip_exif()/i/2007474592.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
/u/64204/crop5e333d1575fff.png?f=community){kind=small}
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/218679/Michael_Melgar_LiquidArt_resize_droplet.jpg?f=community){kind=small}
/u/1946446/crop6448e90805b80_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/99162/crop5fbeb65712858_cropped.jpeg?f=community){kind=small}