Enisa, der er EU's Agentur for Cybersikkerhed, har fået en ny og vigtig rolle.
Agenturet er nemlig blevet CVE Program Root.
Det betyder, at Enisa nu spiller en nøglerolle i CVE-programmet, som står for Common Vulnerabilities and Exposures og er et globalt katalog over kendte sikkerhedshuller i cyberverdenen.
Enisa er som en CVE Numbering Authority (CNA) er Enisa bemyndiget til at tildele CVE-id’er til sårbarheder og offentliggøre CVE-poster for sårbarheder, der er opdaget af eller rapporteret til EU's CSIRT'er.
"Ved at blive Root tager ENISA endnu et skridt mod at styrke agenturets kapacitet til at understøtte sårbarhedshåndtering i EU. Med de nye ansvarsområder udvider ENISA sin støtte til CSIRTs-netværket og alle dets partnere for yderligere at styrke EU’s evne til at håndtere og koordinere cybersikkerhedssårbarheder og forbedre den digitale sikkerhed på tværs af Unionen."
Sådan udtaler Juhan Lepassaar, administrerende direktør for Enisa i en meddelelse.
Agenturets nye rolle er en del af EU’s investering i at styrke koordinering og håndtering af sårbarheder i EU.
Konkret får Enisa følgende opgaver:
- Identificering, onboarding og støtte af andre CNA’er (de organisationer, der tildeler CVE-id’er).
- Sikring af, at CVE-programmets retningslinjer og processer bliver fulgt.
- Deltagelse i CVE Program Council of Roots, som er den koordinerende enhed mellem myndighederne i netværket.
- Tildeling af CVE-id’er.
Får betydning for ny database
Den nye opgave supplerer og understøtter aktiviteter for processen med at opdage og offentliggøre sårbarheder i medlemslandene. Denne proces kaldes Coordinated Vulnerability Disclosure (CVD).
Enisa påpeger, at det især understøtter etableringen og driften af EU's sårbarhedsdatabase, ved navn EUVD (European Vulnerability Database), samt Enisas nye opgaver under Cyber Resilience Act i forhold til vejledning om efterlevelse, hjælp til implementering og etableringen af den fælles indberetningsplatform.
EUVD-databasen bliver forbedret, da Enisas nye rolle betyder mere korrekte og standardiserede sårbarhedsoplysninger på tværs af kontinenter.
Derudover giver det hurtigere og mere effektiv opdatering af EUVD og bedre information til virksomheder og organisationer i Europa, når Enisa selv kan tildele CVE-id’er og at CSIRT'er rapporterer direkte til Enisa.
Det fører også til mindre fragmentering af EU’s sårbarhedsøkosystem.
Ved at være Root kan ENISA samle flere EU-baserede CNA’er under én europæisk paraply og derved harmonere processer på tværs af EU-lande.
Enisas nye beføjelser og opgaver i det globale cyber-system forbedrer altså EUVD ved at forbedre datakvalitet, harmonisere processer, accelerere registreringer og skabe tættere kobling mellem CVE-systemet, EUVD og EU’s lovgivning om cybersikkerhed.
Den europæiske sikkerhedsdatabase blev annonceret i maj måned i år, efter en periode med uroligheder for, om den amerikanske CVE-database ville lukke.
Det gjorde den dog ikke, og nu styrkes båndet mellem de to.
"Tilsammen styrker disse ansvarsområder Europas evne til at sikre en ensartet og rettidig håndtering af sårbarheder på tværs af grænser," meddeler Enisa.
Du kan læse udmeldingen her.
