De database maakt de EU minder afhankelijk van de VS, maar spraakverwarring ligt op de loer. Sinds kort heeft de Europese Unie een eigen kwetsbaarhedendatabase. Frank Breedijk van het Dutch Institute for Vulnerability Disclosure, DIVD, is blij dat Europa zich minder afhankelijk maakt van de Verenigde Staten, maar vreest voor spraakverwarring.

Amerikaanse informatie

Paniek onder cybersecurity-experts vorige maand: de Amerikaanse overheid dreigde de financiering stop te zetten van het Common Vulnerabilities and Exposures (CVE)-programma van de Amerikaanse non-profitorganisatie MITRE. Op de CVE-database vertrouwt praktisch de hele cybersecuritywereld. Ten langen leste werd de subsidie voor elf maanden verlengd. De controverse maakte eens te meer duidelijk hoe afhankelijk we in Europa zijn van Amerikaanse informatiebronnen.

En nu is daar, als bij toverslag, een eigen kwetsbaarhedendatabase, de European Union Vulnerability Dabase of EUVD. In bètaversie nog, zo staat er in de waarschuwingsregel, dus open voor feedback. De komst van een Europese database werd in juni 2024 aangekondigd door ENISA, het Europese agentschap voor cyberbeveiliging, en is onderdeel van de implementatie van NIS2.

Zijn we nu gered? Dat ligt eraan, zegt Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD). ‘Het is goed nieuw dat we meer onze eigen broek ophouden op dit gebied. Dat de CVE-database er bijna uit lag, laat zien hoe kwetsbaar een vulnerability-database is als die puur en alleen door de overheid gerund wordt. Maar ook ENISA is een overheidsinstantie.’

Eén probleem, twee namen

Dat er nu twee databases zijn die in principe dezelfde data bevatten, is zowel een voordeel als een nadeel, legt Breedijk uit. Het risico bestaat dat dezelfde kwetsbaarheid op twee plekken een andere naam krijgt.

Deze versturen we 3-4x per jaar.