Advertentie
Met het grotendeels wegvallen van steun voor de CVE-database vanuit de Amerikaanse overheid is er een grote nood aan een duurzaam alternatief. Al snel publiceerde de Europese cyberbeveiligingsautoriteit ENISA de European Vulnerability Database (EUVD). Deze was in 2024 aangekondigd, maar nog niet beschikbaar. Oorspronkelijk was het plan om deze langzaamaan in gebruik te nemen, maar deze werd versneld door de sluiting van MITRE die de beheerder van de CVE-database was.
Hoewel het lot van de CVE-database en MITRE nog niet geheel zeker is, lijkt de Europese Commissie volledig in te zetten op het onafhankelijk worden van de Amerikaanse database. De nieuwe EUVD moet voldoen aan de NIS2-richtlijn die in 2023 werd aangenomen door het Europese Parlement om de cyberveiligheid in verschillende belangrijke sectoren te verbeteren.
Inmiddels wordt de EUVD snel gevuld met verschillende kwetsbaarheden en bevindt de database zich in een soort bèta-fase. Het is de bedoeling dat het systeem compleet in werking gaat vanaf september 2026. Dan worden bedrijven verplicht om hun actief misbruikte kwetsbaarheden te rapporteren en komen deze beschikbaar in de EUVD. Hiermee moet dus snel een volwaardig alternatief van de CVE-database moeten bestaan, onafhankelijk van de grillen van de Amerikaanse regering. Overigens blijft de NVD wel bestaan, wat een minder uitgebreide database is die direct door de Amerikaanse overheid wordt beheerd. Hierop werd echter in 2023 ook al op bezuinigd, waardoor deze niet meer al zijn eerdere taken kan vervullen.
Waar de EUVD oorspronkelijk vooral een Europees alternatief voor de NVD moest bieden, lijkt het doel nu breder te zijn geworden. De EUVD bestaat uit drie verschillende dashboards; één voor kritieke kwetsbaarheden, één voor uitgebuitte bugs, en één voor problemen die door de EU gecoördineerd aangepakt moeten worden. Deze laatste moet voornamelijk problemen bevatten die aangekaart zijn door de Europese CSIRTs (Computer Security Incident Response Teams). Deze CSIRTs zijn onder andere verantwoordelijk voor het leveren van waarschuwingen en adviezen, terwijl de meeste kwetsbaarheden van open-source databases zullen worden overgenomen.