Elindult az Európai Sérülékenységi Adatbázis (EUVD)
Az Európai Unió 2025. május 13-án hivatalosan is elindította új sérülékenységi adatbázisát, a European Vulnerability Database-t (EUVD), amely összesített, felhasználható információkat nyújt, például az IKT termékeket és szolgáltatásokat érintő kiberbiztonsági sérülékenységekről, azok enyhítő intézkedéseiről és a kihasználásuk állapotáról. Henna Virkkunen, az Európai Bizottság technológiai szuverenitásért, biztonságért és demokráciáért felelős ügyvezető alelnöke elmondta: „Az EU Sérülékenységi Adatbázis jelentős lépés Európa biztonságának és ellenálló képességének megerősítése felé. Az uniós piac szempontjából releváns sérülékenységi információk összegyűjtése lehetővé teszi mind a magán-, mind a közszféra szereplői számára, hogy nagyobb hatékonysággal védjék meg közös digitális tereinket.”
Összekapcsolt adatbázisként az EUVD lehetővé teszi a jobb elemzést, és a nyílt forráskódú Vulnerability-Lookup szoftver segítségével megkönnyíti a sérülékenységek korrelációját, és ezáltal a kiberbiztonsági kockázatok jobb kezelését. Az EUVD tehát megbízhatóbb, átláthatóbb és szélesebb körű információforrást kínál, és tovább javítja a helyzetfelismerést, miközben csökkenti a fenyegetéseknek való kitettséget.
Az EUVD kezdőoldalán az olvasható, hogy az adatbázis béta fázisban fut, amely három dashboard nézetet kínál:
– a kritikus sérülékenységek,
– a kihasznált sérülékenységek és
– az EU által koordinált sérülékenységek.
Az adatbázis a következő információkat tartalmazza egy sérülékenységgel kapcsolatban: a sérülékenység leírása; az érintett IKT-termékek vagy IKT-szolgáltatások és/vagy az érintett verziók, a sérülékenység súlyossága és kihasználásának módja; információ a meglévő, rendelkezésre álló, releváns javítócsomagokról vagy az illetékes hatóságok – beleértve a CSIRT-eket is – által biztosított, a felhasználóknak szóló útmutatás a kockázatok csökkentésére vonatkozóan.
Az ENISA mint CVE Numbering Authority (CNA) 2024 januárjától regisztrálhat sérülékenységeket és támogathatja a sérülékenységek közzétételét a következőkkel kapcsolatban: az EU CSIRT-jei által azonosított, informatikai termékekben található sérülékenységek és az EU CSIRT-eknek koordinált közzététel céljából bejelentett sérülékenységek, amennyiben azok nem tartoznak más CNA hatáskörébe. (A CNA-k olyan szervezetek, amelyek felelősek a CVE-azonosítók sérülékenységekhez történő hozzárendeléséért, valamint a sérülékenységekre vonatkozó információk közzétételéért a kapcsolódó CVE-nyilvántartásban.)
A gyártók számára 2026 szeptemberétől kötelezővé válik az aktívan kihasznált sérülékenységek bejelentése. Ez a bejelentési eljárás a digitális elemeket tartalmazó hardver- és szoftvertermékeket érintő sérülékenységekre vonatkozik majd. A CRA-ban (Cyber Resilience Act) előírt Single Reporting Platform (SRP) lesz az erre a célra szolgáló eszköz. Az SRP ezért különbözik a NIS2 irányelv által létrehozott EUVD-től.
Az ENISA a 2025-ös évet az EUVD és az összes kapcsolódó szolgáltatás további javításának és fejlesztésének szenteli, ezért ennek támogatása érdekében az ENISA várja az EUVD-vel kapcsolatos visszajelzéseket.
