ENISA, die Agentur der Europäischen Union für Cybersicherheit, hat bedeutende Fortschritte bei der Stärkung der Cybersicherheitsresilienz in der EU gemacht, indem sie eine zentrale Rolle im Bereich der koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) übernommen hat. Seit Januar 2024 ist ENISA als „Common Vulnerabilities and Exposures“ (CVE) Numbering Authority (CNA) autorisiert, was es ihr ermöglicht, CVE-Identifikatoren (CVE IDs) zu vergeben und CVE-Datensätze für Schwachstellen zu veröffentlichen, die von oder an das EU CSIRTs-Netzwerk (Computer Security Incident Response Teams) gemeldet werden.
Links:
ENISAs Rolle als Numbering Authority für CVEs
Koordinierte Offenlegung von Schwachstellen (CVD)
Das Ziel der koordinierten Offenlegung von Schwachstellen (CVD) ist es, sicherzustellen, dass Schwachstellen erst dann öffentlich gemacht werden, nachdem die verantwortlichen Parteien ausreichend Zeit hatten, Lösungen, Patches oder Minderungsmaßnahmen zu entwickeln. Dieser Ansatz stellt ein Gleichgewicht zwischen Transparenz und Sicherheit dar, indem er Cybersicherheitsteams die notwendige Zeit gibt, um Schwachstellen zu beheben, bevor diese ausgenutzt werden können.
Common Vulnerabilities and Exposures (CVE) Programm
Das CVE-Programm ist eine internationale Initiative zur Identifizierung, Definition und Katalogisierung öffentlich bekannt gegebener Cybersicherheitsschwachstellen. Jede Schwachstelle erhält einen einzigartigen CVE-Datensatz, der eine konsistente Kommunikation und Koordination zwischen Cybersicherheitsexperten ermöglicht.
Neue Verantwortlichkeiten von ENISA
Als CNA vergibt ENISA nun CVE IDs und veröffentlicht CVE-Datensätze für Schwachstellen, die von oder an EU CSIRTs gemeldet werden. Diese neue Rolle verbessert die Koordination und das Management von Cybersicherheitsbedrohungen innerhalb der EU und sorgt für eine einheitlichere Reaktion auf Schwachstellen.
Zudem unterstützt ENISA die Entwicklung nationaler CVD-Policies in den EU-Mitgliedstaaten, indem sie Leitlinien, Empfehlungen und Analysen zur Verfügung stellt, um diesen Prozess zu unterstützen.
Europäische Schwachstellendatenbank (EUVD)
In Übereinstimmung mit der NIS2-Richtlinie entwickelt ENISA die Europäische Schwachstellendatenbank (European Vulnerability Database, EUVD), die einen transparenten Zugang zu umfassenden Schwachstelleninformationen aus verschiedenen Quellen, einschließlich CSIRTs, Anbietern und bestehenden Datenbanken, bieten wird. Die EUVD unterstützt die Automatisierung durch den „Common Security Advisory Framework“ (CSAF), einem Standard für maschinenlesbare Sicherheitsberichte, der Organisationen bei der effizienten Bewertung und Priorisierung von Schwachstellenmanagementaktivitäten unterstützt.
Gesetzliche Unterstützung
Der Cyber Resilience Act (CRA) unterstützt diese Initiativen zusätzlich durch Bestimmungen für das Management von Schwachstellen. Diese gesetzliche Unterstützung unterstreicht das Engagement der EU für robuste Cybersicherheitspraktiken und stellt sicher, dass Schwachstellen effektiv und transparent verwaltet werden.
Weitere Informationen zum Cyber Resilience Act finden Sie unter:
Zusammenfassend lässt sich sagen, dass die neue Rolle von ENISA als CNA und die Entwicklung der EUVD bedeutende Fortschritte in der Cybersicherheitspolitik der EU darstellen. Diese Maßnahmen fördern eine koordinierte, transparente und effektive Reaktion auf neue Schwachstellen.
Für detailliertere Informationen besuchen Sie bitte:
Author: INFORITAS Social Media Team // 06.08.2024