Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) uzyskała status jednostki nadrzędnej (Root CNA) w programie Common Vulnerabilities and Exposures (CVE). Nowa rola Agencji nie tylko wzmacnia europejski system koordynacji i zarządzania podatnościami, ale także zwiększa globalną pozycję Unii Europejskiej w programie CVE.

Nowa rola ENISA

20 października ENISA rozszerzyła swoją rolę w programie CVE, stając się jednostką nadrzędną. Dotychczas Agencja pełniła funkcję koordynatora europejskiego programu CVE i była upoważniona do nadawania identyfikatorów oraz publikowania rekordów CVE dla podatności zgłaszanych do europejskich CSIRT-ów. Objęcie nowej funkcji istotnie wzmacnia kompetencje i zdolności Agencji w zakresie skoordynowanego zarządzania podatnościami oraz wspierania działań naprawczych w tym obszarze na poziomie Unii Europejskiej.

Wraz z objęciem nowej roli ENISA stała się również centralnym punktem kontaktowym dla organów krajowych, członków sieci CSIRT UE oraz partnerów współpracujących w ramach programu CVE. Agencja będzie nie tylko zarządzać Europejską Bazą Podatności (EUVD), ale także odpowiadać m.in. za przekazywanie producentom systemów i urządzeń ICT rekomendacji i wytycznych dotyczących zgodności, a także za opracowanie Jednolitej Platformy Zgłoszeń (Single Reporting Platform, SRP). Zgodnie z wymogami rozporządzenia Cyber Resilience Act platforma ma służyć do zgłaszania aktywnie wykorzystywanych podatności. Obowiązek zgłaszania obejmie wszystkich producentów systemów i urządzeń ICT od września 2026 r. Dodatkowo ENISA, jako jednostka nadrzędna, będzie rozwijać procedury i wytyczne dotyczące nadawania oraz zarządzania identyfikatorami CVE.

Warto podkreślić również międzynarodowy wymiar wzmocnienia roli ENISA w programie CVE. Agencja dołączyła do Rady Jednostek Nadrzędnych programu, którą tworzą m.in. MITRE, CISA, Google, Red Hat oraz JPCERT. W praktyce oznacza to większy wpływ Unii Europejskiej na rozwój globalnych standardów zarządzania podatnościami oraz bliższą współpracę na rzecz cyberbezpieczeństwa z partnerami międzynarodowymi.

Czym jest Program CVE?

Program CVE to międzynarodowa inicjatywa działająca od 1999 roku, która zapewnia jednolity system identyfikacji i klasyfikacji publicznie ujawnionych podatności w oprogramowaniu i sprzęcie. Każda podatność otrzymuje unikalny identyfikator CVE, który umożliwia jej jednoznaczne wskazanie i ułatwia późniejsze zarządzanie informacjami o lukach bezpieczeństwa. Identyfikatory nadawane są przez uprawnione podmioty (CVE Numbering Authorities, CNA), do których należą producenci urządzeń i oprogramowania, krajowe CSIRT-y oraz wybrane instytucje badawcze. Nowa rola ENISA oznacza również objęcie nadzoru nad europejskimi CNA.

Program CVE nie tylko ułatwia współpracę między producentami, CERT-ami i organizacjami, ale przede wszystkim umożliwia deweloperom i specjalistom ds. cyberbezpieczeństwa szybką identyfikację podatności, wymianę informacji oraz podejmowanie skoordynowanej reakcji na luki bezpieczeństwa. W świetle europejskich regulacji, w szczególności Dyrektywy NIS2 i Rozporządzenia CRA – rola programu CVE nabiera dodatkowego znaczenia, ponieważ obie regulacje kładą silny nacisk na rozwijanie procedur zarządzania podatnościami oraz zapewnienie szybkiej wymiany informacji o cyberzagrożeniach.