20 listopada ENISA przyjęła nową rolę (CVE Root) w programie Common Vulnerabilities and Exposure stając się centralnym punktem koordynującym wymianę informacji na temat podatności pomiędzy krajowymi władzami państw członkowskich UE, członkami sieci CSIRT EU oraz międzynarodowymi partnertnerami. Utworzony w 1999 roku Program Common Vulnerabilities and Exposures zapewnia schemat identyfikacji, definiowania i katalogowania publicznie ujawnionych podatności wraz z kontekstem, aby tworzyć międzynarodowy i ustandaryzowany rejestr podatności. Każda podatność otrzymuje identyfikator CVE, a rekordy CVE są publikowane przez organizacje współpracujące z programem. Takie podejście ułatwia szybkie rozpoznawanie, wymianę informacji i usuwanie podatności. Dotychczas agencja pełniła funkcję CNA, nadając identyfikatory CVE i publikując rekordy CVE dla podatności odkrytych przez europejskie CSIRT-y. Obecne rozszerzenie roli ENISA jest częścią szerszej strategii UE mającej na celu wzmocnienie skoordynowanego ujawniania podatności, budowy wspólnej europejskiej bazy podatności (EUVD), a także wdrażania nowych obowiązków przewidzianych przez Cyber Resilience Act. ENISA w roli CVE Root dołącza do Rady Programu CVE, która koordynuje działania pomiędzy hierarchiami Root. W skali międzynarodowej Rootami są m.in. MITRE, CISA, Google, Red Hat z USA oraz JPCERT/CC z Japonii. W obliczu wprowadzonych zmian wszystkie CSIRT-y poziomów krajowych w państwach członkowskich UE powinny dostosować swoje procedury w obszarze zgłaszania podatności, uwzględniając nowe kompetencje ENISA. Więcej na informacji TUTAJ.