De CVE-database van het Amerikaanse MITRE dreigde onlangs om te vallen. Een onafhankelijk alternatief uit de koker van de Europese Unie verscheen afgelopen week al. Een goede zaak, hoewel versplintering zo zijn nadelen zal kennen.
EUVD (European Union Vulnerability Database), zo luidt de onverrassende naam van de nieuwe database voor softwarekwetsbaarheden. Deze is opgestart door de Europese Unie voor Cybersecurity (ENISA). De aard ervan als noodgreep om te gelden als back-up voor de MITRE-database verraadt zich al gauw. Naast ID’s als EUVD-2025-15991 is er een “alternatieve” ID te vinden met de klassieke CVE-naamgeving vanuit MITRE en CISA. Een equivalent van de CVSS-score is niet bepaald: deze wordt simpelweg overgenomen van de Amerikaanse database.
Lees meer over de EUVD: Europa komt met eigen securitydatabase na CVE-onzekerheid
Lichtgewicht
Sites zoals CVE.org en de EUVD-tegenhanger zijn vanzelfsprekend eenvoudig ingericht. Beide sites zijn duidelijk geoptimaliseerd en vrij van zoveel mogelijk opsmuk. Wat echter opvalt, is dat het minimalisme bij de Europese variant nog verder reikt. Zo is er geen cookie-statement en zijn er slechts twee prominente pagina’s, de lijst gefilterd op de meest recent toegevoegde kwetsbaarheden en een zoekmachine. Bij CVE.org is de hoofdpagina eigenlijk nutteloos, afgezien van een niet-functionele statcounter om álle kwetsbaarheden aller tijden te tellen. Kortom: er lijken al wat lessen geleerd te zijn door de EUVD zo snel en lichtgewicht mogelijk te presenteren.
In bredere zin is er wat meer aan de hand. Anouck Teiller, Chief Strategy Officer bij het Europese securitybedrijf HarfangLab, vertelt ons dat een dergelijke database voor kwetsbaarheden om meer draait dan een technische referentie. “Het is een strategisch onderdeel van een veilig digitaal Europa. Het initiatief van ENISA om een Europese kwetsbaarhedendatabase op te richten, betekent een beslissende stap richting het versterken van de digitale soevereiniteit en cyberweerbaarheid van de EU.”
Zo blijkt het Europese initiatief om meer te gaan dan een praktische noodzaak om de MITRE-database te vervangen. Nu was dit al genoeg beweegreden: het leek er even op dat de gehele securitygemeenschap binnen een paar dagen een alternatief voor CVE.org moest optuigen. Dit had grote effecten gehad en ongetwijfeld bij verschillende securityoplossingen wijzigingen vereist. Immers is de CVE-lijst van groot belang om organisaties zo snel mogelijk te informeren over een softwareprobleem. Nu kan de EUVD-versie dit tevens opvangen.
(tekst gaat hieronder verder)
Beluister ook onze Techzine Talks-aflevering over de MITRE-database:
Europese autonomie
Teiller legt uit waarom de nieuwe database een belangrijk component kan worden voor de Europese autonomie. En, wellicht net zo belangrijk: dat er animo voor is. Uit een peiling onder 750 IT-beslissers bij Europese mkb’s blijkt namelijk dat een overgrote meerderheid de voorkeur geeft aan Europese cybersecuritypartners, zo haalt de HarfangLab-CSO aan. 74 procent is daarnaast voorstander van het prioriteren van Europese oplossingen. “Dit draait niet alleen om nabijheid”, aldus Teiller. “Het gaat om het begrijpen van regionale dreigingen, het waarborgen van naleving van EU-wetgeving zoals de GDPR en NIS2, en het opbouwen van vertrouwen in een gefragmenteerd en volatiel geopolitiek landschap. De boodschap is duidelijk: soevereiniteit doet ertoe.”
Overigens spreekt Teiller (nog) niet over een vervanging van de CVE-lijst zoals we deze kennen. Eerder is er sprake van “strategische diversificatie”, zoals ze het omschrijft. Ook timmert ENISA aan de weg als reëele leider voor het dagelijks garanderen van cybersecurity op het continent. “Voor ENISA is deze nieuwe database ook een kans om uit te groeien tot een echte, betrouwbare derde partij die bemiddelt tussen nationale en private CSIRTs, iets wat al lang ontbreekt in het gefragmenteerde Europese cybersecuritylandschap”, stelt Teiller. Ze vervolgt: “Als het initiatief wordt uitgevoerd met transparantie, interoperabiliteit en vertrouwen binnen de gemeenschap, kan het de grensoverschrijdende respons op dreigingen en de paraatheid in heel Europa aanzienlijk versterken.”
Ze concludeert dat geopolitieke tegenstanders en (het moet toch in een artikel genoemd worden) AI voor nieuwe problemen zorgen die de Europese autonomie meer dan een luxe maken. “Het is essentieel.”
Ook wij zien deze noodzaak. Dat niet alleen: de EU kan hiermee een stap zetten richting actie voorbij regulering. Zaken als DORA, NIS2 en verschillende privacywetten gelden als vooruitstrevend wereldwijd, maar zijn niet bepaald inventief of een fundament voor innovatie an sich. Daarvoor moet Europa toch echt een eigen ecosysteem opbouwen voor proactieve melding van kwetsbaarheden, Europese securityspelers en nieuwe oplossingen voor cybergevaren. De EUVD is een goed begin daarvan.