Ο Ευρωπαϊκός Οργανισμός την Κυβερνοασφάλεια (ENISA) έθεσε σε λειτουργία τη νέα Ευρωπαϊκή Βάση Δεδομένων Ευπαθειών (European Vulnerability Database – EUVD), στο πλαίσιο της εφαρμογής της Οδηγίας NIS2, με στόχο την ενίσχυση της ασφάλειας και της ανθεκτικότητας του ευρωπαϊκού ψηφιακού χώρου. Η βάση δεδομένων συγκεντρώνει αξιόπιστες και αξιοποιήσιμες πληροφορίες για ευπάθειες που επηρεάζουν προϊόντα και υπηρεσίες Τεχνολογιών Πληροφορικής και Επικοινωνιών, παρέχοντας στοιχεία για μέτρα μετριασμού κινδύνου και την κατάσταση εκμετάλλευσής τους.
Σύμφωνα με την Εκτελεστική Αντιπρόεδρο της Ευρωπαϊκής Επιτροπής για την Τεχνολογική Κυριαρχία, την Ασφάλεια και τη Δημοκρατία, Henna Virkkunen, η EUVD αποτελεί «σημαντικό βήμα για την ενίσχυση της ευρωπαϊκής ασφάλειας», επιτρέποντας σε δημόσιους και ιδιωτικούς φορείς να προστατεύσουν καλύτερα τους κοινόχρηστους ψηφιακούς πόρους. Ο Εκτελεστικός Διευθυντής του ENISA, Juhan Lepassaar, τόνισε πως πρόκειται για «ουσιώδες εργαλείο» που διασφαλίζει διαφάνεια προς όλους τους χρήστες των επηρεαζόμενων προϊόντων και υπηρεσιών ΤΠΕ και προσφέρει αποτελεσματική πληροφόρηση για την εύρεση κατάλληλων λύσεων.
Η βάση δεδομένων αξιοποιεί πληροφορίες από πολλαπλές πηγές –όπως τα εθνικά CSIRTs, προμηθευτές και υφιστάμενες ανοικτές βάσεις δεδομένων– υιοθετώντας μια ολιστική προσέγγιση. Μέσω της διασύνδεσης αυτών των πηγών, καθίσταται δυνατή η συσχέτιση και ανάλυση ευπαθειών, με τη χρήση του εργαλείου ανοικτού κώδικα Vulnerability-Lookup, ενισχύοντας τις δυνατότητες διαχείρισης κινδύνων.
Η πλατφόρμα είναι δημόσια προσβάσιμη και απευθύνεται τόσο στο ευρύ κοινό όσο και σε προμηθευτές δικτυακών και πληροφοριακών συστημάτων, φορείς που χρησιμοποιούν τις υπηρεσίες τους, αρμόδιες εθνικές αρχές, ιδιωτικές εταιρείες και ερευνητές. Οι πληροφορίες εμφανίζονται μέσω τριών θεματικών πινάκων: για κρίσιμες ευπάθειες, για ευπάθειες που έχουν ήδη αξιοποιηθεί, και για εκείνες που έχουν συντονιστεί σε ευρωπαϊκό επίπεδο μέσω του δικτύου CSIRTs της ΕΕ.
Οι καταχωρίσεις περιλαμβάνουν την περιγραφή της ευπάθειας, τα επηρεαζόμενα προϊόντα και εκδόσεις, τη σοβαρότητα και τον πιθανό τρόπο εκμετάλλευσης, καθώς και οδηγίες ή patches από τις αρμόδιες αρχές και τους κατασκευαστές για την αντιμετώπιση των κινδύνων.
Για την υλοποίηση της EUVD, ο ENISA συνεργάστηκε με ευρωπαϊκούς και διεθνείς φορείς, περιλαμβανομένου του Προγράμματος CVE (Common Vulnerabilities and Exposures) του MITRE. Τα δεδομένα από το CVE, καθώς και πληροφορίες από vendors και τον Κατάλογο Γνωστών Ευπαθειών της CISA, ενσωματώνονται αυτόματα στην EUVD. Η λειτουργία της ενισχύεται από τα κράτη μέλη που έχουν θεσπίσει πολιτικές Συντονισμένης Γνωστοποίησης Ευπαθειών και έχουν ορίσει συντονιστικά CSIRTs.
Από τον Ιανουάριο του 2024, ο ENISA λειτουργεί ως Αρχή Αρίθμησης Ευπαθειών (CVE Numbering Authority – CNA), με αρμοδιότητα να καταγράφει ευπάθειες που ανακαλύπτονται ή αναφέρονται στα ευρωπαϊκά CSIRTs, εφόσον δεν εμπίπτουν στην ευθύνη άλλης CNA.
Η λειτουργία της EUVD διαφέρει από την Ενιαία Πλατφόρμα Αναφοράς (Single Reporting Platform – SRP) του Κανονισμού για την Κυβερνοανθεκτικότητα (Cyber Resilience Act), η οποία θα χρησιμοποιείται από το 2026 για την υποχρεωτική αναφορά ευπαθειών που αξιοποιούνται ενεργά σε προϊόντα λογισμικού και υλικού με ψηφιακά στοιχεία.
Ο ENISA σχεδιάζει την περαιτέρω ανάπτυξη και βελτίωση της EUVD το 2025, συλλέγοντας σχόλια από τους χρήστες της. Παράλληλα, προωθεί τη χρήση προτύπων όπως το Common Security Advisory Framework (CSAF), που επιτρέπει τη δημοσίευση ανακοινώσεων ασφαλείας σε μορφή αναγνώσιμη από μηχανές, μειώνοντας τον χρόνο απόκρισης και επιτρέποντας ταχύτερη αποκατάσταση των ευπαθειών.
