EU:s Moln & SaaS-produkter

Europeisk sårbarhetsdatabas för att förbättra din digitala säkerhet!

Den europeiska unionens byrå för cybersäkerhet (ENISA) har utvecklat den europeiska sårbarhetsdatabasen – EUVD, som föreskrivs av NIS2-direktivet. EUVD-tjänsten, som ska underhållas av ENISA, är nu i drift.

Databasen tillhandahåller aggregerad, pålitlig och handlingsbar information såsom åtgärder för att mildra risker och utnyttjandestatus för cybersäkerhetssårbarheter som påverkar informations- och kommunikationsteknik (IKT) produkter och tjänster.

Varför en europeisk sårbarhetsdatabas?

Målet med EUVD är att säkerställa en hög nivå av sammankoppling av offentligt tillgänglig information från flera källor såsom CSIRT:er, leverantörer samt befintliga databaser. För att uppnå detta mål bygger plattformen på ett holistiskt tillvägagångssätt. Som en sammankopplad databas möjliggör EUVD bättre analys och underlättar korrelationen av sårbarheter genom att underlätta den öppna källkodsprogramvaran Vulnerability-Lookup, vilket därmed möjliggör förbättrad hantering av cybersäkerhetsrisker.

EUVD erbjuder därför en pålitlig, mer transparent och bredare informationskälla och förbättrar ytterligare situationsmedvetenheten samtidigt som den begränsar exponeringen för hot.

Vem är EUVD för?

Databasen är tillgänglig för allmänheten för att konsultera information relaterad till sårbarheter som påverkar IT-produkter och tjänster. Den riktar sig också till leverantörer av nätverks- och informationssystem samt enheter som använder deras tjänster. Dokumenterad information i EUVD är också avsedd för behöriga nationella myndigheter såsom EU CSIRT-nätverket samt privata företag och forskare.

Hur fungerar det?

Den aggregerade informationen i databasen visas genom instrumentpaneler. EUVD erbjuder tre vyer för instrumentpaneler: för kritiska sårbarheter, för utnyttjade sårbarheter och för EU-koordinerade sårbarheter. EU-koordinerade sårbarheter listar de sårbarheter som koordineras av europeiska CSIRT:er och inkluderar medlemmarna i EU CSIRT-nätverket.

Den insamlade och refererade sårbarhetsinformationen kommer från öppna databaser. Ytterligare information läggs till via meddelanden och varningar utfärdade av nationella CSIRT:er, åtgärder och patchningsriktlinjer publicerade av leverantörer, tillsammans med markeringar för utnyttjade sårbarheter. EUVD-datapost kan inkludera:

  • En beskrivning av sårbarheten.
  • Påverkade IKT-produkter eller IKT-tjänster och/eller påverkade versioner, sårbarhetens allvarlighetsgrad och hur den kan utnyttjas.
  • Information om befintliga relevanta tillgängliga patchar eller vägledning som tillhandahålls av behöriga myndigheter inklusive CSIRT:er, och riktad till användare om hur man kan mildra risker.

ENISAs roll i sårbarhetsekosystemet

För att uppfylla kraven i NIS2-direktivet inledde ENISA ett samarbete med olika EU- och internationella organisationer, inklusive MITRE:s CVE-program. ENISA är i kontakt med MITRE för att förstå påverkan och nästa steg efter tillkännagivandet om finansiering till programmet för gemensamma sårbarheter och exponeringar. CVE-data, data som tillhandahålls av IKT-leverantörer som avslöjar sårbarhetsinformation via meddelanden, och relevant information såsom CISA:s katalog över kända utnyttjade sårbarheter överförs automatiskt till EUVD. Detta kommer också att uppnås med stöd av medlemsstater som har etablerat nationella riktlinjer för koordinerad sårbarhetsavslöjande (CVD) och som har utsett en av sina CSIRT:er som koordinator, vilket i slutändan gör EUVD till en pålitlig källa för förbättrad situationsmedvetenhet inom EU.

Som en CVE-nummereringsmyndighet (CNA) kan ENISA registrera sårbarheter och stödja sårbarhetsavslöjande sedan januari 2024, i förhållande till:

  • sårbarheter i IT-produkter som upptäckts av EU CSIRT:er själva; och
  • sårbarheter som rapporterats till EU CSIRT:er för koordinerat avslöjande så länge de inte faller inom ramen för en annan CVE-nummereringsmyndighet.

Skillnaden mellan EUVD och CRA:s enhetliga rapporteringsplattform

Den europeiska sårbarhetsdatabasen (EUVD) och den enhetliga rapporteringsplattformen (SRP) enligt Cyber Resilience Act (CRA) har olika syften inom ramen för cybersäkerhet i EU.

  1. Syfte och funktionalitet:
  • EUVD: EUVD är utformad för att tillhandahålla aggregerad, pålitlig och handlingsbar information om cybersäkerhetssårbarheter som påverkar informations- och kommunikationsteknik (IKT) produkter och tjänster. Den syftar till att förbättra situationsmedvetenheten och underlätta bättre analys och korrelation av sårbarheter genom att samla in data från olika källor, inklusive CSIRT:er och leverantörer.
  • CRA:s enhetliga rapporteringsplattform (SRP): SRP, som etablerats under Cyber Resilience Act, är specifikt avsedd för den obligatoriska anmälan av aktivt utnyttjade sårbarheter av tillverkare. Denna plattform kommer att användas för att rapportera sårbarheter som påverkar hårdvaru- och mjukvaruprodukter med digitala element, vilket säkerställer efterlevnad av de nya regleringar som fastställts av CRA.
  1. Reglerande ramverk:
  • EUVD: EUVD är etablerad av NIS2-direktivet, som fokuserar på att förbättra den övergripande cybersäkerhetsställningen i EU genom att öka samarbetet och informationsutbytet mellan medlemsstater och relevanta intressenter.
  • SRP: SRP är en del av Cyber Resilience Act, som syftar till att säkerställa att produkter med digitala element uppfyller specifika cybersäkerhetskrav. SRP kommer att underlätta rapporteringsprocessen för tillverkare, vilket gör det enklare att följa de nya regleringarna.
  1. Anmälningskrav:
  • EUVD: Medan EUVD samlar in och sprider information om sårbarheter, ålägger den inte obligatoriska rapporteringskrav på tillverkare.
  • SRP: SRP kommer att kräva att tillverkare aktivt rapporterar sårbarheter som utnyttjas, med efterlevnad förväntad senast september 2026.

Sammanfattningsvis, medan både EUVD och SRP är viktiga för att förbättra cybersäkerheten i EU, fokuserar EUVD på att tillhandahålla en omfattande databas över sårbarheter, medan SRP är ett reglerande verktyg för obligatorisk rapportering av aktivt utnyttjade sårbarheter av tillverkare enligt Cyber Resilience Act.

Besök European Vulnerability Database -> https://euvd.enisa.europa.eu/homepage

You might also like

Europeiska Hanterad ”Managed” Kubernetes-miljö

En hanterad Kubernetes-tjänst erbjuder en hanterad miljö för att använda containerorkestreringssystemet Kubernetes. Kubernetes är öppen källkod och underhålls av Cloud […]

Läs mer »

Europeiska chattappar

En chattapp gör det möjligt för människor att skicka textmeddelanden och även media till varandra. Många av dem stödjer också […]

Läs mer »

Europeiska captcha-tjänster

Ett captcha-system hjälper till att upptäcka om en verklig människa eller en bot använder en webbplats. Detta är användbart, till […]

Läs mer »

Europeiska navigationsappar

Europeiska navigationsappar är applikationer som använder satellitnavigeringsteknik, särskilt den europeiska satellitnavigationssystemet Galileo, för att tillhandahålla positionering, navigering och tidtjänst. Dessa […]

Läs mer »

Europeiska DDoS-skyddstjänster

En DDoS-skyddstjänst kan placeras framför en webbapplikation eller server för att skydda den från DDoS-attacker. Under en DDoS-attack skickas förfrågningar […]

Läs mer »

Europeisk projektledningsprogramvara

Projektledningsprogramvara effektiviserar projektledning och utveckling. De är i grunden en interaktiv arbetsyta där team kan dynamiskt fördela resurser, sätta mål […]

Läs mer »

Europeiska SMS-API:er

SMS-sändnings-API:er ger ett sätt att nå och kommunicera med dina användare, med anpassade meddelanden via SMS och ofta andra meddelandetjänster. […]

Läs mer »

Europeisk transaktions e-posttjänst

Till skillnad från vanliga marknadsförings e-postmeddelanden utlöses transaktions-e-post ofta av en åtgärd som vidtas av mottagaren. Ibland skickas de som […]

Läs mer »

Europeiska innehållsleveransnätverk (CDN) tjänster

En innehållsleveransnätverk (CDN) är en geografiskt distribuerad grupp av servrar som cachar innehåll nära slutanvändare. En CDN möjliggör snabb överföring […]

Läs mer »

Ett Europa rustat för den digitala tidsåldern – nya regler för företag

Fler innovativa internetplattformar i EU Små och medelstora företag och uppstartsföretag är beroende av de större plattformarnas regler för hur […]

Läs mer »

Europeiska VPN-tjänster

En VPN-tjänst tunnelar din internettrafik genom en server. Detta hjälper inte bara till att dölja din verkliga IP-adress utan ger […]

Läs mer »

Europeiska sökmotorer

En sökmotor gör det möjligt för sina användare att söka på internet. Qwant är en fransk sökmotor som annonserar för […]

Läs mer »

To top