NCSC mag kwetsbaarheden nu zelf van CVE-nummers voorzien

Een CVE-ID is een uniek nummer dat softwareleveranciers toekennen aan in hun software gevonden kwetsbaarheden. Wie dan meer informatie wil over deze specifieke kwetsbaarheid, kan de informatie via dat nummer vinden. De nummers worden dan ook door veel organisaties in de bredere cybersecuritygemeenschap gebruiken deze nummers dan ook.

Maar niet iedereen mag een kwetsbaarheid van zo'n nummer voorzien. Softwareleveranciers kunnen dat vaak wel voor problemen in hun eigen software. Leveranciers die dat niet kunnen, kunnen voortaan hulp krijgen van het NCSC, zo schrijft de organisatie op zijn website. Treft een kwetsbarheid meerdere systemen of leveranciers en doet het NCSC de coördinatie, dan kan de organisatie ook besluiten om dit probleem een CVE-nummer toe te kennen.

Zes CNA's in Nederland

Nu het NCSC ook een CNA is, telt Nederland in totaal zes CNA's. Naast het NCSC gaat het om Elastic, Philips, NLnet Labs, Airbus en het DIVD. Elastic, Airbus, NLnet Labs en Philips mogen de nummers echter alleen toekennen aan (problemen binnen) eigen projecten en producten.

Het DIVD heeft meer mogelijkheden: deze vrijwilligersorganisatie mag CVE-nummers toekennen aan alle kwetsbaarheden die zij ontdekken in software en aan problemen die aan het DIVD gemeld worden en nog niet in de scope van een andere CNA vallen.