UE wprowadza własną bazę danych luk w zabezpieczeniach. USA niech biją się o CVE

Unia Europejska uruchomiła właśnie w pełni operacyjną Europejską Bazę Danych o Lukach (EUVD) — nowy, strategiczny system śledzenia podatności w zabezpieczeniach, który ma stanowić filar cyberbezpieczeństwa Wspólnoty.  W dobie zawirowań wokół amerykańskiego programu CVE oraz poważnych cięć budżetowych w USA, UE postawiła na niezależność i przejrzystość w zarządzaniu ryzykiem.

Jak poinformowała Europejska Agencja ds. Cyberbezpieczeństwa (ENISA), serwis EUVD od wtorku działa już w pełnej wersji i ma stanowić odpowiedź na globalne wyzwania związane z rosnącą liczbą aktywnie wykorzystywanych luk w oprogramowaniu i infrastrukturze cyfrowej.

– Musimy być przygotowani na każdy scenariusz. Autonomia i bezpieczeństwo cyfrowe Europy to już nie luksus, ale konieczność – powiedział anonimowy urzędnik unijny zaangażowany w projekt.

– UE jest teraz wyposażona w niezbędne narzędzie zaprojektowane w celu znacznej poprawy zarządzania lukami w zabezpieczeniach i ryzykiem z nimi związanym – ogłosił Juhan Lepassaar, dyrektor wykonawczy ENISA. – Baza danych zapewnia przejrzystość wszystkim użytkownikom dotkniętych produktów i usług ICT i będzie stanowić wydajne źródło informacji w celu znalezienia środków zaradczych – dodał.

Europejska odpowiedź na amerykański chaos

Utworzenie EUVD to efekt intensywnych prac zapoczątkowanych w czerwcu 2024 r., kiedy to ENISA ogłosiła projekt realizowany na podstawie dyrektywy NIS2. Już w kwietniu 2025 r. uruchomiono wersję testową bazy, która była dostępna wyłącznie dla wybranych podmiotów. Teraz system dostępny jest publicznie.

Inicjatywa uruchomienia europejskiego odpowiednika amerykańskiej Narodowej Bazy Danych o Podatnościach (NVD) nabiera szczególnego znaczenia w kontekście chaosu, który w ostatnich miesiącach ogarnął amerykański program Common Vulnerabilities and Exposures (CVE).

Zaledwie kilka tygodni temu USA były o krok od całkowitego zawieszenia działania CVE – wskutek wygasającej umowy z firmą MITRE, która od lat prowadzi system. Choć Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) ostatecznie odnowiła kontrakt, program działa na podstawie tymczasowej umowy obowiązującej jedynie do marca 2026 r.

Sytuację dodatkowo komplikują zapowiadane cięcia w budżecie CISA (sięgające nawet 500 mln dolarów), a także odejście kluczowych ekspertów odpowiedzialnych za bezpieczeństwo cyfrowe w instytucjach federalnych USA.

Co więcej, CISA ogłosiła w poniedziałek, że przestanie publikować rutynowe ostrzeżenia i raporty o podatnościach na swojej stronie internetowej – dotąd głównym źródle informacji dla sektora cyberbezpieczeństwa. Zamiast tego komunikaty będą trafiać wyłącznie do subskrybentów za pośrednictwem e-maili, kanałów RSS oraz konta agencji w serwisie X.

EUVD — szybko, przejrzyście i z myślą o przyszłości

Na tle tego zamieszania europejski system EUVD prezentuje się jako konstrukcja nowoczesna i dostosowana do współczesnych realiów. Portal oferuje trzy przejrzyste widoki pulpitu: wykaz luk krytycznych, luk aktywnie wykorzystywanych oraz tych, które są objęte koordynacją w ramach unijnej sieci CSIRT.

Każda zgłoszona luka otrzymuje zarówno międzynarodowy identyfikator CVE, jak i unikalny numer EUVD. Baza zawiera szczegółowe informacje o poziomie zagrożenia, statusie wykorzystania, linkach do biuletynów bezpieczeństwa, rekomendowanych poprawkach i źródłach technicznych – zarówno od dostawców oprogramowania, jak i zespołów reagowania kryzysowego z państw członkowskich.

Co istotne, dane są aktualizowane niemal w czasie rzeczywistym – w przeciwieństwie do borykającej się z opóźnieniami amerykańskiej NVD – a najbardziej niebezpieczne i pilne podatności są wyróżnione na stronie głównej.

Europa bierze odpowiedzialność za cyfrowe bezpieczeństwo

ENISA nie tylko zarządza EUVD, ale pełni również funkcję CVE Numbering Authority (CNA) – czyli podmiotu uprawnionego do nadawania identyfikatorów CVE. W praktyce oznacza to, że Unia Europejska może samodzielnie wprowadzać do globalnej bazy dane o nowych lukach i koordynować ich publiczne ujawnianie.

Choć ENISA deklaruje, że pozostaje w kontakcie z MITRE i śledzi rozwój sytuacji wokół amerykańskiego programu CVE, z sygnałów płynących z Brukseli jasno wynika, że UE przygotowuje się na ewentualność przejęcia większej odpowiedzialności za globalne zarządzanie podatnościami.