Sårbarheder i industriel skala: Derfor knækker NVD – og EUVD ikke
Da NIST i april meldte ud, at National Vulnerability Database fremover kun vil prioritere et snævert udsnit af nye CVE’er, var det kulminationen på et problem, der har været synligt i flere år: sårbarhedsøkosystemet producerer langt flere indmeldinger, end et centralt, manuelt berigelsessystem kan håndtere.
I Europa har man valgt en anden tilgang. Den europæiske sårbarhedsdatabase – EUVD (ofte omtalt som EUVDB) – er ikke en kopi af NVD, men et forsøg på at designe et system, der forudsætter, at volumen fortsætter med at stige. Det gælder både teknisk arkitektur, governance og rollefordeling.
Et andet udgangspunkt: mængden er et vilkår
Hvor NVD historisk har været bygget op omkring central berigelse og ensartet metadata, er EUVD fra begyndelsen tænkt som et distribueret og risikobaseret system. ENISA har åbent erkendt, at fuld manuel berigelse af alle sårbarheder ikke er skalerbart i længden – og har derfor valgt ikke at gøre det til et succeskriterium.
Det afspejles i databasen:
- EUVD skelner tydeligt mellem identifikation, koordinering og prioritering, i stedet for at forsøge at gøre alt på én gang
- Databasen accepterer, at ikke alle sårbarheder er lige vigtige – og viser det direkte i brugerfladen
- Fokus er fra starten flyttet fra fuldstændighed til handlingsrelevans
Det er en vigtig forskel. Hvor NIST nu må skære til for at overleve, er EUVD bygget med beskæringen ind i designet.
Governance: mindre central autoritet, flere ansvarlige noder
Et centralt problem i NVD‑modellen er, at én organisation i praksis har været ansvarlig for berigelse og prioritering af en global datastrøm. EUVD forsøger bevidst at undgå den flaskehals.
Governance‑modellen hviler på tre søjler:
ENISA som koordinator – ikke flaskehals
ENISA driver platformen og fastlægger rammerne, men er ikke tiltænkt rollen som eneste analytiske instans. Rollen er at sikre ensartede principper, ikke at udføre alt arbejdet selv. [\[cert.dk\]](https://www.cert.dk/news/2025-05-05/Noeglefunktioner-og-fordele-ved-EUVDB)
National CSIRT‑forankring
En stor del af de mest prioriterede sårbarheder i EUVD er markeret som "EU CSIRT‑coordinated. Det betyder, at vurdering og kontekstualisering sker dér, hvor den operationelle viden findes – hos nationale CSIRT’er – frem for i et centralt kontor ENISA.
Tæt kobling til CVE‑økosystemet, men uden afhængighed
EUVD spejler og refererer til CVE’er, men anvender samtidig egne EUVD‑identifikatorer. Det giver mulighed for at arbejde videre, også hvis CVE‑systemet igen skulle blive ramt af organisatoriske eller finansielle ændringer, som vi ser nu med justeringerne hos NIST.
Resultatet er et system, hvor flere aktører deler byrden – og dermed også kan absorbere stigende mængder bedre.
Prioritering som førsteordensfunktion
En af de mest markante forskelle mellem NVD og EUVD er, hvordan prioritering er indbygget.
I EUVD fylder EPSS‑scoren (Exploit Prediction Scoring System) mindst lige så meget som CVSS. Det er ikke tilfældigt. EPSS adresserer netop det problem, NIST nu reagerer på: at langt størstedelen af sårbarheder aldrig bliver udnyttet.
Konsekvensen er:
- brugere mødes ikke af tusindvis af “kritiske” sårbarheder uden kontekst
- sandsynlighed for udnyttelse bliver et centralt navigationsværktøj
- databasen understøtter beslutninger, ikke bare dokumentation
Man kan sige, at EUVD i højere grad er bygget som et prioriteringsværktøj, mens NVD historisk har fungeret som et arkiv.
Skalerbarhed gennem føderation – ikke automatisering alene
NIST’s aktuelle strategi lægger op til hårdere prioritering *inden for* et centralt system. EU’s tilgang er i højere grad at sprede ansvaret ud i systemet.
Det ses også i ENISAs rolle i CVE‑programmet. ENISA er allerede Root CNA og arbejder på at blive TL‑Root CNA, hvilket vil give Europa reel indflydelse på den globale struktur for håndtering af sårbarheder – ikke bare som forbruger, men som medforvalter.
Det er et governance‑træk, der adresserer volumenproblemet strukturelt: flere beslutningscentre, færre single points of failure.
NIST og ENISA reagerer på den samme realitet: der er for mange CVE’er til, at alle kan behandles ens. Forskellen er timingen og arkitekturen.
- NIST justerer et system, der er vokset ud over sine oprindelige rammer
- EUVD er designet med den nuværende – og fremtidige – mængde som præmis
Hvor NIST taler om langsigtet bæredygtighed, har EUVD fra starten indrettet sig på, at bæredygtighed kræver, at man ikke forsøger at vide alt om alt.
Det gør ikke EUVD perfekt. Men det gør den bedre rustet til den verden, vi er i – og som NIST nu åbent erkender med sine ændringer.
Med EUVD har EU også gjort sig digital selvstændig og uafhængig af andre landes finansieringsudfordringer, ligesom der oven på sårbarhedsdatabasen kan bygges andre tjenester som fx. varslingstjenesten Vulnerability Lookup, som DKCERT også har etableret sin egen instans af.