ENISA vil helt ind i maskinrummet
Den europæiske cybersikkerhedsmyndighed ENISA er på vej mod en markant stærkere position i det globale sårbarhedsøkosystem. Ifølge ENISA selv arbejder myndigheden aktuelt på at opnå status som Top‑Level Root CVE Numbering Authority (TL‑Root CNA) – den højeste styringsrolle i det internationale CVE‑program.
Det skriver Infosecurity Programme på baggrund af en melding fra Nuno Rodrigues Carvalho, der leder ENISAs arbejde med hændelses‑ og sårbarhedstjenester, under åbningskeynoten på VulnCon 2026 i USA. Her bekræftede han, at ENISA allerede er i gang med onboarding hos CISA, som er eneste sponsor af CVE‑programmet, med henblik på at blive optaget i den absolutte ledelse af systemet.
Lykkes det, vil ENISA – side om side med CISA og MITRE – få direkte indflydelse på både politik, governance og den fremtidige udvikling af verdens mest centrale register over software‑sårbarheder.
Fra deltager til medforvalter
Ambitionen markerer kulminationen på en relativt hurtig opstigning i CVE‑hierarkiet. ENISA blev CVE Numbering Authority (CNA) i 2024, hvilket gav myndigheden mulighed for selv at tildele CVE‑identifikatorer. Året efter rykkede ENISA op som Root CNA med ansvar for at koordinere og onboarde andre CNA’er i Europa.
Næste skridt – TL‑Root CNA – er noget helt andet. Her tales ikke blot om operationel drift, men om medansvar for hele CVE‑programmets retning, regler og konsistens på globalt plan. I dag er det en eksklusiv klub med kun to medlemmer: CISA og MITRE.
Ifølge ENISA handler ønsket ikke alene om mere indflydelse, men om at bringe et europæisk perspektiv ind i et system, der historisk har været stærkt amerikansk forankret.
CVE under pres – flere hænder på rattet
Timingen er næppe tilfældig. CVE‑systemet er i disse år under massivt pres fra en eksplosiv vækst i antallet af indrapporterede sårbarheder, nye typer softwareleverandører og – ikke mindst – automatiserede fund drevet af AI.
Johannes Kaspar Clos, der arbejder med ansvarlig offentliggørelse og CSIRT‑samarbejde hos ENISA, peger ifølge Infosecurity Magazine på, at kompleksiteten ganske enkelt er blevet for stor til, at et snævert kredsløb kan bære ansvaret alene.
Pointen er klar: Hvis CVE fortsat skal fungere som global rygrad for sårbarhedshåndtering, kræver det flere aktører med reel beslutningskraft – ikke blot flere indsendelser. Det perspektiv flugter bemærkelsesværdigt godt med den aktuelle situation i USA, hvor NIST netop har været nødt til at indsnævre sit arbejde i National Vulnerability Database for overhovedet at kunne følge med.
Flere europæiske CNA’er – mindre centralisering
Et konkret mål for ENISA er at få langt flere europæiske organisationer ind i CVE‑programmet. I dag er kun omkring 80 ud af godt 500 CNA’er baseret i Europa. Det er ikke nødvendigvis et udtryk for marginalisering, men ifølge ENISA er der plads til væsentligt flere.
Særligt nationale CERT’er og CSIRT’er står højt på listen. ENISA har allerede gjort det til en prioritet at onboarde europæiske hændelseshåndteringsenheder som CNA’er, så sårbarheder kan håndteres tættere på den operationelle virkelighed og med større regional kontekst.
Det er et klart skridt i retning af den samme fødererede model, som EU har valgt med EUVD: færre flaskehalse, mere distribueret ansvar.
EU’s sårbarhedsstrategi tager form
Set i sammenhæng med EUVD og den generelle europæiske tilgang til sårbarhedshåndtering tegner der sig et mønster. Hvor USA i stigende grad må prioritere hvad der overhovedet kan håndteres centralt, forsøger EU at påvirke hvordan det globale system er skruet sammen.
At ENISA nu sigter mod en plads i CVE‑programmets øverste ledelse, kan ses som næste logiske skridt: Hvis volumen er kommet for at blive, er governance ikke længere en teknisk detalje, men et strategisk spørgsmål.
For første gang siden CVE‑programmets oprettelse kan Europa få direkte indflydelse på dets fremtidige form. Ikke som alternativ – men som medarkitekt.
Om ENISA reelt opnår TL‑Root‑status i 2026 eller 2027, er endnu åbent. Men alene ambitionen sender et signal om, at CVE‑systemet er ikke længere et nationalt anliggende med global rækkevidde. Det er blevet en fælles, strukturel udfordring – og den kræver flere hænder på rattet.