Cybersecurity Crisis: Verlies van de CVE zou een wereldwijde schok veroorzaken
In de vroege ochtend van 17 april bracht de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een tijdelijke opluchting voor de internationale cybersecuritygemeenschap: op het laatste moment werd het contract met MITRE verlengd om de continuïteit van het programma Common Vulnerabilities and Exposures (CVE) te waarborgen, een van de fundamenten voor het wereldwijd beheren van kwetsbaarheden.
Echter, deze situatie heeft alle alarmbellen laten rinkelen. De reële mogelijkheid dat het CVE zou worden stopgezet door een gebrek aan financiering heeft een structurele zwakte blootgelegd: de wereld hangt af van een standaard die wordt onderhouden onder een exclusief contract met een Amerikaanse entiteit. Dit hulpmiddel wordt gebruikt door overheden, technologiebedrijven, CERTs en beveiligingssystemen over de hele wereld, waarbij de continuïteit in gevaar kwam door een interne politieke beslissing.
MITRE, CVE en de waarschuwing van een wereldwijde onderbreking
De waarschuwing kwam eerst van MITRE: als het contract met de Amerikaanse overheid niet werd vernieuwd, zou het CVE-catalogus op 17 april stoppen met functioneren. De reacties waren onmiddellijk, zowel op sociale media als onder de leden van het CVE-bestuur, die de oprichting van een onafhankelijk alternatief aankondigden: de CVE Foundation, met de intentie om de standaard voort te zetten vanuit een neutrale entiteit.
Een woordvoerder van CISA verklaarde dat "het contract gisteravond is verlengd" en dat het agentschap "de impact van het CVE-programma op de wereldwijde cybersecuritygemeenschap waardeert". De getekende verlenging garandeert nog eens 11 maanden van operationele continuïteit. Maar de spanning en het precedent blijven bestaan.
Europa in het brandpunt van de discussie over digitale soevereiniteit
Dit voorval heeft een oude discussie opnieuw aangewakkerd: kan Europa het zich veroorloven om afhankelijk te blijven van de VS voor dergelijke cruciale zaken als digitale veiligheid?
Hoewel de Verenigde Staten een strategische bondgenoot zijn binnen de NAVO en wereldwijd technologisch leiderschap vertonen, is cybersecurity een gebied geworden waar autonomie cruciaal is voor de Europese Unie, op hetzelfde niveau als energie of defensie.
Professionals in de sector hebben opgemerkt dat een onderbreking van de toegang tot het CVE directe gevolgen zou hebben voor oplossingen voor het beheer van kwetsbaarheden, scanners, SIEM’s, SOC’s en cyberintelligentieprocessen, zowel in de publieke als de private sector.
Volgens een cyberdefensieanalist: “We hebben een Europese infrastructuur nodig voor de classificatie van kwetsbaarheden. Niet omdat de VS een vijand is, maar omdat zelfs bondgenoten van de VS van regering kunnen wisselen en prioriteiten kunnen veranderen.”
De schaduw van herstructureringen bij CISA en budgetverlagingen
Deze controverse valt samen met een interne herstructurering binnen CISA, aangestuurd door de nieuwe regering van minister van Binnenlandse Veiligheid Kristi Noem. Sommige contracten zijn geannuleerd, en er wordt gesproken over een bezuiniging op personeel en budget in cruciale gebieden.
De politieke achtergrond maakt het er niet gemakkelijker op: in de afgelopen jaren hebben conservatieve kringen CISA beschuldigd van "censuur" in haar pogingen om desinformatie tijdens verkiezingsprocessen aan te pakken. Deze spanningen hebben geleid tot een institutioneel wantrouwen dat de reikwijdte van het agentschap verder bedreigt.
Wat nu?
De mondiale technische gemeenschap heeft haar bezorgdheid geuit. Hoewel MITRE verzekert dat het zich blijft inzetten voor het CVE en het CWE (Common Weakness Enumeration), heeft dit voorval aangetoond dat zo’n kritisch hulpmiddel niet afhankelijk kan zijn van één nationale jurisdictie.
Europa, dat wetswijzigingen zoals de Cyber Resilience Act (CRA) en structuren zoals ENISA of het CSIRTs-netwerk heeft bevorderd, zou het initiatief kunnen nemen en een federaal systeem voor het beheer van kwetsbaarheden stimuleren, dat interoperabel maar soeverein is.
Het gaat er niet om het werk te dupliceren, maar om te waarborgen dat, als een politieke beslissing in Washington het CVE kan stilleggen, Europa een plan B heeft — en dit in eigen handen heeft.
Conclusie
Cybersecurity is niet alleen een technische kwestie meer; het is geopolitiek. De MITRE-CVE-affaire heeft als herinnering gediend dat zelfs de meest vaste standaarden kwetsbaar kunnen zijn als ze afhankelijk zijn van de wil van één enkele actor.
Europese digitale soevereiniteit moet niet langer een ambitie zijn, maar een concrete strategie. Want de volgende keer dat een contract niet op tijd wordt vernieuwd, kan de schade onmiddellijk en wereldwijd zijn.