Coordinated Vulnerability Disclosure



Het doel van Coordinated Vulnerability Disclosure (CVD) is om bij te dragen aan de veiligheid van producten of diensten. Door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen. Zo voorkomen of beperken we schadelijke gevolgen zoveel als mogelijk. Hierbij moet dan wel voldoende tijd voor herstel beschikbaar zijn, voordat tot openbaarmaking wordt overgegaan.

Wat moet ik doen?

Door een eigen CVD-beleid in te richten, maakt een organisatie als eigenaar duidelijk hoe zij omgaat met meldingen over kwetsbaarheden in ICT-systemen. Het Nationaal Cyber Security Center heeft informatie over het inrichten van een eigen CVD-beleid. Zie voor meer informatie https://www.ncsc.nl/onderwerpen/cvd-beleid/cvd-beleid-opstellen.

Belangrijk onderdeel van CVD is het duidelijk maken van de mogelijkheid tot een melding op je website. Een voorbeeld hiervan vindt je op https://www.rijksoverheid.nl/kwetsbaarheid-melden.

Is dit verplicht?

Ja. In de Baseline Informatiebeveiliging Overheid (BIO) is het hebben van een Coordinated Vulnerability Disclosure procedure een verplichting. Zie paragraaf 16.1.3.1 in de BIO.