核心地位確立與職責擴大

歐盟網路安全局（ENISA）在國際資安治理體系中邁出了關鍵一步，正式獲指定為「共同弱點與漏洞」（Common Vulnerabilities and Exposures, CVE）計畫的根中心（CVE Program Root）。此舉不僅是職稱的變更，更是歐盟在提升網路安全成熟度、實現跨國協調一致漏洞管理的戰略體現。

歐盟網路安全局 (ENISA) 現已正式成為 CVE 計畫根中心，這使得 ENISA 成為各國和歐盟機構、歐盟 CSIRT(註) 網路以及在其授權下開展工作的合作夥伴的中心聯絡點。這個頭銜強化了 ENISA 在漏洞管理方面的作用，並擴大了其在整個區域協調漏洞揭露的職責範圍。

註：

作為 CVE 編號機構，ENISA 已經為歐盟 CSIRT 發現或報告的漏洞分配 CVE ID 並發布 CVE 記錄，自 2024 年 1 月以來，它一直擔任這一角色。成為根 CVE 編號機構將在此基礎上進一步發展，並擴大其在 CVE 計劃中的權限。

此次角色擴展符合歐盟旨在提升漏洞協調和管理水準的更廣泛措施，增強了歐盟跨境一致且有效率地管理漏洞的能力。它支援成員國之間持續進行協調一致的漏洞揭露工作，支援歐盟漏洞資料庫的開發和運行，以及歐盟網路安全局（ENISA）根據《網路韌性法案，CRA》承擔的各項任務，包括為製造商提供指導、支援新網路安全框架的實施以及運營單一報告平台。

ENISA 也根據《網路彈性法案》開發單一報告平台，該平台的目標是提供一個集中管道，用於報告已被利用的漏洞。製造商將被要求從 2026 年 9 月起提交這些通知，預計此舉將提高產品的整體安全性。作為歐盟電腦安全事件回應小組（CSIRT）網路的秘書處，歐洲網路與資訊安全局（ENISA）也支援協調一致的漏洞揭露。當漏洞被判定可能對多個成員國造成重大影響時，ENISA會協助指定的CSIRT進行協調工作。該機構還會發布指南和研究報告，幫助成員國制定和完善各自的協調一致的漏洞揭露政策。

全球 CVE 體系中的戰略定位

成為 CVE 根中心，意味著 ENISA 正式加入由全球頂尖資安機構組成的「CVE 根中心理事會」（CVE Program Council of Roots）。這個精英組織致力於 CVE 計畫跨越不同根層級的操作協調，其成員包括美國的 MITRE、CISA、Google、Red Hat，以及日本的 JPCERT/CC 等國際巨擘，在歐盟內部則已有 INCIBE Cert、Thales Group 和 CERT@VDE 等。

ENISA 的新職責超越了單純的 CVE ID 分配。它現在擁有在其授權範圍內識別、納入並支援其他 CVE 編號機構（CNAs）的權力。此責任確保了 CVE 計畫指南與流程的嚴格遵循，並促進了 CVE ID 分配和管理的標準化程序、指南與規範的進一步發展。這項工作的核心目標是降低歐洲地區資安實踐的碎片化現象，透過協調一致的 CVE 實踐，提升 CVE 記錄的質量與時效性，進而加強跨境協調和加速負責任的漏洞揭露。

《網路韌性法案》與單一報告平台

ENISA 職責的擴大，與歐盟近期通過的《網路韌性法案》（Cyber Resilience Act, CRA）的實施緊密相關。CRA 旨在建立一個全面的網路安全框架，要求產品製造商對其產品的安全性負責。

ENISA 正根據 CRA 開發的「單一報告平台」（Single Reporting Platform, SRP），是此框架的核心基礎設施之一。該平台的目標是提供一個集中化的通道，用於報告已被主動利用的漏洞。根據法案要求，製造商將必須從 2026 年 9 月起透過此平台提交相關通知。這一強制性要求預計將大幅提升市場上數位產品的整體安全性，並為歐盟當局提供更即時、全面的漏洞態勢感知。

此外，ENISA 也在《NIS2 指令》下開發和維護「歐洲漏洞資料庫」（European Vulnerability Database），該資料庫已投入營運，作為成員國追蹤和管理跨區域漏洞的共享資源，進一步體現了歐盟在整體網路安全防禦上的協同努力。

歐盟跨國協調與 CSIRTs 網絡

作為歐盟電腦安全事件回應小組（CSIRTs）網絡的秘書處，ENISA 在支援協調一致的漏洞揭露方面扮演著不可或缺的角色。當漏洞被評估可能對多個成員國造成重大影響時，ENISA 負責協助指定的 CSIRTs 進行協調工作，確保跨國界的應對措施能夠迅速且一致地實施。

此類協調行動對於維護歐盟單一數位市場和關鍵基礎設施的韌性至關重要。ENISA 通過發布指南和研究報告，持續協助成員國制定和完善自身的協調一致漏洞揭露政策，從而在實務層面達到網路安全標準的統一。

結語與未來展望

ENISA 成為 CVE Program Root，是其在協調漏洞管理領域的重大擴權，亦是對其能力的高度認可。正如 ENISA 執行董事 Juhan Lepassaar 所強調，這一新角色將進一步提升該機構的能力，以支援 CSIRTs 網絡及其合作夥伴，全面增強歐盟協調和管理網路安全漏洞的能力，從而為歐盟公民、企業和公共行政部門，構建一個更安全、更具韌性和更具創新性的數位生態系統。透過與全球根中心的合作，ENISA 致力於促進更大的透明度、信任和操作一致性，鞏固歐盟在全球網路安全治理中的領先地位。

資料來源：https://industrialcyber.co/regulation-standards-and-compliance/enisa-named-cve-program-root-expanding-its-role-in-eu-vulnerability-coordination/