Coordinated Vulnerability Disclosure (CVD)

Het doel van Coordinated Vulnerability Disclosure (CVD) is om bij te dragen aan de veiligheid van producten of diensten. Door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen. Zo voorkomen of beperken we schadelijke gevolgen zoveel als mogelijk. Hierbij moet dan wel voldoende tijd voor herstel beschikbaar zijn, voordat tot openbaarmaking wordt overgegaan.

Wat moet ik doen?

Door een eigen CVD-beleid in te richten, maakt een organisatie als eigenaar duidelijk hoe zij omgaat met meldingen over kwetsbaarheden in ICT-systemen. Het Nationaal Cyber Security Center heeft informatie over het inrichten van een eigen CVD-beleid.

Belangrijk onderdeel van CVD is het duidelijk maken van de mogelijkheid tot een melding op je website. Een voorbeeld hiervan vind je op de pagina kwetsbaarheid melden op de website van de Rijksoverheid.

Is dit verplicht?

Ja. In de Baseline Informatiebeveiliging Overheid (BIO) is het hebben van een Coordinated Vulnerability Disclosure-procedure een verplichting. Zie paragraaf 16.1.3.1 in de BIO