Nederland is een voorbeeld als het gaat om beleid voor het melden van kwetsbaarheden, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA), dat in een nieuw rapport pleit voor een geharmoniseerde aanpak. Via Coordinated Vulnerability Disclosure (CVD) worden regels afgesproken voor het melden van kwetsbaarheden. De Nederlandse overheid maakt al jaren gebruik van de 'Leidraad Coordinated Vulnerability Disclosure'.

Zo weten beveiligingsonderzoekers waar ze aan moeten voldoen voor het melden van kwetsbaarheden en hoe de verdere communicatie verloopt. De betreffende organisatie zal dan geen aangifte van strafrechtelijk handelen doen. Als onderdeel van de Europese beveiligingsrichtlijn NIS2 moeten alle EU-landen uiterlijk 17 oktober 2024 over CVD-beleid beschikken.

Op dit moment zijn er slechts vier EU-landen die over CVD-beleid beschikken, aldus ENISA. Het gaat om Nederland, België, Frankrijk en Litouwen. Volgens ENISA kan nationaal CVD-beleid een belangrijk voorbeeld voor de industrie zijn om vulnerability management en security practices prioriteit te maken. Het huidige CVD-ecosysteem is echter gefragmenteerd. Het is dan ook belangrijk om tot een geharmoniseerd, heterogeen CVD-beleid te komen, gaat het Europese agentschap verder.

ENISA stelt ook dat onderwijs en bewustzijn prioriteit moeten krijgen. "Hoewel kwetsbaarheden en vulnerability management in cybersecurity al decennia bestaan, wordt een 'security-by-default' aanpak voor productontwikkeling nog zelden gezien bij ontwikkelaars en fabrikanten. Er zijn nog steeds voorbeelden van professionals die geen volledig begrip hebben van actuele problemen en beschikbare oplossingen."