Het Europees Agentschap voor cyberbeveiliging (ENISA) kan voortaan CVE-nummers aan kwetsbaarheden toekennen. De organisatie is geautoriseerd als een Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA). In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer.

Door het CVE-nummer is het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CNA. CNA's kunnen een CVE-nummer registreren voor een actueel beveiligingslek, maar het is ook mogelijk om een reeks van CVE-nummers te reserveren en die pas op een later moment te gebruiken.

Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software, maar veel partijen die met kwetsbaarheden te maken krijgen kunnen dat niet. Het ENISA wil in de rol van CNA vooral ondersteuning bieden aan Europese Computer Security Incident Response Teams (CSIRTs) waar kwetsbaarheden worden gemeld of die ze zelf ontdekken.