2022年4月，欧盟网络安全局（ENISA）发布了一份报告，分析并概述了欧盟国家层面的协调漏洞披露（CVD）政策，此外，报告还介绍了关键的发现及未来改进的建议。

欧盟网络安全局（ENISA）是欧盟的一个机构，致力于在整个欧洲实现高水平的网络安全。ENISA成立于2004年，并通过《欧盟网络安全法》得到加强，为欧盟网络政策做出贡献，通过网络安全认证计划提高信通技术产品、服务和流程的可信度，与成员国和欧盟机构合作，并帮助欧洲为未来的网络挑战做好准备。通过知识共享、能力建设和提高认识，该机构与其主要利益相关方合作，加强对互联经济的信任，提高欧盟基础设施的弹性，并最终确保欧洲社会和公民的数字安全。

正如最近的Apache Log4j漏洞所示，一个软件缺陷就可能使全球数以亿计的设备面临风险，使组织难以在漏洞变成安全事故之前修补受影响的系统。这是全球重新展开讨论的又一个漏洞，表明了安全研究、利益相关方之间的沟通、补丁和良好安全实践的重要性。

国家协调漏洞披露（CVD）政策是一个框架，在此框架下，允许并鼓励安全研究人员按照一套规则研究ICT产品和服务，并向国家当局或产品供应商报告他们发现的任何漏洞。国家CVD政策有助于提高一个国家的整体网络安全水平；它增加了透明度，这有助于建立对该国使用的信通技术服务和产品的信任。此外，它为补丁开发提供了宝贵的时间和利益相关者之间的合作，这可能会缩短开发时间。

在国家层面，研究表明，虽然在一个分散的欧盟环境中发展，但多个欧盟成员国在制定国家CVD政策方面取得了进展。目前，只有比利时、法国、立陶宛和荷兰正在开展CVD政策工作并实施了政策要求。这四个国家的政策举措大相径庭。与此同时，另外四个成员国也即将实施相关政策。在这些情况下，该提案要么正在被决策者审查，要么正在试点项目中接受测试。另有10个欧盟成员国正在考虑实施或即将实施国家CVD政策。然而，各国未能在政治或立法层面达成共识阻碍了这一进程。另外9个成员国尚未实施CVD政策，制定政策的进程也尚未开始。

欧盟的差异性可以用各国政府在考虑CVD措施时面临的各种挑战来解释。这些挑战包括法律、经济和政治方面，本报告将做进一步讨论。此外，CVD实践、术语、对CVD的理解和评估缺乏一致性也是CVD政策实施及成员国之间合作的障碍。

报告中还描述了中国、日本和美国实施的CVD政策举措。这些非欧盟参与者介绍了创建和调整CVD政策以及维护和处理登记册的各种方法。除了介绍欧盟的实践之外，相关概念也得到了进一步的详细阐述，并由专家提供了意见。

此外，成员国对所面临的挑战进行了讨论，这些挑战是根据其法律、经济或政治性质确定和分类的，包括：

· 研究人员面临的法律风险；

· 脆弱性研究的经济激励有限；

· 与政府角色和研究人员“安全港”相关的政治挑战。

针对19个欧盟成员国的分析得出的主要建议包括：

· 修订相关法律，为参与发现漏洞的安全研究人员提供法律保护；

· 在为安全研究人员建立法律保护之前，明确区分“道德黑客”和“黑帽”活动的具体标准；

· 通过国家或欧洲漏洞赏金计划，或促进开展网络安全培训，为安全研究人员制定积极参与 CVD研究的激励措施。

除上述内容外，报告还针对经济和政治挑战、运营和危机管理活动提出了建议。

欧盟委员会关于修订网络和信息安全法律的指令及NIS2提案，规定欧盟国家需实施CVD政策。欧盟网络安全局（ENISA）支持欧盟成员国实施该规定，并将制定指导方针以帮助欧盟成员国制定CVD政策。

此外，欧盟网络安全局（ENISA）将开发和维护一个欧盟漏洞数据库（EUVDB），这将对现有的国际漏洞数据库进行补充。在NIS2提案通过后，欧盟网络安全局（ENISA）也将开始与欧盟委员会和成员国讨论数据库的实施。