CVD-beleid inrichten

Regelmatig worden nieuwe kwetsbaarheden in producten of diensten gevonden door onderzoekers of organisaties. De vinder kan door Coordinated Vulnerability Disclosure de eigenaren van die producten of diensten op de hoogte stellen. Eigenaren kunnen dan maatregelen nemen voordat de kwetsbaarheden actief misbruikt zullen worden door derden.
Al geruime tijd voert het NCSC een beleid voor Coordinated Vulnerability Disclosure (CVD). Dit beleid stond vroeger bekend als Responsible Disclosure.

Leidraad voor CVD-beleid

Met de leidraad kunnen organisaties een eigen CVD-beleid inrichten. Bijvoorbeeld over de wijze waarop melders kwetsbaarheden aan de organisatie kunnen doorgeven, afspraken over berichtgeving, de oplossingstermijn en eventuele beloning aan melders.
Sinds 2013 heeft het NCSC enkele honderden meldingen ontvangen en verwerkt. Veel Nederlandse organisaties voeren een actief CVD-beleid. Dit illustreert de toegevoegde waarde van een CVD-proces: de digitale weerbaarheid in Nederland wordt groter omdat we elkaar daarbij helpen.