Kwetsbaarheid melden (CVD)

Vindt u een technische kwetsbaarheid in een systeem van de Rijksoverheid? Dan kunt u dit melden bij het NCSC. Het maken van zo'n melding heet Coordinated Vulnerability Disclosure (CVD). Voor vragen en opmerkingen die niet gerelateerd zijn aan cybersecurity, kunt u contact opnemen met de Rijksoverheid via de contactpagina op rijksoverheid.nl


Aanvullend kunt u ook bij het NCSC terecht voor kwetsbaarheden die meerdere systemen of leveranciers raken. Het NCSC kan het laten oplossen van zo'n kwetsbaarheid coördineren. Vindt u een kwetsbaarheid in een systeem of product dat niet van de Rijksoverheid is? Dan benadert u eerst zelf de eigenaar van het systeem of de productleverancier. Pas als deze organisatie niet of niet goed reageert, kunt u het NCSC op de hoogte brengen. Wij nemen dan de rol van intermediair op ons om de kwetsbaarheid alsnog bij de desbetreffende organisatie onder de aandacht te brengen. U kunt de kwetsbaarheid melden via het CVD-formulier. Wij zullen vervolgens contact met u opnemen voor het afstemmen van de coördinatie.

Procedure kwetsbaarheid melden

De uitgangspunten van ons CVD-beleid

  • Wanneer u de melding volgens de procedure doet, hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Alleen met uw toestemming vermelden wij uw naam als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen één werkdag een bevestiging van ontvangst. Binnen drie werkdagen reageren wij op uw melding met de beoordeling van de melding. Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • Het NCSC streeft ernaar het door u gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te laten lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.
  • Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot cadeaubonnen. Het moet wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem.
  • Voor kwetsbaarheden die meerder systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet, kan het NCSC besluiten een CVE-nummer toe te kennen. De kwetsbaarheid moet daarvoor voldoen aan de eisen van het CVE Program en passen binnen de CNA-rol (CVE Numbering Authority) van het NCSC.

Wall of Fame

Het NCSC plaatst met ingang van 2023 ieder jaar een Wall of Fame op de website om de onderzoekers met de beste meldingen van het voorgaande jaar extra in het bijzonder te bedanken. Kijk hier voor de meest actuele Wall of Fame en de kwaliteitsrichtlijnen.