De EC draagt zorg voor een veilig en betrouwbaar eiDAS-netwerk. Om die reden laat zij regelmatig externe partijen de kwetsbaarheid van het eIDAS-netwerk onderzoeken.

Afgelopen week hebben diverse media bericht over een mogelijke kwetsbaarheid in de software van het eIDAS-netwerk. De berichtgeving is in alle gevallen gebaseerd op een bericht dat in het kader van transparantie (Responsible Disclosure) met medeweten van de Europese Commissie zelf naar buiten is gebracht.

De EC draagt zorg voor een veilig en betrouwbaar eiDAS-netwerk. Om die reden laat zij regelmatig externe partijen de kwetsbaarheid van het eIDAS-netwerk onderzoeken.

Enige maanden geleden heeft een dergelijk onderzoek op basis van computertaal en een penetratietest plaatsgevonden en zijn er op dat moment mogelijke kwetsbaarheden ontdekt. Na deze ontdekking zijn de lidstaten hierover geïnformeerd en zijn maatregels genomen om de gevonden kwetsbaarheden weg te nemen. Alle lidstaten die de kwetsbaarheden in hun nationale netwerk hadden, hebben aangegeven dat dit inmiddels is verholpen.

Na de ontdekking is eveneens onderzoek gedaan of de kwetsbaarheid in voorliggende periode misbruikt is. Hieruit is geconcludeerd dat er geen misbruik is gemaakt van deze kwetsbaarheid.

Het Nederlandse deel van het eIDAS-netwerk heeft overigens geen gebruik gemaakt van deze versie van de software waar kwetsbaarheden in zijn geconstateerd. Nederlandse burgers en dienstverleners zijn dan ook niet blootgesteld aan de kwetsbaarheden die in de berichtgeving werden vermeld. De verschillende Nederlandse ketenpartijen hebben inmiddels het voornemen uitgesproken om toekomstige berichtgeving zoveel mogelijk proactief met de aangesloten dienstverleners te delen.