Het NCSC is geautoriseerd als CVE Numbering Authority (CNA). Dit betekent dat zelfstandig CVE-ID’s kunnen worden toegekend aan kwetsbaarheden, zonder dat een andere CNA geïnformeerd hoeft te worden over de details ervan. Hiermee kan de vertrouwelijkheid van gevonden kwetsbaarheden beter worden gewaarborgd.
Een CVE-ID is een uniek nummer dat door softwareleveranciers wordt toegekend aan in hun software gevonden kwetsbaarheden (Common Vulnerabilities and Exposures). Deze nummers maken het voor hen eenvoudiger om te verwijzen naar de gevonden kwetsbaarheid en miscommunicatie te voorkomen.
Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software. Leveranciers die dat niet kunnen, kunnen nu worden bijgestaan door het NCSC.
Voor kwetsbaarheden die meerdere systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet, kan het NCSC besluiten een CVE-nummer toe te kennen. De kwetsbaarheid moet daarvoor voldoen aan de eisen van het CVE Program en passen binnen de CNA-rol (CVE Numbering Authority) van het NCSC.