La messa in operatività – annunciata da ENISA il 13 maggio – del EUDV (EUDV-ENISA), l’European Union Vulnerability Database, rappresenta un progresso nel cammino verso il rafforzamento della sicurezza e della resilienza dell’Europa. E questo perché riunisce le informazioni sulle vulnerabilità rilevanti per il mercato dell’UE, consentendo agli stakeholder del settore pubblico e privato di proteggere con maggiore efficienza e autonomia le infrastrutture digitali sempre più collegate tra loro, soddisfare il requisito del database delle vulnerabilità previsto dalla Direttiva NIS 2, convertendosi in una fonte efficiente di informazioni per individuare misure di mitigazione.
Di fatto, l’obiettivo dell’EUVD è garantire un elevato livello di interconnessione delle informazioni disponibili al pubblico provenienti da molteplici fonti, come CSIRT, fornitori e database esistenti.
Esso è rivolto ai fornitori di reti e sistemi informativi e alle entità che utilizzano i loro servizi. Inoltre, le informazioni documentate nell’EUVD sono destinate alle autorità nazionali competenti, quali i CSIRT dei vari Paesi europei, nonché ad aziende private e ricercatori.
Questa piattaforma si basa su un approccio olistico, ovvero, l’EUVD – essendo un database interconnesso – consente un’analisi più accurata e facilita la correlazione delle vulnerabilità, indipendentemente dagli ID delle vulnerabilità.
Inoltre, semplifica la gestione della divulgazione coordinata delle vulnerabilità (CVD – Coordinated Vulnerability Disclosure) attraverso il software open source Vulnerability-Lookup, garantendo una migliore consapevolezza della situazione e gestione del rischio informatico.
Indice degli argomenti
Come funziona il EUDV?
L’EUDV consta in una dashboard dove sono presenti le informazioni aggregate del database attraverso tre tipologie di visualizzazioni: vulnerabilità critiche; vulnerabilità sfruttate; vulnerabilità coordinate a livello UE, i.e. i casi gestiti dai CSIRT europei oltre che i contributi dei membri della rete dei CSIRT dell’UE.
È doveroso evidenziare che le informazioni sulle vulnerabilità raccolte e referenziate provengono da database open source. Altre informazioni vengono integrate tramite avvisi, oltre che da avvisi emessi dai CSIRT nazionali, linee guida per la mitigazione e l’applicazione di patch pubblicate dai fornitori, insieme alle segnalazioni di vulnerabilità sfruttate.
Di seguito le informazioni disponibili sul EUDV:
- Una descrizione della vulnerabilità, delineandone la natura ed il potenziale impatto.
- Prodotti ICT o servizi ICT interessati e/o versioni interessate, gravità della vulnerabilità e modalità di sfruttamento.
- Dettagli relativi alle patch disponibili o alle misure di mitigazione emanate dalle autorità competenti, come i CSIRT, per aiutare gli utenti a ridurre i rischi di cybersecurity associati e alle linee guida emanate dalle autorità competenti, inclusi i CSIRT, volte a supportare gli utenti nella mitigazione dei rischi.
ENISA ha avviato diverse collaborazioni/contatti con diverse organizzazioni internazionali e dell’UE, tra cui Mitre CVE Program (MITRE CVE Program).
I dati CVE unitamente ai dati forniti dai fornitori di ICT – che divulgano informazioni sulle vulnerabilità tramite avvisi e informazioni pertinenti come il catalogo del CISA delle vulnerabilità sfruttate (CISA known exploited vulnerabilities catalog) – sono trasferite nell’EUVD, anche che grazie al supporto degli Stati membri che hanno sia definito politiche nazionali di Coordinated Vulnerability Disclosure (CVD) sia designato uno dei propri CSIRT come coordinatore, trasformando l’EUVD in una fonte affidabile per una maggiore consapevolezza situazionale nell’UE.
Da gennaio 2024 l’ENISA è autorizzata come CVE Numbering Authority (CNA), per le vulnerabilità nei prodotti informatici (IT) scoperte dai CSIRT dell’Unione Europea o segnalate ai CSIRT dell’UE per la divulgazione coordinata. Inoltre, l’ENISA – grazie al lavoro di coordinamento dei CSIRT dell’UE – è registrata come organizzazione “consortile” nell’elenco dei partner del programma CVE.
Next step
L’ENISA (Agenzia dell’Unione europea per la cibersicurezza) ha annunciato che il 2025 sarà dedicato al continuo miglioramento e sviluppo dell’EUVD e dei servizi associati. Di fatto, l’agenzia raccoglierà e integrerà attivamente il feedback degli stakeholder per garantire che la piattaforma si evolva in linea con le esigenze operative, i progressi tecnologici e l’evoluzione del panorama delle minacce di cybersecurity.
L’agenzia ha inoltre sottolineato che la notifica delle vulnerabilità attivamente sfruttate diventerà obbligatoria per i produttori entro settembre 2026 e che il processo di notifica si applicherà alle vulnerabilità che interessano prodotti hardware e software con elementi digitali. Inoltre, la Piattaforma Unica di Segnalazione (Single Reporting Platform – SRP) – prevista dal Cyber Resilience Act (CRA) – sarà lo strumento da utilizzare a tale scopo.
L’ENISA, per supportare ulteriormente gli Stati membri, continuerà a pubblicare a linee guida complete, studi approfonditi e risorse pratiche come manuali, quadri di buone pratiche e analisi delle lacune. T
ali materiali sono aggiornati regolarmente per riflettere l’evoluzione del panorama legislativo e politico, tra cui il Cybersecurity Act, la Direttiva NIS2 e il Cyber Resilience Act entrato in vigore il 10 dicembre 2024. Ai sensi del CRA, i prodotti ICT recheranno la marcatura CE, a garanzia della conformità ai requisiti di cybersecurity previsti dal regolamento. È doveroso evidenziare che gli obblighi principali derivanti dal CRA entreranno in vigore a partire dall’11 dicembre 2027.
