Con l’ingresso nel programma CVE, l’ENISA avrà sempre più un ruolo di contatto e coordinamento tra le diverse autorità cyber, nazionali e UE.

L’ENISA è entrata nel programma CVE (Common Vulnerabilities and Exposures) di primo livello. L’Agenzia diventa così un punto di contatto centrale all’interno del programma CVE per le autorità nazionali/UE, i membri della rete CSIRT UE e i soggetti cooperativi che rientrano nel suo mandato.

Il nuovo ruolo dell’ENISA rientra nell’ambito degli investimenti dell’Unione europea volti a rafforzare il coordinamento e la gestione delle vulnerabilità comunitarie. In quanto tale, questo nuovo ruolo integra e sostiene le attività di divulgazione coordinata delle vulnerabilità intraprese dagli Stati membri dell’UE.

In particolare, nella creazione e nel funzionamento della banca dati delle vulnerabilità dell’UE, nonché per i nuovi compiti che l’ENISA avrà ai sensi della Direttiva NIS2.

Come funziona il programma CVE?

Il programma Common Vulnerabilities and Exposures (o programma CVE) è stato creato nel 1999 e da allora è utilizzato in tutto il mondo. Il CVE fornisce uno schema per identificare, definire e catalogare le vulnerabilità rese pubbliche con informazioni contestuali al fine di creare un elenco standardizzato di tali vulnerabilità.

Alle vulnerabilità viene assegnato un ID CVE. Le relative registrazioni CVE vengono pubblicate da organizzazioni di tutto il mondo che hanno stretto una collaborazione con il programma di merito.

In questo modo, ci sarà la possibilità di condividere più rapidamente le informazioni relative a tali vulnerabilità e di risolvere i problemi di sicurezza, migliorando la sicurezza dei vari sistemi.

Il rafforzamento della gestione coordinata delle vulnerabilità

L’assunzione da parte di ENISA del ruolo di CVE Program Root, in aggiunta alle sue responsabilità come CNA (CVE Numbering Authority), è un aumento importante della sua operatività. Questo passo permette all’Agenzia di consolidare le proprie capacità nell’identificazione, classificazione e supporto alla mitigazione delle vulnerabilità su larga scala.

Grazie all’armonizzazione delle pratiche CVE, l’ENISA contribuirà a ridurre la frammentazione, rafforzare il coordinamento transfrontaliero e accelerare la divulgazione responsabile delle vulnerabilità.

Collaborando con la rete globale dei Roots, l’Agenzia inoltre potrà promuovere maggiore trasparenza, fiducia e coerenza operativa a beneficio di CSIRT, industria e autorità pubbliche.

Le altre attività di ENISA nella gestione delle vulnerabilità

ENISA ha nel tempo sviluppato delle competenze nella gestione delle vulnerabilità cyber. Nel dettaglio:

1. European Vulnerability Database (EUVD)

In conformità alla Direttiva NIS2, l’ENISA ha sviluppato la European Vulnerability Database (EUVD), pienamente operativa. Il servizio è gestito direttamente dall’Agenzia e si propone di diventare un riferimento europeo per la condivisione e il monitoraggio delle vulnerabilità.

2. Cyber Resilience Act – Single Reporting Platform (SRP)

Nel quadro del Cyber Resilience Act (CRA), l’Agenzia sta sviluppando la Single Reporting Platform (SRP), uno strumento pensato per la notifica delle vulnerabilità attivamente sfruttate. A partire da settembre 2026, la segnalazione tramite la piattaforma diventerà obbligatoria per i vari soggetti. L’obiettivo è quello di innalzare il livello di sicurezza dei prodotti digitali e rafforzare la fiducia degli utenti.

3. Coordinated Vulnerability Disclosure (CVD)

In qualità di segretariato della rete EU CSIRTs, l’ENISA supporta i CSIRT designati come coordinatori nella cooperazione transfrontaliera. Questo, quando una vulnerabilità può avere un impatto significativo in più Stati membri. L’Agenzia pubblica regolarmente linee guida e studi per aiutare i Paesi dell’UE a sviluppare politiche efficaci di Coordinated Vulnerability Disclosure.

Juhan Lepassaar (ENISA, Direttore Esecutivo): “Con le nuove responsabilità, l’ENISA estende il proprio sostegno alla rete CSIRT“

“Diventando un Root, l’ENISA compie un ulteriore passo avanti per migliorare lo sviluppo e la capacità dell’Agenzia di sostenere la gestione delle vulnerabilità nell’UE“. Questo, il commento del Direttore Esecutivo dell’ENISA, Juhan Lepassaar.

Lo stesso Lepassaar ha poi aggiunto: “Con le nuove responsabilità, l’ENISA estende il proprio sostegno alla rete CSIRT e a tutti i suoi partner. In questi termini, si rafforzerà ulteriormente la capacità dell’UE di gestire e coordinare le vulnerabilità in materia di sicurezza informatica e migliorare la sicurezza digitale in tutta l’Unione“.

Vai al sito di Cybersecurity Italia.

L'articolo CVE, ENISA entra nel programma. Come funziona sembra essere il primo su CyberSecurity Italia.