NIS2: Banca dati europea di vulnerabilità – EUVD

15/05/2025
Enisa Cybersecurity

Come previsto dalla direttiva NIS2 è operativa la Banca dati europea di vulnerabilità – EUVD – gestita da ENISA – Agenzia dell’Unione europea per la cybersicurezza.

La banca dati fornisce informazioni aggregate, affidabili e attuabili come misure di mitigazione e lo stato di sfruttamento delle vulnerabilità della sicurezza informatica che interessano i prodotti e i servizi di Information and Communication Technology (ICT).

Perché un database europeo di vulnerabilità?

L’obiettivo di EUVD è garantire un elevato livello di interconnessione delle informazioni pubblicamente disponibili provenienti da più fonti come CSIRT, fornitori e database esistenti. Per raggiungere questo obiettivo, la piattaforma si basa su un approccio olistico. Come database interconnesso, EUVD consente una migliore analisi e facilita la correlazione delle vulnerabilità facilitando il software open source Vulnerability-Lookup, consentendo in tal modo una migliore gestione del rischio di sicurezza informatica.

EUVD offre quindi una fonte di informazioni affidabile, più trasparente e più ampia e migliora ulteriormente la consapevolezza della situazione, limitando l’esposizione alle minacce.

Per chi è EUVD?

La banca dati è accessibile al pubblico in generale per consultare le informazioni relative alle vulnerabilità che hanno un impatto su prodotti e servizi informatici. È anche rivolto ai fornitori di sistemi di rete e di informazioni ed entità che utilizzano i loro servizi. Le informazioni documentate in EUVD sono destinate anche alle autorità nazionali competenti, come la rete CSIRT dell’UE, nonché alle società private e ai ricercatori.

Come funziona?

Le informazioni aggregate del database vengono visualizzate tramite dashboard. EUVD offre tre punti di vista della dashboard: per le vulnerabilità critiche, per quelle sfruttate e per quelle coordinate dell’UE. Le vulnerabilità coordinate dell’UE elencano le vulnerabilità coordinate dai CSIRT europei e comprendono i membri della rete CSIRT dell’UE.

Le informazioni sulle vulnerabilità raccolte e referenziate provengono da database open source. Ulteriori informazioni vengono aggiunte tramite avvisi e avvisi emessi da CSIRT nazionali, linee guida di mitigazione e patch pubblicate dai fornitori, insieme ai marcature di vulnerabilità sfruttate. I dati EUVD possono includere:

  • Una descrizione della vulnerabilità;
  • i prodotti TIC o i servizi TIC interessati e/o le versioni interessate, la gravità della vulnerabilità e il modo in cui potrebbero essere sfruttati;
  • Informazioni sulle patch o sugli orientamenti pertinenti esistenti forniti dalle autorità competenti, compresi i CSIRT, e indirizzate agli utenti su come mitigare i rischi.

Il ruolo dei ENISA nell’ecosistema delle vulnerabilità

Per soddisfare i requisiti della direttiva NIS2, l’ENISA ha avviato una cooperazione con diverse organizzazioni dell’UE e internazionali, incluso il programma CVE del MITRE. L’ENISA è in contatto con MITRE per comprendere l’impatto e i prossimi passi dopo l’annuncio sul finanziamento del programma Common Vulnerabilities and Exposures. I dati CVE, i dati forniti dai fornitori di TIC che divulgano le informazioni sulle vulnerabilità tramite avvisi e informazioni pertinenti come il Catalogo di vulnerabilità sfruttate note della CISA vengono automaticamente trasferiti nell’EUVD. Ciò sarà realizzato anche con il sostegno degli Stati membri che hanno istituito politiche nazionali di divulgazione delle vulnerabilità coordinate (CVD) e che hanno designato uno dei loro CSIRT come coordinatore, rendendo in ultima analisi l’EUVD una fonte attendibile per una maggiore consapevolezza situazionale nell’UE.

In qualità di Autorità di numerazione CVE (CNA), ENISA può registrare le vulnerabilità e supportare la divulgazione delle vulnerabilità dal gennaio 2024, in relazione a:

  • le vulnerabilità dei prodotti IT scoperti dagli stessi CSIRT dell’UE; e
  • le vulnerabilità segnalate ai CSIRT dell’UE per la divulgazione coordinata purché non rientrino nell’ambito di un’altra Autorità di numerazione CVE.

Qual è la differenza tra la EUVD e la piattaforma unica di relazione di ACR?

La notifica di vulnerabilità attivamente sfruttate diventerà obbligatoria per i produttori entro il 2026 settembre. Questo processo di notifica si applicherà alle vulnerabilità che incidono su prodotti hardware e software con elementi digitali. La Single Reporting Platform (SRP) prevista dalla Cyber Resilience Act (CRA) sarà lo strumento da utilizzare per tale scopo. È importante sottolineare che il SRP è quindi diverso dall’EUVD istituito dalla direttiva NIS2.

Qual è il prossimo?

Il 2025 sarà dedicato a migliorare ulteriormente e sviluppare EUVD e tutti i servizi correlati. A tal fine, ENISA raccoglierà feedback.

Informazioni contestuali

Divulgazione coordinata di vulnerabilità (CVD)

Il CVD può essere descritto come un modello di divulgazione delle vulnerabilità che tenta di limitare la minaccia di sfruttamento delle vulnerabilità, assicurando che le vulnerabilità siano divulgate al pubblico dopo che ai responsabili è stato concesso un tempo adeguato per sviluppare una correzione, una patch o fornire misure di mitigazione.

Programma di vulnerabilità ed esposizioni (CVE)

La missione del programma CVE è identificare, definire e catalogare le vulnerabilità della sicurezza informatica divulgate pubblicamente. C’è un CVE Record per ogni vulnerabilità nel catalogo. Le vulnerabilità vengono scoperte, quindi assegnate e pubblicate da organizzazioni di tutto il mondo che hanno collaborato con il programma CVE. I partner pubblicano CVE Records per comunicare descrizioni coerenti delle vulnerabilità. I professionisti della tecnologia dell’informazione e della sicurezza informatica utilizzano CVE Records per assicurarsi che stiano discutendo lo stesso problema e per coordinare i loro sforzi per dare priorità e affrontare le vulnerabilità.

Autorità di numerazione CVE (CNAs)

Le CTA sono organizzazioni responsabili dell’assegnazione regolare degli ID CVE alle vulnerabilità e della creazione e della pubblicazione di informazioni sulla vulnerabilità nel CVE Record associato. Ogni CNA ha una specifica portata di responsabilità per l’identificazione e la pubblicazione delle vulnerabilità. L’ENISA è ora autorizzata ad assegnare CVE Identifiers (CVE ID) e a pubblicare CVE Records per le vulnerabilità scoperte o segnalate ai CSIRT dell’UE, in linea con i loro ruoli di coordinatore dedicati.

Quadro comune di sicurezza (CSAF)

CSAF è uno standard per gli avvisi di sicurezza leggibili a macchina. Tale formato standardizzato per l’ingestione di informazioni di consulenza sulle vulnerabilità semplifica i processi di triage e di bonifica per i proprietari di asset. Pubblicando avvisi di sicurezza che utilizzano CSAF, i fornitori ridurranno il tempo necessario per le aziende per comprendere l’impatto organizzativo e guidare una correzione tempestiva. 

Fonte Enisa

TAG

Servizio Secure Plus MDR Bitdefender Partner Actainfo

Il Managed Detection and Response – MDR – è un servizio di sicurezza informatica che combina esperti di sicurezza umani e tecnologie avanzate per monitorare, rilevare, analizzare e rispondere proattivamente alle minacce informatiche per un’organizzazione. MDR offre un servizio di sicurezza gestito 24/7.

 

 

Actaprivacy software cloud saas qualificato da AGID per l'adempimento del GDPR

AGID_Marketplace.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ACTAINFO PNRR

AGID_Marketplace.png Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Leggi anche

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Word

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677