NIS2: Banca dati europea di vulnerabilità – EUVD

15/05/2025
Enisa Cybersecurity

Come previsto dalla direttiva NIS2 è operativa la Banca dati europea di vulnerabilità – EUVD – gestita da ENISA – Agenzia dell’Unione europea per la cybersicurezza.

La banca dati fornisce informazioni aggregate, affidabili e attuabili come misure di mitigazione e lo stato di sfruttamento delle vulnerabilità della sicurezza informatica che interessano i prodotti e i servizi di Information and Communication Technology (ICT).

Perché un database europeo di vulnerabilità?

L’obiettivo di EUVD è garantire un elevato livello di interconnessione delle informazioni pubblicamente disponibili provenienti da più fonti come CSIRT, fornitori e database esistenti. Per raggiungere questo obiettivo, la piattaforma si basa su un approccio olistico. Come database interconnesso, EUVD consente una migliore analisi e facilita la correlazione delle vulnerabilità facilitando il software open source Vulnerability-Lookup, consentendo in tal modo una migliore gestione del rischio di sicurezza informatica.

EUVD offre quindi una fonte di informazioni affidabile, più trasparente e più ampia e migliora ulteriormente la consapevolezza della situazione, limitando l’esposizione alle minacce.

Per chi è EUVD?

La banca dati è accessibile al pubblico in generale per consultare le informazioni relative alle vulnerabilità che hanno un impatto su prodotti e servizi informatici. È anche rivolto ai fornitori di sistemi di rete e di informazioni ed entità che utilizzano i loro servizi. Le informazioni documentate in EUVD sono destinate anche alle autorità nazionali competenti, come la rete CSIRT dell’UE, nonché alle società private e ai ricercatori.

Come funziona?

Le informazioni aggregate del database vengono visualizzate tramite dashboard. EUVD offre tre punti di vista della dashboard: per le vulnerabilità critiche, per quelle sfruttate e per quelle coordinate dell’UE. Le vulnerabilità coordinate dell’UE elencano le vulnerabilità coordinate dai CSIRT europei e comprendono i membri della rete CSIRT dell’UE.

Le informazioni sulle vulnerabilità raccolte e referenziate provengono da database open source. Ulteriori informazioni vengono aggiunte tramite avvisi e avvisi emessi da CSIRT nazionali, linee guida di mitigazione e patch pubblicate dai fornitori, insieme ai marcature di vulnerabilità sfruttate. I dati EUVD possono includere:

  • Una descrizione della vulnerabilità;
  • i prodotti TIC o i servizi TIC interessati e/o le versioni interessate, la gravità della vulnerabilità e il modo in cui potrebbero essere sfruttati;
  • Informazioni sulle patch o sugli orientamenti pertinenti esistenti forniti dalle autorità competenti, compresi i CSIRT, e indirizzate agli utenti su come mitigare i rischi.

Il ruolo dei ENISA nell’ecosistema delle vulnerabilità

Per soddisfare i requisiti della direttiva NIS2, l’ENISA ha avviato una cooperazione con diverse organizzazioni dell’UE e internazionali, incluso il programma CVE del MITRE. L’ENISA è in contatto con MITRE per comprendere l’impatto e i prossimi passi dopo l’annuncio sul finanziamento del programma Common Vulnerabilities and Exposures. I dati CVE, i dati forniti dai fornitori di TIC che divulgano le informazioni sulle vulnerabilità tramite avvisi e informazioni pertinenti come il Catalogo di vulnerabilità sfruttate note della CISA vengono automaticamente trasferiti nell’EUVD. Ciò sarà realizzato anche con il sostegno degli Stati membri che hanno istituito politiche nazionali di divulgazione delle vulnerabilità coordinate (CVD) e che hanno designato uno dei loro CSIRT come coordinatore, rendendo in ultima analisi l’EUVD una fonte attendibile per una maggiore consapevolezza situazionale nell’UE.

In qualità di Autorità di numerazione CVE (CNA), ENISA può registrare le vulnerabilità e supportare la divulgazione delle vulnerabilità dal gennaio 2024, in relazione a:

  • le vulnerabilità dei prodotti IT scoperti dagli stessi CSIRT dell’UE; e
  • le vulnerabilità segnalate ai CSIRT dell’UE per la divulgazione coordinata purché non rientrino nell’ambito di un’altra Autorità di numerazione CVE.

Qual è la differenza tra la EUVD e la piattaforma unica di relazione di ACR?

La notifica di vulnerabilità attivamente sfruttate diventerà obbligatoria per i produttori entro il 2026 settembre. Questo processo di notifica si applicherà alle vulnerabilità che incidono su prodotti hardware e software con elementi digitali. La Single Reporting Platform (SRP) prevista dalla Cyber Resilience Act (CRA) sarà lo strumento da utilizzare per tale scopo. È importante sottolineare che il SRP è quindi diverso dall’EUVD istituito dalla direttiva NIS2.

Qual è il prossimo?

Il 2025 sarà dedicato a migliorare ulteriormente e sviluppare EUVD e tutti i servizi correlati. A tal fine, ENISA raccoglierà feedback.

Informazioni contestuali

Divulgazione coordinata di vulnerabilità (CVD)

Il CVD può essere descritto come un modello di divulgazione delle vulnerabilità che tenta di limitare la minaccia di sfruttamento delle vulnerabilità, assicurando che le vulnerabilità siano divulgate al pubblico dopo che ai responsabili è stato concesso un tempo adeguato per sviluppare una correzione, una patch o fornire misure di mitigazione.

Programma di vulnerabilità ed esposizioni (CVE)

La missione del programma CVE è identificare, definire e catalogare le vulnerabilità della sicurezza informatica divulgate pubblicamente. C’è un CVE Record per ogni vulnerabilità nel catalogo. Le vulnerabilità vengono scoperte, quindi assegnate e pubblicate da organizzazioni di tutto il mondo che hanno collaborato con il programma CVE. I partner pubblicano CVE Records per comunicare descrizioni coerenti delle vulnerabilità. I professionisti della tecnologia dell’informazione e della sicurezza informatica utilizzano CVE Records per assicurarsi che stiano discutendo lo stesso problema e per coordinare i loro sforzi per dare priorità e affrontare le vulnerabilità.

Autorità di numerazione CVE (CNAs)

Le CTA sono organizzazioni responsabili dell’assegnazione regolare degli ID CVE alle vulnerabilità e della creazione e della pubblicazione di informazioni sulla vulnerabilità nel CVE Record associato. Ogni CNA ha una specifica portata di responsabilità per l’identificazione e la pubblicazione delle vulnerabilità. L’ENISA è ora autorizzata ad assegnare CVE Identifiers (CVE ID) e a pubblicare CVE Records per le vulnerabilità scoperte o segnalate ai CSIRT dell’UE, in linea con i loro ruoli di coordinatore dedicati.

Quadro comune di sicurezza (CSAF)

CSAF è uno standard per gli avvisi di sicurezza leggibili a macchina. Tale formato standardizzato per l’ingestione di informazioni di consulenza sulle vulnerabilità semplifica i processi di triage e di bonifica per i proprietari di asset. Pubblicando avvisi di sicurezza che utilizzano CSAF, i fornitori ridurranno il tempo necessario per le aziende per comprendere l’impatto organizzativo e guidare una correzione tempestiva. 

Fonte Enisa

TAG

Servizio Secure Plus MDR Bitdefender Partner Actainfo

Il Managed Detection and Response – MDR – è un servizio di sicurezza informatica che combina esperti di sicurezza umani e tecnologie avanzate per monitorare, rilevare, analizzare e rispondere proattivamente alle minacce informatiche per un’organizzazione. MDR offre un servizio di sicurezza gestito 24/7.

 

 

Actaprivacy software cloud saas qualificato da ACN per l'adempimento del GDPR

Logo-ACN.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ACTAINFO PNRR

Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Leggi anche

ActyAI al servizio dei Comuni per pubblicare notizie

Anche il Comune di Roseto degli Abruzzi utilizza ActyAI Overview, un chatbot di intelligenza artificiale sviluppato da Actainfo, per la pubblicazione di articoli, comunicati e notizie sul proprio sito web. Questo strumento, integrato nel software in cloud ACTAGOV qualificato da ACN per la gestione dei siti web, è in grado di elaborare e sintetizzare informazioni […]

MDR: Servizio cybersecurity in tempo reale

Il modello Managed Detection and Response (MDR) sta emergendo come la soluzione più efficace per superare i limiti strutturali dei tradizionali Security Operations Center (SOC) e dei sistemi basati su SIEM. In un contesto in cui le minacce informatiche si evolvono a velocità impressionante, il vero problema non è più se un’azienda verrà attaccata, ma […]

Il Dlgs 47/2026: un cambio di paradigma per la governance digitale delle imprese

L’entrata in vigore del Decreto Legislativo 27 marzo 2026, n. 47, attuativo della Legge Capitali, rappresenta un punto di svolta silenzioso ma destinato a ridefinire profondamente la compliance digitale nelle organizzazioni. Sebbene non sia immediatamente visibile, questo provvedimento avrà un impatto duraturo sulla gestione della sicurezza informatica, della protezione dei dati e dell’intelligenza artificiale, settori […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677