Sicurezza digitale: la Commissione UE avvia la Banca dati delle vulnerabilità

Garantire un sempre più elevato livello di sicurezza in ambito digitale a livello internazionale: è questo l’obiettivo della Banca dati europea delle vulnerabilità (EUVD) avviata dalla Commissione europea. Il nuovo strumento a disposizione dell’Agenzia UE per la cybersicurezza (ENISA), permetterà di rispettare le prescrizioni in materia di gestione della catena di approvvigionamento e delle vulnerabilità previste dalla direttiva NIS2. Un percorso fondamentale in settori critici come quelli dell’energia, dei trasporti e della salute.

La Banca dati europea sosterrà inoltre l’attuazione del regolamento sulla cyberresilienza, garantendo che i prodotti con elementi digitali, quali ad esempio software e dispositivi intelligenti, siano protetti dalle minacce informatiche, sempre più in aumento.

Banca dati europea delle vulnerabilità: il nuovo database

Il nuovo database fornisce informazioni aggregate, affidabili e fruibili, come misure di mitigazione e stato di sfruttamento delle vulnerabilità della sicurezza informatica. Sotto la lente di ingrandimento vi sono i prodotti e i servizi delle tecnologie dell’informazione e della comunicazione. Offre inoltre strumenti fondamentali per le parti interessate dei settori pubblico e privato, comprese le autorità nazionali e i ricercatori, per navigare in sicurezza nello spazio digitale.

Come sottolinea Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia: “La banca dati europea delle vulnerabilità è un passo importante verso il rafforzamento della sicurezza e della resilienza dell’Europa. Mettendo insieme le informazioni sulle vulnerabilità pertinenti per il mercato dell’UE, innalziamo gli standard di cybersicurezza”.

Le informazioni per la sicurezza

Il database è accessibile al grande pubblico per la consultazione di informazioni relative alle vulnerabilità che interessano prodotti e servizi IT. È inoltre rivolto ai fornitori di reti e sistemi informativi e alle entità che utilizzano i loro servizi.

Le informazioni sono inoltre destinate alle autorità nazionali competenti, come la rete di CSIRT (Computer Security Incident Response Team) dell’Unione europea, nonché ad aziende private e ricercatori. L’insieme delle informazioni EUVD possono includere:

• la descrizione della vulnerabilità;
• prodotti ICT o servizi ICT interessati e/o versioni interessate, gravità della vulnerabilità e modalità di sfruttamento;
• informazioni sulle patch pertinenti disponibili o sulle linee guida fornite dalle autorità competenti, compresi i CSIRT, e rivolte agli utenti su come mitigare i rischi.

La notifica delle vulnerabilità

Il 2025 servirà all’ENISA per migliorare, monitorare e sviluppare ulteriormente l’EUVD e tutti i servizi correlati. Un passaggio fondamentale, anche perché la notifica delle vulnerabilità attivamente sfruttate diventerà obbligatoria per i produttori entro settembre 2026. Un processo di notifica si applicherà alle vulnerabilità che interessano prodotti hardware e software con elementi digitali.

La Piattaforma Unica di Segnalazione (SRP) prevista dal Cyber Resilience Act (CRA) sarà lo strumento da utilizzare a tale scopo. È importante sottolineare che la SRP è quindi diversa dall’EUVD stabilita dalla Direttiva NIS2. Juhan Lepassaar, Direttore Esecutivo di ENISA, è convinto che il database possa garantire “la trasparenza a tutti gli utenti dei prodotti e servizi ICT interessati e costituirà una fonte efficiente di informazioni per individuare misure di mitigazione”.