ENISA assume il ruolo di Root nel programma CVE per la sicurezza informatica europea

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punto di riferimento per le autorità nazionali, i CSIRT dell’UE e i partner che rientrano nel suo mandato.

Il nuovo incarico amplia le funzioni già svolte dall’Agenzia come Autorità di Numerazione delle Vulnerabilità (CNA), alla quale è affidata l’assegnazione degli identificatori CVE e la pubblicazione dei relativi record per le segnalazioni gestite dai CSIRT europei, un ruolo operativo attivo da gennaio 2024.

Il direttore esecutivo dell’ENISA, Juhan Lepassaar, ha evidenziato come questo cambiamento rafforzi la capacità dell’Agenzia nel sostenere la gestione delle vulnerabilità all’interno dell’Unione, contribuendo a una risposta più coordinata e omogenea alle criticità di cybersecurity. Il nuovo status di Root rientra in un più ampio impegno dell’UE volto a migliorare la cooperazione nella gestione delle vulnerabilità, in linea anche con le recenti iniziative legislative, come il Cyber Resilience Act, che introduce nuovi obblighi per produttori e sviluppatori.

Il contesto del programma CVE

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nato nel 1999, il programma CVE fornisce un modello standardizzato per identificare e descrivere le vulnerabilità divulgate pubblicamente. Ogni vulnerabilità riceve un ID univoco (CVE), consentendo a organizzazioni, ricercatori e operatori della sicurezza di comunicare in modo coerente e contribuire alla risoluzione dei problemi individuati. I record CVE vengono pubblicati da una rete globale di organizzazioni partner, attive nel monitoraggio e nella gestione delle minacce.

Le nuove responsabilità dell’ENISA

Con l’ingresso tra i Root, l’ENISA assume compiti ulteriori, tra cui la supervisione delle CNA presenti nel proprio perimetro istituzionale, la verifica dell’aderenza alle linee guida del programma CVE e la definizione di procedure e standard per l’assegnazione degli identificatori. L’Agenzia continuerà inoltre a sostenere i CSIRT dell’UE attraverso il proprio servizio di registro, fungendo da intermediario per la gestione coordinata delle vulnerabilità scoperte o notificate all’interno della rete.

L’ENISA entra così a far parte del Consiglio Root del Programma CVE, che coordina le attività operative tra i Root a livello internazionale. Oltre ai partner europei già presenti, tra cui INCIBE-CERT, Thales Group e CERT@VDE, il consiglio comprende anche realtà come MITRE, CISA, Google e Red Hat negli Stati Uniti, oltre a JPCERT/CC in Giappone.

La fase di transizione

Il nuovo perimetro di responsabilità dell’ENISA interesserà tutte le organizzazioni soggette al suo mandato. Le CNA che intendono passare sotto la supervisione dell’Agenzia potranno farlo attraverso un processo volontario e collaborativo, supportato dal Programma CVE per garantire una migrazione progressiva e senza interruzioni operative.

Una strategia europea per la gestione delle vulnerabilità

L’acquisizione del ruolo di Root consolida la posizione dell’ENISA nella gestione coordinata delle vulnerabilità a livello europeo, facilitando la standardizzazione delle pratiche, il miglioramento della qualità dei record CVE e una divulgazione più rapida e armonizzata delle vulnerabilità. L’obiettivo è ridurre la frammentazione e rafforzare la cooperazione transfrontaliera, promuovendo maggiore trasparenza e affidabilità per CSIRT, industria e istituzioni.

Il lavoro dell’Agenzia si inserisce in un ecosistema più ampio di iniziative europee per la sicurezza digitale, tra cui:

• EUVD – Banca dati europea delle vulnerabilità, sviluppata in attuazione della direttiva NIS2 e attualmente operativa sotto la gestione dell’ENISA.
• Single Reporting Platform (SRP) prevista dal Cyber Resilience Act, che entro settembre 2026 diventerà il sistema unico di segnalazione per i produttori in caso di vulnerabilità sfruttate attivamente.
• Supporto alla divulgazione coordinata delle vulnerabilità (CVD) attraverso la rete dei CSIRT dell’UE, nei casi in cui un problema di sicurezza possa interessare più Stati membri.

Fondata nel 2004 e rafforzata dal Cybersecurity Act europeo, l’ENISA sostiene gli Stati membri nello sviluppo di politiche di cybersecurity, promuove schemi di certificazione e contribuisce a incrementare la resilienza delle infrastrutture digitali europee.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli