Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punto di riferimento per le autorità nazionali, i CSIRT dell’UE e i partner che rientrano nel suo mandato.
Il nuovo incarico amplia le funzioni già svolte dall’Agenzia come Autorità di Numerazione delle Vulnerabilità (CNA), alla quale è affidata l’assegnazione degli identificatori CVE e la pubblicazione dei relativi record per le segnalazioni gestite dai CSIRT europei, un ruolo operativo attivo da gennaio 2024.
Il direttore esecutivo dell’ENISA, Juhan Lepassaar, ha evidenziato come questo cambiamento rafforzi la capacità dell’Agenzia nel sostenere la gestione delle vulnerabilità all’interno dell’Unione, contribuendo a una risposta più coordinata e omogenea alle criticità di cybersecurity. Il nuovo status di Root rientra in un più ampio impegno dell’UE volto a migliorare la cooperazione nella gestione delle vulnerabilità, in linea anche con le recenti iniziative legislative, come il Cyber Resilience Act, che introduce nuovi obblighi per produttori e sviluppatori.
Nato nel 1999, il programma CVE fornisce un modello standardizzato per identificare e descrivere le vulnerabilità divulgate pubblicamente. Ogni vulnerabilità riceve un ID univoco (CVE), consentendo a organizzazioni, ricercatori e operatori della sicurezza di comunicare in modo coerente e contribuire alla risoluzione dei problemi individuati. I record CVE vengono pubblicati da una rete globale di organizzazioni partner, attive nel monitoraggio e nella gestione delle minacce.
Con l’ingresso tra i Root, l’ENISA assume compiti ulteriori, tra cui la supervisione delle CNA presenti nel proprio perimetro istituzionale, la verifica dell’aderenza alle linee guida del programma CVE e la definizione di procedure e standard per l’assegnazione degli identificatori. L’Agenzia continuerà inoltre a sostenere i CSIRT dell’UE attraverso il proprio servizio di registro, fungendo da intermediario per la gestione coordinata delle vulnerabilità scoperte o notificate all’interno della rete.
L’ENISA entra così a far parte del Consiglio Root del Programma CVE, che coordina le attività operative tra i Root a livello internazionale. Oltre ai partner europei già presenti, tra cui INCIBE-CERT, Thales Group e CERT@VDE, il consiglio comprende anche realtà come MITRE, CISA, Google e Red Hat negli Stati Uniti, oltre a JPCERT/CC in Giappone.
Il nuovo perimetro di responsabilità dell’ENISA interesserà tutte le organizzazioni soggette al suo mandato. Le CNA che intendono passare sotto la supervisione dell’Agenzia potranno farlo attraverso un processo volontario e collaborativo, supportato dal Programma CVE per garantire una migrazione progressiva e senza interruzioni operative.
L’acquisizione del ruolo di Root consolida la posizione dell’ENISA nella gestione coordinata delle vulnerabilità a livello europeo, facilitando la standardizzazione delle pratiche, il miglioramento della qualità dei record CVE e una divulgazione più rapida e armonizzata delle vulnerabilità. L’obiettivo è ridurre la frammentazione e rafforzare la cooperazione transfrontaliera, promuovendo maggiore trasparenza e affidabilità per CSIRT, industria e istituzioni.
Il lavoro dell’Agenzia si inserisce in un ecosistema più ampio di iniziative europee per la sicurezza digitale, tra cui:
Fondata nel 2004 e rafforzata dal Cybersecurity Act europeo, l’ENISA sostiene gli Stati membri nello sviluppo di politiche di cybersecurity, promuove schemi di certificazione e contribuisce a incrementare la resilienza delle infrastrutture digitali europee.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cybercrime
Cyber Italia
Cyber News
Cyber News