L’ENISA, Agenzia dell’Unione europea per la sicurezza informatica, ha annunciato il proprio ingresso nel Programma Common Vulnerabilities and Exposures (CVE) con il ruolo di CVE Root. Un traguardo strategico che rafforza in modo significativo la capacità dell’UE di coordinare, gestire e divulgare le vulnerabilità informatiche su scala transfrontaliera.
Con questa nomina, ENISA diventa punto di contatto centrale per le autorità nazionali dell’UE, per la rete europea dei CSIRT e per i partner cooperativi che rientrano nel suo mandato. L’Agenzia potrà non solo assegnare e pubblicare identificatori ID CVE, ma anche supportare e supervisionare altre CNA (CVE Numbering Authorities), garantendo il rispetto delle linee guida e dei processi del Programma CVE.
Il nuovo ruolo si inserisce negli investimenti europei per una gestione più efficace delle vulnerabilità e integra le attività di divulgazione coordinata, la gestione dell’EU Vulnerability Database e i compiti previsti dal Cyber Resilience Act, nel quadro rafforzato dalla direttiva NIS2.
Scopo del programma CVE
Il Programma Common Vulnerabilities and Exposures (o Programma CVE) è stato creato nel 1999 e da allora fornisce uno standard globale per identificare e catalogare le vulnerabilità informatiche divulgate pubblicamente. Attraverso l’assegnazione di un identificatore univoco (ID CVE) e la pubblicazione di record dedicati, il programma consente a organizzazioni e professionisti della cybersecurity di condividere informazioni in modo rapido e coerente, facilitando la correzione delle falle di sicurezza e contribuendo a migliorare la protezione di software e sistemi.
Il ruolo dell’ENISA all’interno del programma CVE
Con il ruolo di Root, ENISA amplia le proprie responsabilità nel Programma CVE occupandosi dell’identificazione, dell’inserimento e del supporto delle altre CNA nel proprio ambito, oltre a garantire l’applicazione delle linee guida e lo sviluppo di standard e procedure per la gestione degli ID CVE. Attraverso il servizio di registro, l’Agenzia rafforza inoltre il supporto ai CSIRT dell’UE, operando come CNA per le vulnerabilità nei prodotti IT e come punto di riferimento centrale per la divulgazione coordinata delle vulnerabilità e per i partner rientranti nel suo mandato.
ENISA nel Consiglio dei Root CVE
In questo nuovo ruolo, ENISA entra a far parte del CVE Program Council of Roots, l’organo di coordinamento operativo dei Root, affiancando attori internazionali ed europei e contribuendo a una gestione coordinata delle vulnerabilità. A livello internazionale, sono inclusi MITRE, CISA, Google, Red Hat dagli Stati Uniti e JPCERT/CC dal Giappone. All’interno dell’UE, INCIBE Cert, Thales Group e, più recentemente, CERT@VDE.
Prossimi passi
L’ambito Root di ENISA includerà le organizzazioni che rientrano nel suo mandato, consentendo alle CNA interessate di aderire tramite una transizione collaborativa e volontaria, supportata da un periodo di affiancamento per garantire continuità operativa. Con il ruolo di CVE Root, ENISA rafforza la riduzione della frammentazione, migliora qualità e tempestività dei record CVE e accelera la divulgazione responsabile delle vulnerabilità, favorendo maggiore trasparenza, fiducia e coordinamento tra CSIRT, industria e autorità pubbliche, a beneficio di un’Europa digitale più sicura, resiliente e coordinata, a beneficio di cittadini, imprese e pubbliche amministrazioni.
