Quattro organizzazioni sono state integrate nel programma Common Vulnerabilities and Exposures (CVE™) come autorità di numerazione CVE (CNA) sotto la supervisione della ENISA Root. Tutte le nuove entità sono state formate e inserite nel programma direttamente dall’Agenzia.
ENISA svolge il ruolo di CVE Root per le entità europee, coordinando la gestione delle vulnerabilità segnalate anche attraverso i CSIRT dell’UE e supportando la transizione delle CNA già esistenti. Ad oggi, sette CNA sono passate dalla governance MITRE a ENISA, a cui si aggiungono le nuove entrate.
Attualmente, in Europa oltre 90 CNA operano nell’ambito della possibile transizione verso ENISA Root, su un totale globale di 510 CNA distribuiti in 42 paesi, oltre a un’organizzazione senza affiliazione nazionale. L’Europa rappresenta così una quota significativa dell’ecosistema globale del programma CVE, circa un quinto del totale mondiale.
Perché è importante
Il rafforzamento del ruolo di ENISA migliora il coordinamento e la coerenza nell’identificazione delle vulnerabilità in Europa, sostenendo una risposta più rapida e uniforme alle minacce informatiche. Il tutto in collaborazione con CISA e MITRE, per garantire la solidità del programma CVE a livello globale.
Con l’aumento delle vulnerabilità e l’impatto delle nuove tecnologie, ENISA sta inoltre potenziando le proprie capacità operative e di supporto agli Stati membri.
Il ruolo di ENISA come CVE Root
Come punto di riferimento per il programma CVE in Europa, ENISA svolge un ruolo centrale nel coordinamento delle autorità nazionali e dei partner UE. Le sue attività includono il reclutamento, la formazione, il supporto e la gestione delle CNA, oltre alla supervisione dell’assegnazione degli identificativi CVE e della pubblicazione dei relativi record.
Questo ruolo garantisce il rispetto delle linee guida del programma CVE e rafforza la cooperazione tra gli attori della sicurezza informatica europea.
Il programma CVE in sintesi
Il programma CVE™ ha l’obiettivo di identificare, definire e catalogare in modo uniforme le vulnerabilità di sicurezza informatica rese pubbliche. Ogni vulnerabilità riceve un identificativo univoco (CVE ID), assegnato e pubblicato da organizzazioni accreditate a livello globale.
I record CVE permettono ai professionisti IT e cybersecurity di riferirsi in modo coerente alle stesse vulnerabilità, facilitando la condivisione delle informazioni e il coordinamento delle attività di mitigazione e risposta.
https://www.enisa.europa.eu/news/new-cve-numbering-authorities-under-enisa-root
