L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha sviluppato l’European Vulnerability Database (EUVD), il nuovo database europeo delle vulnerabilità previsto dalla direttiva NIS2. Gestito direttamente da ENISA, l’EUVD è ora operativo e rappresenta un passo concreto verso un’Europa digitale più sicura e resiliente.
Cos’è l’EUVD?
L’EUVD è una piattaforma pubblica che raccoglie e organizza in modo centralizzato informazioni affidabili, aggiornate e utilizzabili sulle vulnerabilità informatiche che interessano prodotti e servizi ICT. Non si tratta solo di un elenco di “falle di sicurezza”: per ciascuna vulnerabilità vengono indicate le misure di mitigazione, lo stato di sfruttamento, i prodotti coinvolti, le patch disponibili e altri dettagli tecnici utili.
L’obiettivo dell’EUVD è garantire un elevato livello di interconnessione delle informazioni disponibili al pubblico provenienti da molteplici fonti, come i CSIRT, i fornitori ICT e i database già esistenti. Per farlo, adotta un approccio globale e interconnesso, che consente di incrociare e analizzare le informazioni in modo più preciso. Grazie a questa struttura, il database facilita l’utilizzo di strumenti come il software open source Vulnerability-Lookup, rendendo più agevole l’identificazione delle vulnerabilità e il contenimento dei rischi informatici.
In questo modo, l’EUVD si afferma come una risorsa solida e aggiornata, che promuove maggiore trasparenza e conoscenza, contribuendo a ridurre l’esposizione alle minacce e a rafforzare la capacità di risposta degli attori coinvolti.
A chi è rivolto
Il database è accessibile al grande pubblico per la consultazione di informazioni relative alle vulnerabilità che interessano prodotti e servizi IT. È inoltre rivolto ai fornitori di reti e sistemi informativi e alle entità che utilizzano i loro servizi. Le informazioni documentate nell’EUVD sono inoltre destinate alle autorità nazionali competenti, come la rete di CSIRT dell’UE, nonché ad aziende private e ricercatori.
Come funziona?
I dati raccolti nell’EUVD sono consultabili attraverso dashboard interattive, che permettono una visione chiara e organizzata delle vulnerabilità. La piattaforma offre tre modalità principali di visualizzazione: una dedicata alle vulnerabilità critiche, una focalizzata su quelle già oggetto di sfruttamento attivo, e una specifica per le vulnerabilità gestite in modo coordinato a livello europeo.
Quest’ultima sezione – EU Coordinated Vulnerabilities – raccoglie i casi seguiti direttamente dai CSIRT europei, includendo anche i contributi dei membri della rete CSIRT dell’Unione.
Le informazioni presenti nel database derivano in gran parte da fonti open source, ma vengono continuamente arricchite grazie a segnalazioni provenienti dai CSIRT nazionali, linee guida tecniche per la mitigazione dei rischi, patch distribuite dai fornitori, oltre a notifiche su vulnerabilità che risultano effettivamente sfruttate. I record di dati EUVD possono includere:
- Una descrizione della vulnerabilità;
- Prodotti ICT o servizi ICT interessati e/o versioni interessate, gravità della vulnerabilità e modalità di sfruttamento;
- Informazioni sulle patch pertinenti disponibili o sulle linee guida fornite dalle autorità competenti, compresi i CSIRT, e rivolte agli utenti su come mitigare i rischi.
Il ruolo dell’ENISA nell’ecosistema delle vulnerabilità
Per rispondere alle richieste della direttiva NIS2, ENISA collabora con organizzazioni internazionali, tra cui il programma CVE del MITRE, per integrare in EUVD dati aggiornati su vulnerabilità, provenienti da fonti come fornitori ICT e il catalogo CISA. Questo processo è supportato anche dagli Stati membri, tramite politiche nazionali di divulgazione coordinata (CVD) e il coinvolgimento dei loro CSIRT.
Dal gennaio 2024, in quanto autorità CVE (CNA), ENISA può assegnare identificativi CVE e gestire la divulgazione di vulnerabilità scoperte o segnalate ai CSIRT europei, purché non già coperte da altre CNA.
Qual è la differenza tra l’EUVD e la piattaforma di segnalazione del CRA?
A partire da settembre 2026, i produttori saranno obbligati a segnalare le vulnerabilità sfruttate attivamente che riguardano software e hardware con componenti digitali. Per farlo, dovranno utilizzare la Piattaforma Unica di Segnalazione (SRP) prevista dal Cyber Resilience Act (CRA). È bene precisare che questa piattaforma è distinta dall’EUVD, che nasce invece dalla Direttiva NIS2 e ha finalità diverse.
Cosa succede ora?
Nel corso del 2025, ENISA si concentrerà sul perfezionamento dell’EUVD, raccogliendo anche i feedback degli utenti per migliorarne funzionalità e contenuti.
