L’Unione Europea ha ufficialmente lanciato European Vulnerability Database (EUVD), la sua banca dati pubblica delle vulnerabilità informatiche. Annunciata dall’Agenzia dell’Unione Europea per la cybersicurezza (ENISA), la piattaforma è ora pienamente operativa e si propone come strumento essenziale per il monitoraggio, la segnalazione e la gestione delle vulnerabilità critiche, soprattutto quelle attivamente sfruttate.

“L’UE dispone finalmente di uno strumento fondamentale per migliorare sensibilmente la gestione delle vulnerabilità e dei rischi associati”, ha dichiarato il direttore esecutivo di ENISA, Juhan Lepassaar. “La banca dati garantisce trasparenza a tutti gli utenti di prodotti e servizi ICT potenzialmente coinvolti e rappresenterà una fonte efficiente di informazioni sulle misure di mitigazione.”

Il progetto è nato sotto la spinta della Direttiva NIS 2, il quadro normativo europeo per la sicurezza delle reti e dei sistemi informativi, ed è stato annunciato per la prima volta nel giugno 2024. Una versione beta ad accesso limitato era già stata messa online in via sperimentale il mese scorso, mentre negli Stati Uniti si moltiplicavano le incertezze attorno al futuro della CVE (Common Vulnerabilities and Exposures), il sistema nazionale americano per il tracciamento delle vulnerabilità, attualmente sotto contratto con MITRE e in attesa di rifinanziamento.

Il confronto con il modello statunitense non è casuale. Oltre a registrare ogni vulnerabilità con un identificatore proprio e uno CVE, la EUVD segnala lo stato di gravità del problema e fornisce collegamenti diretti ad avvisi di sicurezza e patch disponibili. A differenza della National Vulnerability Database americana, attualmente alle prese con un pesante arretrato e una struttura di consultazione poco intuitiva, la piattaforma europea viene aggiornata quasi in tempo reale e mette in evidenza in homepage le vulnerabilità più critiche o attivamente sfruttate.

database vulnerabilità

L’EUVD offre tre modalità di consultazione: uno dedicato alle vulnerabilità critiche, uno per quelle attivamente sfruttate e uno riservato alle vulnerabilità coordinate dai membri della rete CSIRT europea. Le fonti di informazione comprendono database open source, avvisi e bollettini dei Computer Security Incident Response Team nazionali, linee guida ufficiali per la mitigazione e il patching fornite dai vendor.

Il contesto internazionale in cui nasce la banca dati europea è segnato da una crescente instabilità negli Stati Uniti. Dopo mesi di tagli alla spesa pubblica destinata alla cybersicurezza e di dimissioni di figure chiave del programma “secure by design”, l’agenzia federale CISA ha recentemente annunciato che non pubblicherà più avvisi di sicurezza sul proprio sito web ma solo tramite email, feed RSS e post su X. Una scelta che ha sollevato dubbi e critiche da parte della comunità professionale, sempre più preoccupata per la perdita di trasparenza e la frammentazione del sistema di tracciamento globale delle vulnerabilità.

In questo scenario, l’iniziativa europea si presenta come un tentativo concreto di rafforzare l’autonomia strategica dell’UE nel campo della cybersicurezza. ENISA, che è anche CVE Numbering Authority (CNA), ha la possibilità di assegnare direttamente identificativi CVE e coordinare le divulgazioni in collaborazione con il programma statunitense. Tuttavia, anche l’agenzia europea ha ammesso di non avere ancora piena chiarezza sul futuro della CVE americana. “ENISA è in contatto con MITRE per comprendere l’impatto e le prossime fasi dopo l’annuncio riguardante i finanziamenti al programma CVE”, si legge nella nota ufficiale.

(Immagine in apertura: Shutterstock)