Pubblicato il nuovo rapporto dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) che esplora come sviluppare programmi e iniziative nazionali armonizzati in materia di vulnerabilità nell’UE.

Sulla base delle esperienze e delle prospettive raccolte dagli operatori del settore e dai governi nazionali, nonché dalla documentazione sviluppata da più attori coinvolti in iniziative e programmi nazionali di vulnerabilità, l’ecosistema della divulgazione coordinata della vulnerabilità (CVD) dell’UE rimane frammentato. Sebbene in alcuni Stati membri dell’UE siano in corso approcci e iniziative interessanti, è possibile compiere ulteriori passi verso una visione e un’azione integrate dell’UE.

Con la nuova direttiva sulle misure per un livello comune elevato di cybersecurity nell’Unione (NIS2) adottata il 16 gennaio 2023, gli Stati membri dovranno disporre di una politica coordinata di divulgazione delle vulnerabilità adottata e pubblicata entro il 17 ottobre 2024. Inoltre, altre disposizioni legislative in corso gli sviluppi riguarderanno anche la divulgazione delle vulnerabilità, con requisiti di gestione delle vulnerabilità già previsti nel proposto Cyber ​​Resilience Act (CRA).

La nuova relazione “Developing National Vulnerabilities Programmes” esamina le aspettative sia dell’industria che degli Stati membri in relazione all’obiettivo del NIS2. Analizza inoltre le relative sfide legali, collaborative e tecniche derivanti da tali iniziative.

Oltre agli approfondimenti sulle aspettative del settore, i risultati confluiscono nelle linee guida che l’ENISA e il gruppo di cooperazione NIS intendono preparare per aiutare gli Stati membri dell’UE a stabilire le loro politiche nazionali di divulgazione coordinata della vulnerabilità (CVD). Queste linee guida sarebbero incentrate sulla gestione delle vulnerabilità, sui processi dedicati e sulle relative responsabilità.

Con questa ricerca, l’ENISA cerca di scoprire come si possa raggiungere un approccio armonizzato in tutta l’UE. Le diverse opzioni previste per farlo saranno discusse all’interno della task force che guida il progetto e che comprende l’ENISA insieme al gruppo di cooperazione NIS.

Esempi di ciò che l’industria si aspetta:

  • una politica CVD nazionale o europea può incoraggiare le organizzazioni a stabilire come priorità la gestione delle vulnerabilità e le pratiche di sicurezza;
  • i responsabili politici dovrebbero prendere in considerazione le iniziative e gli standard esistenti in materia di CVD;
  • la cooperazione globale tra diverse legislazioni e la cooperazione tra gli operatori del settore e il settore pubblico devono essere rafforzate per evitare silos.

 Sfide per i ricercatori sulla sicurezza

Il rapporto evidenzia anche gli incentivi e gli ostacoli rivolti ai ricercatori di sicurezza per segnalare legalmente le vulnerabilità. Gli interessi reputazionali sono un fattore chiave per i ricercatori la cui prova pubblica di scoperta e divulgazione della vulnerabilità aumenta la loro credibilità professionale e quindi garantisce la legittimità e l’affidabilità del loro lavoro. D’altro canto, un quadro CVD vago o assente può portare a incertezza giuridica e ciò ostacola o addirittura impedisce la segnalazione delle vulnerabilità.

 Sfondo

Il rapporto si basa su precedenti lavori svolti dall’ENISA nel campo delle vulnerabilità. L’ENISA ha pubblicato un rapporto sulle buone pratiche in materia di divulgazione delle vulnerabilità nell’UE nell’aprile 2022. Inoltre, i limiti e le opportunità dell’ecosistema delle vulnerabilità sono stati analizzati nel rapporto ENISA 2019 sullo stato delle vulnerabilità.

 Ulteriori informazioni

Developing National Vulnerability Programmes and Initiatives – ENISA report 2023

 

https://www.enisa.europa.eu/news/coordinated-vulnerability-disclosure-towards-a-common-eu-approach

Twitter
Visit Us
LinkedIn
Share
YOUTUBE