Pubblicato il nuovo report dell’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) che esplora come sviluppare programmi e iniziative nazionali armonizzati in materia di vulnerabilità nell’UE.
Pubblicato il nuovo rapporto dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) che esplora come sviluppare programmi e iniziative nazionali armonizzati in materia di vulnerabilità nell’UE.
Sulla base delle esperienze e delle prospettive raccolte dagli operatori del settore e dai governi nazionali, nonché dalla documentazione sviluppata da più attori coinvolti in iniziative e programmi nazionali di vulnerabilità, l’ecosistema della divulgazione coordinata della vulnerabilità (CVD) dell’UE rimane frammentato. Sebbene in alcuni Stati membri dell’UE siano in corso approcci e iniziative interessanti, è possibile compiere ulteriori passi verso una visione e un’azione integrate dell’UE.
Con la nuova direttiva sulle misure per un livello comune elevato di cybersecurity nell’Unione (NIS2) adottata il 16 gennaio 2023, gli Stati membri dovranno disporre di una politica coordinata di divulgazione delle vulnerabilità adottata e pubblicata entro il 17 ottobre 2024. Inoltre, altre disposizioni legislative in corso gli sviluppi riguarderanno anche la divulgazione delle vulnerabilità, con requisiti di gestione delle vulnerabilità già previsti nel proposto Cyber Resilience Act (CRA).
La nuova relazione “Developing National Vulnerabilities Programmes” esamina le aspettative sia dell’industria che degli Stati membri in relazione all’obiettivo del NIS2. Analizza inoltre le relative sfide legali, collaborative e tecniche derivanti da tali iniziative.
Oltre agli approfondimenti sulle aspettative del settore, i risultati confluiscono nelle linee guida che l’ENISA e il gruppo di cooperazione NIS intendono preparare per aiutare gli Stati membri dell’UE a stabilire le loro politiche nazionali di divulgazione coordinata della vulnerabilità (CVD). Queste linee guida sarebbero incentrate sulla gestione delle vulnerabilità, sui processi dedicati e sulle relative responsabilità.
Con questa ricerca, l’ENISA cerca di trovare modi per raggiungere un approccio armonizzato in tutta l’UE. Le diverse opzioni previste a tal fine saranno discusse all’interno del gruppo di lavoro che guida il progetto e che consiste nell’ENISA insieme al Gruppo di cooperazione NIS.
Esempi di ciò che l’industria si aspetta:
una politica nazionale o europea di CVD può incoraggiare le organizzazioni a porre la gestione delle vulnerabilità e le pratiche di sicurezza come priorità; i responsabili delle politiche dovrebbero considerare le iniziative e gli standard esistenti in materia di CVD; la cooperazione globale tra diverse legislazioni e la cooperazione tra i player dell’industria e il settore pubblico devono essere rafforzate per evitare i silos.
Sfide per i ricercatori di sicurezza
Il rapporto evidenzia anche gli incentivi e gli ostacoli affrontati dai ricercatori di sicurezza per segnalare legalmente le vulnerabilità. Gli interessi reputazionali sono un driver chiave per i ricercatori la cui prova pubblica della scoperta e divulgazione di vulnerabilità aggiunge alla loro credibilità professionale e quindi garantisce la legittimità e l’affidabilità del loro lavoro. D’altra parte, un quadro di CVD vago o inesistente può portare ad incertezza legale, ostacolando o addirittura impedendo la segnalazione delle vulnerabilità.