L’Ue lancia il suo database per blindare la cybersicurezza

Questa settimana la Commissione europea, attraverso l’Agenzia dell’Unione europea per la sicurezza informatica (Enisa), ha ufficialmente inaugurato lo European Vulnerability Database, un archivio interoperabile pensato per raccogliere, aggregare e rendere accessibili informazioni sulle vulnerabilità di prodotti e servizi ICT rilevanti per il mercato europeo. È “un passo importante verso il rafforzamento della sicurezza e della resilienza dell’Europa”, ha dichiarato Henna Virkkunen, vicepresidente esecutiva per la Ssovranità tecnologica, la sicurezza e la democrazia, sottolineando come il database consenta a istituzioni pubbliche e operatori privati di proteggere gli spazi digitali condivisi con maggiore efficienza e autonomia.

Il database, obbligatorio per gli Stati membri in base alle disposizioni della direttiva NIS2, incorpora dati provenienti da fonti ufficiali quali i CSIRT nazionali, i ricercatori del settore e banche dati internazionali a partire dal programma CVE (Common Vulnerabilities and Exposures) di Mitre. A tal fine, Enisa ha adottato un approccio olistico: la piattaforma è strutturata come un sistema interconnesso in grado di facilitare analisi avanzate e correlazioni tra segnalazioni, garantendo così una fonte di informazioni più trasparente e affidabile rispetto ai repertori esistenti.

Secondo Juhan Lepassaar, direttore esecutivo di Enisa, il database “raggiunge un traguardo cruciale nell’implementazione dei requisiti del NIS2, dotando l’Unione europea di uno strumento essenziale per migliorare la gestione delle vulnerabilità e i rischi ad esse associati”. La banca dati fornirà inoltre supporto concreto all’applicazione del Cyber Resilience Act, assicurando che software e dispositivi intelligenti sul mercato europeo siano adeguatamente protetti. Un esempio concreto, citato da Computer Weekly: la vulnerabilità CVE-2025-32709, un difetto di escalation dei privilegi nel driver Windows Ancillary Function Driver for WinSock, è apparsa con la codifica EUVD-2025-14439 poche ore dopo il suo disclosure nel tradizionale Patch Tuesday americano.

Il lancio del database segue di settimane la crisi del programma CVE di Mitre, messo in forse dal temporaneo stop dei fondi statunitensi. Pur non avendo l’obiettivo di sostituire l’iniziativa americana, Enisa ha confermato il dialogo con Mitre per comprendere l’impatto di quella vicenda e garantire continuità nei workflow di vulnerabilità. “In un momento in cui l’industria mette in discussione la dipendenza da un solo ente, avere un’opzione europea significa ridurre i rischi di interruzione”, osserva Sylvain Cortes, vicepresidente strategia di Hackuity, a Computer Weekly. Con lo European Vulnerability Database si apre inoltre la possibilità di superare i ritardi storici del National Vulnerability Database statunitense e di offrire un’alternativa solida.

Enisa ha precisato che lo European Vulnerability Database non conterrà report completi sulle vulnerabilità, bensì sarà un sistema di notifica strutturata, mitigando così il rischio di uso improprio delle informazioni sensibili. Come chiarito lo scorso anno da Hans de Vries, responsabile di Enisa, l’agenzia non intende creare “un enorme database vulnerabile agli attacchi” ma favorire uno scambio più sicuro e controllato dei dati.