ENISA EUVD 2026: ISO 27001 per NIS2 e CRA
Sono le 08:17 di un martedì del 2026. Maria, CISO di una piattaforma fintech SaaS in forte crescita, riceve due segnali nel giro di pochi minuti. Per prima cosa, il SOC pubblica nel canale degli incidenti un avviso del database europeo delle vulnerabilità di ENISA. Il componente interessato non è direttamente presente nella base di codice di Maria. Si trova all’interno di un SDK di autenticazione di terze parti, incorporato in un’app mobile gestita da un partner di sviluppo esternalizzato.
Poi un ricercatore di sicurezza invia un’e-mail al contatto pubblico per la sicurezza con l’oggetto: “Divulgazione di vulnerabilità - Il vostro prodotto SaaS”. Il ricercatore sostiene che, in condizioni specifiche, la vulnerabilità potrebbe esporre metadati non critici dei clienti.
Non esiste una violazione confermata. Nessun cliente ha segnalato danni. Il cruscotto degli scanner non è in rosso. Ma le domande arrivano subito.
Siamo esposti? Quali servizi rivolti ai clienti utilizzano l’SDK? Si tratta di un incidente significativo NIS2, di un incidente connesso all’ICT ai sensi di DORA, di una violazione dei dati personali ai sensi del GDPR o di un problema di sicurezza del prodotto ai sensi del Cyber Resilience Act? Dobbiamo notificare un fornitore, un cliente, un’autorità competente o ENISA? Soprattutto, possiamo dimostrare quando ne siamo venuti a conoscenza?
È qui che molte organizzazioni scoprono che l’intelligence sulle vulnerabilità non è un problema di flussi informativi. È un problema di modello operativo.
ENISA EUVD diventerà un punto di riferimento operativo per l’intelligence sulle vulnerabilità nell’UE, la divulgazione coordinata delle vulnerabilità e la trasparenza sulla sicurezza dei prodotti. Tuttavia, il database da solo non dirà a Maria se il servizio interessato rientra nel campo di applicazione NIS2, se DORA si applica in ragione delle attività di servizi finanziari, se è probabile un’esposizione di dati personali o se si attiva la preparazione alla segnalazione CRA. Queste decisioni devono essere prese all’interno di un sistema di gestione della sicurezza delle informazioni governato, documentato e verificabile in audit.
L’approccio di Clarysec consiste nel rendere EUVD operativo attraverso la governance ISO/IEC 27001:2022, l’attuazione dei controlli ISO/IEC 27002:2022, la titolarità delle politiche e le evidenze di conformità trasversale. L’obiettivo non è creare un altro foglio di calcolo chiamato “EUVD tracker”. L’obiettivo è costruire un modello difendibile di intelligence sulle vulnerabilità e segnalazione, in grado di reggere alle domande delle autorità di regolamentazione, agli audit dei clienti, agli audit di certificazione ISO 27001 e al riesame del consiglio di amministrazione.
Perché ENISA EUVD cambia la gestione delle vulnerabilità nel 2026
Per anni, molti team di sicurezza hanno trattato l’intelligence sulle vulnerabilità come un input per l’applicazione delle patch. Compare una CVE, uno scanner rileva l’esposizione, il team operativo distribuisce una patch e il ticket viene chiuso. Questo modello non è più sufficiente per le organizzazioni regolamentate nell’UE.
NIS2 porta la gestione del rischio di cibersicurezza nella governance. Article 20 richiede agli organi di gestione dei soggetti essenziali e importanti di approvare le misure di gestione del rischio di cibersicurezza, vigilare sulla loro attuazione e ricevere formazione in materia di cibersicurezza. Article 21 richiede misure tecniche, operative e organizzative proporzionate, incluse politiche, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e manutenzione sicure, gestione e divulgazione delle vulnerabilità, valutazione dell’efficacia, igiene informatica, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e, ove appropriato, autenticazione a più fattori o autenticazione continua.
Article 23 introduce una segnalazione per fasi degli incidenti significativi, inclusi un preallarme entro 24 ore dal momento in cui l’organizzazione ne viene a conoscenza, una notifica dell’incidente entro 72 ore e una relazione finale entro un mese. Se un avviso EUVD diventa un’interruzione del servizio sfruttata da un attaccante, l’organizzazione deve disporre di evidenze su consapevolezza, triage, valutazione dell’impatto, mitigazione e decisioni di segnalazione.
DORA crea un regime parallelo ma specifico per il settore finanziario. Richiede assetti interni di governance e controllo per il rischio ICT, responsabilità dell’organo di gestione, processi di gestione degli incidenti, gestione del rischio ICT di terze parti, test, resilienza, controlli contrattuali e segnalazione degli incidenti rilevanti connessi all’ICT ai sensi di DORA Article 19. Per i soggetti finanziari rientranti nel perimetro, DORA opera come quadro di riferimento settoriale per il rischio ICT e la segnalazione degli incidenti.
Il GDPR aggiunge un’ulteriore dimensione. Se lo sfruttamento potrebbe causare accesso non autorizzato, divulgazione, perdita, alterazione o distruzione di dati personali, il flusso di gestione della vulnerabilità deve collegarsi alla valutazione della violazione dei dati personali. Il principio di responsabilizzazione del GDPR implica che il titolare del trattamento debba dimostrare la conformità, non limitarsi ad affermare di aver agito ragionevolmente.
Il Cyber Resilience Act rende la gestione delle vulnerabilità e la divulgazione coordinata un obbligo di sicurezza del prodotto per i prodotti con elementi digitali. Inoltre, crea aspettative di segnalazione per le vulnerabilità attivamente sfruttate e gli incidenti di sicurezza gravi, ove applicabile. Anche quando la decisione finale di segnalazione legale richiede un riesame specialistico, le evidenze operative sono evidenze di sicurezza: prodotto interessato, versione interessata, sfruttabilità, mitigazione, stato della divulgazione, impatto sui clienti, coordinamento dei fornitori e cronologia.
Una volta che una vulnerabilità è pubblicamente visibile tramite EUVD, auditor e autorità di regolamentazione possono chiedere perché non sia stata valutata, perché gli asset interessati non siano stati identificati, perché i fornitori non siano stati contattati o perché la segnalazione non sia stata presa in considerazione. Le organizzazioni più solide saranno in grado di rispondere con evidenze a sei domande:
- Quali avvisi EUVD sono rilevanti per noi?
- Quali asset, prodotti, fornitori e clienti sono interessati?
- Chi è titolare della decisione?
- Quale scadenza di rimedio o mitigazione si applica?
- Quando la gestione della vulnerabilità diventa segnalazione di incidente?
- Come dimostriamo la chiusura e la supervisione della direzione?
Il fondamento ISO 27001:2022 per le evidenze EUVD
ISO/IEC 27001:2022 è l’ossatura naturale del sistema di gestione per rendere EUVD operativo, perché parte dal contesto, dalle parti interessate, dal campo di applicazione, dal rischio e dalle evidenze.
Le clausole 4.1-4.4 richiedono all’organizzazione di definire fattori interni ed esterni, parti interessate, requisiti legali, normativi e contrattuali, campo di applicazione del SGSI, interfacce e dipendenze. Per la preparazione a EUVD, il campo di applicazione del SGSI non può fermarsi ai server interni. Deve considerare prodotti SaaS, servizi cloud, sviluppo esternalizzato, fornitori di servizi gestiti, fornitori ICT, impegni verso i clienti, obblighi normativi e aspettative sulle vulnerabilità dei prodotti.
Le clausole 5.1-5.3 richiedono leadership, allineamento alle politiche, risorse, comunicazione, responsabilità e obblighi di segnalazione. È qui che l’alta direzione riconosce che l’intelligence sulle vulnerabilità non è una cortesia tecnica. È un segnale di rischio aziendale.
Le clausole 6.1.1-6.1.3 forniscono il meccanismo per la valutazione del rischio, il trattamento del rischio, la selezione dei controlli, il confronto con l’Allegato A, la Dichiarazione di Applicabilità, l’approvazione del rischio residuo e la pianificazione del trattamento. Quando una voce EUVD interessa l’ambiente, la risposta deve attivare un flusso di gestione del rischio ripetibile che colleghi gli asset interessati, la probabilità, l’impatto, i controlli esistenti, le opzioni di trattamento e l’approvazione del Proprietario del rischio.
Le clausole 8.1-8.3 e 9.1-9.3 trasformano questo modello in un ciclo operativo. Le organizzazioni devono pianificare e controllare i processi del SGSI, conservare informazioni documentate, controllare i processi forniti dall’esterno, rivalutare i rischi, attuare i piani di trattamento, monitorare e misurare le prestazioni, condurre audit interni ed eseguire riesami della direzione.
In termini pratici, Clarysec mappa EUVD su tre livelli:
| Livello | Finalità ISO 27001:2022 | Domanda operativa EUVD | Evidenza documentale |
|---|---|---|---|
| Governance | Campo di applicazione, parti interessate, responsabilità, obblighi legali | Le aspettative relative a NIS2, DORA, GDPR, clienti e CRA sono identificate? | Campo di applicazione del SGSI, registro normativo, matrice dei ruoli, approvazioni delle politiche |
| Rischi e controlli | Valutazione del rischio, trattamento, Dichiarazione di Applicabilità | La vulnerabilità è rilevante, prioritizzata e assegnata? | Registrazione del rischio di vulnerabilità, mappatura SoA, piano di trattamento del rischio |
| Assurance | Monitoraggio, audit interno, riesame della direzione | Possiamo dimostrare risposta tempestiva e miglioramento? | Log delle patch, evidenze dei fornitori, decisioni sugli incidenti, risultanze dell’audit, verbali del riesame della direzione |
Il principio chiave è semplice. Gli avvisi EUVD devono diventare registrazioni all’interno del SGSI, non messaggi informali in chat che scompaiono dopo la distribuzione della patch.
Il set di controlli ISO 27001 che rende EUVD azionabile
I controlli dell’Allegato A di ISO/IEC 27001:2022 più importanti per le operazioni EUVD sono 5.7 Intelligence sulle minacce, 8.8 Gestione delle vulnerabilità tecniche, 5.21 Gestione della sicurezza delle informazioni nella catena di fornitura ICT e 5.31 Requisiti legali, statutari, normativi e contrattuali.
Clarysec li mappa tramite Zenith Controls: The Cross-Compliance Guide Zenith Controls, che funge da bussola di conformità trasversale per ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST CSF e la pianificazione delle evidenze di audit.
La mappatura di Zenith Controls per il controllo ISO/IEC 27002:2022 5.7, Intelligence sulle minacce, lo classifica come preventivo, di rilevamento e correttivo, a supporto di riservatezza, integrità e disponibilità, e lo allinea ai concetti di cibersicurezza Identify, Detect e Respond. La sua capacità operativa è la gestione di minacce e vulnerabilità, con domini di sicurezza di difesa e resilienza.
La mappatura di Zenith Controls per il controllo ISO/IEC 27002:2022 8.8, Gestione delle vulnerabilità tecniche, lo classifica come preventivo, a supporto di riservatezza, integrità e disponibilità, e lo allinea a Identify e Protect. La sua capacità operativa è la gestione di minacce e vulnerabilità, e i suoi domini di sicurezza includono governance, ecosistema, protezione e difesa.
La mappatura di Zenith Controls per il controllo ISO/IEC 27002:2022 5.21, Gestione della sicurezza delle informazioni nella catena di fornitura ICT, lo classifica come preventivo, a supporto di riservatezza, integrità e disponibilità, e lo allinea a Identify. La sua capacità operativa è la sicurezza delle relazioni con i fornitori, con domini di governance, ecosistema e protezione.
Anche Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint sottolinea il controllo 5.31 nello Step 23, Legal, statutory, regulatory and contractual requirements:
La sicurezza non esiste nel vuoto. Opera all’interno di una rete di obblighi: alcuni definiti dalla legge, altri dal contratto e altri ancora da normative settoriali.
Questo è il ponte di governance tra EUVD e segnalazione normativa. Una registrazione di vulnerabilità può iniziare come intelligence sulle minacce, diventare un ticket di vulnerabilità tecnica, attivare la cooperazione del fornitore e poi trasformarsi in un incidente o in una decisione di notifica legale.
| Controllo ISO/IEC 27002:2022 | Ruolo EUVD | Meccanismo ISO 27001:2022 di supporto | Rilevanza per la conformità trasversale |
|---|---|---|---|
| 5.7 Intelligence sulle minacce | Acquisire intelligence da EUVD, CERT, fornitori e fonti settoriali, quindi contestualizzarla | Clausole 4, 6, 8 e 9 per campo di applicazione, rischio, operazioni e riesame | Misure di rischio NIS2, NIST CSF Identify e Detect, consapevolezza DORA su minacce e incidenti |
| 8.8 Gestione delle vulnerabilità tecniche | Convalidare l’esposizione, assegnare la gravità, correggere o mitigare, registrare la chiusura | Trattamento del rischio, controllo operativo, monitoraggio e conservazione delle evidenze | Gestione delle vulnerabilità NIS2, flusso CRA per le vulnerabilità dei prodotti, gestione delle vulnerabilità NIST CSF |
| 5.21 Gestione della sicurezza delle informazioni nella catena di fornitura ICT | Tracciare fornitori interessati, obblighi contrattuali, rimedio del fornitore ed evidenze | Processi forniti dall’esterno, trattamento del rischio dei fornitori, riesame della direzione | Sicurezza della catena di fornitura NIS2, rischio ICT di terze parti DORA, NIST CSF GV.SC |
| 5.31 Requisiti legali, statutari, normativi e contrattuali | Mappare NIS2, DORA, GDPR, CRA, obblighi verso i clienti e obblighi settoriali nelle procedure | Parti interessate, registro normativo, trattamento del rischio, audit interno e riesame della direzione | Responsabilizzazione normativa, capacità di dimostrare la conformità, assurance verso i clienti e supervisione del consiglio di amministrazione |
Per questo EUVD non deve essere trattato come un semplice flusso aggiuntivo. È un punto di integrazione dei controlli.
Il modello di policy di Clarysec: dall’avviso alla decisione responsabile
Un modello operativo EUVD maturo richiede un linguaggio di policy che dica ai team cosa fare prima che arrivi il primo avviso critico.
La Politica di gestione delle vulnerabilità e delle patch Politica di gestione delle vulnerabilità e delle patch di Clarysec fornisce ai team enterprise un mandato chiaro di monitoraggio ed escalation:
Monitorare gli avvisi sulle minacce (ad es. CVE, CISA KEV, bollettini dei fornitori) ed eseguire l’escalation delle vulnerabilità critiche.
La stessa politica richiede una base centrale di evidenze:
Un Registro della gestione delle vulnerabilità centralizzato deve essere mantenuto dal Team delle operazioni di sicurezza e riesaminato mensilmente dal CISO o dall’autorità delegata.
Per le PMI, la Politica di gestione delle vulnerabilità e delle patch - PMI Politica di gestione delle vulnerabilità e delle patch - PMI di Clarysec rende esplicito il modello delle fonti includendo:
Avvisi attendibili di intelligence sulle minacce (ad es. CISA, ENISA, allerte dei CERT nazionali)
Preserva inoltre la traccia di audit:
Deve essere mantenuto un registro delle patch e riesaminato durante gli audit e le attività di risposta agli incidenti
Queste clausole evitano un errore comune. Se arriva un avviso EUVD e nessuno sa se debba confluire in un registro delle vulnerabilità, in una coda incidenti, in un tracciatore dei fornitori o in una valutazione legale, l’organizzazione perde tempo. Il linguaggio della policy rende automatica la prima azione.
La dimensione CVD è gestita tramite la Politica di divulgazione coordinata delle vulnerabilità Politica di divulgazione coordinata delle vulnerabilità di Clarysec, che definisce il flusso di ricezione, presa in carico, valutazione della gravità e convalida:
Alla ricezione di una segnalazione, il VRT deve registrarla e inviare una conferma al segnalante entro 2 giorni lavorativi, assegnando un riferimento di tracciamento. Il VRT deve svolgere una valutazione preliminare della gravità, ad esempio utilizzando il punteggio CVSS, e convalidare il problema, anche con il supporto dei team IT e di sviluppo ove necessario, entro un tempo obiettivo di 5 giorni lavorativi. Le vulnerabilità critiche, come quelle che consentono l’esecuzione di codice da remoto o una grave violazione dei dati, devono essere trattate con priorità.
Collega inoltre le vulnerabilità di terze parti alla cooperazione dei fornitori:
Per qualsiasi vulnerabilità critica o ad alto rischio confermata, il CISO deve informare immediatamente l’alta direzione e i proprietari dei sistemi pertinenti. Quando la vulnerabilità interessa prodotti o servizi forniti da un fornitore o da altra terza parte, il VRT deve notificare senza indebito ritardo il contatto di sicurezza del fornitore e richiedere cooperazione sul rimedio.
La Politica sui requisiti di sicurezza delle applicazioni - PMI Politica sui requisiti di sicurezza delle applicazioni - PMI di Clarysec rafforza le aspettative su prodotti e fornitori richiedendo ai team di:
specificare gli obblighi per la divulgazione delle vulnerabilità, i tempi di risposta e l’applicazione delle patch.
Per i contratti con i fornitori, la Politica di sicurezza delle terze parti e dei fornitori - PMI Politica di sicurezza delle terze parti e dei fornitori - PMI di Clarysec include:
Tempistiche di notifica delle violazioni dei dati (ad es. entro 24-72 ore)
Infine, la Politica di risposta agli incidenti Politica di risposta agli incidenti di Clarysec collega dati regolamentati e segnalazione settoriale alla decisione sull’incidente tramite la clausola 6.4.1:
| Clausola della policy | Area di segnalazione o valutazione | Rilevanza pratica per EUVD |
|---|---|---|
| 6.4.1.1 | GDPR Article 33, notifica entro 72 ore all’autorità di controllo | Valutare se lo sfruttamento ha causato una violazione dei dati personali |
| 6.4.1.2 | GDPR Article 34, comunicazione agli interessati ove sussista un rischio elevato | Valutare se le persone interessate devono essere informate |
| 6.4.1.3 | NIS2 Article 23, tempistiche di segnalazione degli incidenti significativi | Valutare gli obblighi di preallarme, notifica entro 72 ore e relazione finale |
| 6.4.1.4 | DORA Article 17 gestione degli incidenti e DORA Article 19 segnalazione degli incidenti ICT rilevanti | Valutare la classificazione e la segnalazione degli incidenti nel settore finanziario |
La versione PMI mantiene lo stesso trigger operativo. La Politica di risposta agli incidenti - PMI Politica di risposta agli incidenti - PMI di Clarysec stabilisce:
Quando sono coinvolti dati dei clienti, il Direttore generale deve valutare gli obblighi di notifica legale in base all’applicabilità di GDPR, NIS2 o DORA.
Questo è il ponte tra “abbiamo visto una vulnerabilità” e “abbiamo valutato se sia soggetta a segnalazione”.
Una registrazione operativa di presa in carico EUVD
Supponiamo che EUVD pubblichi o aggiorni una voce di vulnerabilità che interessa l’SDK di autenticazione nell’app mobile di Maria. L’SDK è mantenuto da un fornitore, integrato da un partner di sviluppo esternalizzato e utilizzato dai clienti che si autenticano a un prodotto fintech SaaS. Esiste una discussione pubblica sull’exploit, ma non vi è sfruttamento confermato nei log dei tenant.
Una registrazione di presa in carico difendibile deve acquisire sia il contesto tecnico sia quello normativo.
| Campo | Esempio di voce | Perché è importante |
|---|---|---|
| Timestamp di consapevolezza | 2026-02-10 08:17 CET, avviso EUVD correlato da un analista SOC | Supporta l’analisi delle tempistiche di segnalazione e le evidenze dell’audit |
| Fonte | ENISA EUVD, avviso del fornitore, riferimento incrociato CERT nazionale, segnalazione del ricercatore | Dimostra fonte di intelligence attendibile e correlazione |
| Asset interessato | Modulo di autenticazione dell’app mobile cliente, SDK versione 4.8.2 | Collega la vulnerabilità alla titolarità del prodotto e del servizio |
| Dipendenza dal fornitore | Fornitore SDK e partner esternalizzato per lo sviluppo mobile | Attiva il contatto con il fornitore e le evidenze contrattuali |
| Classificazione dei dati | Identificativi dei clienti, token di sessione, possibili dati personali | Collega il caso al GDPR e alla valutazione dell’impatto dell’incidente |
| Gravità iniziale | Critica in attesa di convalida, CVSS e impatto aziendale riesaminati | Supporta prioritizzazione ed escalation |
| Contesto della minaccia | Discussione pubblica sull’exploit, nessuno sfruttamento confermato nei log | Distingue l’esposizione alla vulnerabilità dalla conferma dell’incidente |
| Valutazione NIS2 | Potenziale impatto sul servizio, nessuna interruzione ancora confermata | Preserva la logica decisionale per l’escalation ai sensi di Article 23 |
| Valutazione DORA | Applicabile se il servizio supporta il campo di applicazione di un soggetto finanziario o funzioni critiche | Evita segnalazioni duplicate o omesse a livello settoriale |
| Valutazione CRA | Flusso di gestione delle vulnerabilità del prodotto attivato per riesame di applicabilità | Collega gli obblighi di sicurezza del prodotto alle evidenze di vulnerabilità |
| Trattamento | Aggiornamento dell’SDK, rotazione forzata dei token, potenziamento del monitoraggio, conferma del fornitore | Crea il piano di rimedio e mitigazione |
| Rischio residuo | Accettato dal proprietario del sistema per una finestra di rollout di 48 ore | Dimostra la titolarità del rischio e i controlli compensativi |
| Evidenze di chiusura | Registro delle patch, ticket di deployment, attestazione del fornitore, risultato della scansione, aggiornamento alla direzione | Crea prova utilizzabile in audit |
Questa registrazione non è un ornamento di conformità. È il centro di controllo delle decisioni.
Un flusso operativo si presenta così:
- Il SOC riceve l’avviso EUVD e crea una registrazione di vulnerabilità.
- Il Proprietario dell’asset conferma se il componente interessato esiste in produzione.
- Il team di sicurezza esegue la valutazione della gravità utilizzando gravità tecnica, sfruttabilità, esposizione, sensibilità dei dati e criticità del servizio.
- Il responsabile della gestione fornitori contatta il fornitore dell’SDK o il partner di sviluppo esternalizzato tramite contatti di sicurezza predefiniti.
- Il responsabile della risposta agli incidenti decide se esistono evidenze di sfruttamento, impatto sul servizio o danno ai clienti.
- Funzione legale, DPO e compliance valutano se si attivano flussi relativi a GDPR, NIS2, DORA o CRA.
- Engineering distribuisce la patch o la mitigazione.
- Security convalida il rimedio tramite scansione, verifica della versione, riesame dei log o test del controllo compensativo.
- Il CISO riesamina le registrazioni critiche e alte e riporta le tendenze nel riesame della direzione.
Nella fase Controls in Action, Step 19, Technological Controls I, Zenith Blueprint spiega la gestione delle vulnerabilità tecniche in termini semplici per l’audit:
Il controllo non riguarda la perfezione, ma l’esistenza di un processo organizzato, trasparente e responsabile.
Questa frase è importante. Le autorità di regolamentazione e gli auditor non si aspettano che ogni vulnerabilità sia corretta istantaneamente. Si aspettano che l’organizzazione sappia cosa esiste, assegni le priorità, intraprenda azioni proporzionate, registri le eccezioni e dimostri il follow-through.
L’intelligence sulle minacce è una funzione decisionale, non una casella di posta
L’errore più grande nella pianificazione EUVD è assegnare il flusso a un solo analista e chiamarlo “intelligence sulle minacce”. Zenith Blueprint, nella fase Controls in Action, Step 22, Organizational controls, spiega così il controllo ISO/IEC 27002:2022 5.7:
Le migliori fonti di intelligence sulle minacce sono spesso una combinazione di monitoraggio interno, partnership esterne e coinvolgimento della community.
Avverte inoltre che l’intelligence deve diventare azione:
Il punto in cui questo controllo prende davvero vita è il processo decisionale. L’intelligence sulle minacce dovrebbe influenzare direttamente quali controlli vengono rafforzati, quali asset vengono riclassificati o isolati, quali scenari vengono testati nelle esercitazioni tabletop e con quale rapidità vengono distribuite patch o mitigazioni.
Per EUVD, i destinatari dell’intelligence devono essere definiti per ruolo.
| Ruolo | Responsabilità EUVD | Evidenze attese |
|---|---|---|
| Analista SOC | Monitorare EUVD e gli avvisi correlati, aprire registrazioni, correlare i log | Registrazione dell’avviso, ricerca IoC, note di rilevazione |
| Responsabile della gestione delle vulnerabilità | Convalidare l’esposizione, attribuire il punteggio di rischio, assegnare il rimedio | Registro delle vulnerabilità, SLA, registrazione dell’eccezione |
| Proprietario del prodotto | Confermare le versioni del prodotto interessate e l’impatto sui clienti | Registrazione delle dipendenze del prodotto, piano di rilascio |
| Responsabile della gestione fornitori | Contattare il fornitore, ottenere evidenze di rimedio, tracciare gli obblighi contrattuali | Ticket del fornitore, attestazione, clausola contrattuale aggiornata |
| Responsabile della risposta agli incidenti | Determinare sfruttamento, impatto ed escalation | Registrazione del triage degli incidenti, log decisionale |
| Funzione legale e DPO | Valutare notifiche relative a GDPR, NIS2, DORA e CRA | Valutazione legale, decisione di segnalazione |
| CISO | Informare la direzione, accettare il rischio residuo, indirizzare le risorse | Report alla direzione, accettazione del rischio |
NIST CSF 2.0 può aiutare a strutturare questo modello. La sua funzione GOVERN enfatizza aspettative degli stakeholder, obblighi legali e normativi, propensione al rischio, responsabilità della leadership, ruoli definiti, politiche, risorse e supervisione. Le sue funzioni operative aiutano a organizzare inventari degli asset, identificazione delle vulnerabilità, protezione, rilevazione, risposta, ripristino e miglioramento. Il metodo dei profili NIST CSF può essere utilizzato per definire lo stato attuale e quello obiettivo delle operazioni EUVD, quindi convertire le lacune in un piano d’azione prioritizzato.
In termini Clarysec, NIST CSF è un utile livello di organizzazione, ISO/IEC 27001:2022 è il sistema di gestione verificabile in audit e Zenith Controls è la bussola di conformità trasversale che mantiene coerenti le mappature.
Tracciamento delle vulnerabilità di fornitori e prodotti
NIS2 Article 21 rende la sicurezza della catena di fornitura parte delle misure minime di gestione del rischio di cibersicurezza. Article 21(3) richiede ai soggetti di considerare le vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi, la qualità dei prodotti e le pratiche di cibersicurezza dei fornitori, incluse le procedure di sviluppo sicuro. I considerando 85 e 86 sottolineano il rischio di terze parti derivante da trattamento dei dati, servizi gestiti, fornitori software e fornitori di servizi di sicurezza gestiti.
DORA è più prescrittivo per i soggetti finanziari. Richiede che il rischio ICT di terze parti sia gestito nell’ambito del quadro di riferimento per il rischio ICT, con registri informativi, due diligence, analisi del rischio di concentrazione, contratti scritti, diritti di audit e ispezione, assistenza sugli incidenti, visibilità sul subappalto, requisiti di sicurezza, diritti di risoluzione e strategie di uscita testate.
EUVD renderà dolorosamente evidente una scarsa visibilità sui fornitori. Se un componente del fornitore è interessato, l’organizzazione ha bisogno di più di un contatto procurement. Ha bisogno di:
- Un contatto di sicurezza nominativo del fornitore.
- Obblighi contrattuali di notifica delle vulnerabilità.
- Inventario di prodotto e versione.
- SBOM o trasparenza sui componenti, ove pertinente.
- SLA di rimedio e obblighi sulle soluzioni alternative.
- Diritti di audit o di assurance.
- Obblighi di supporto agli incidenti.
- Piani di uscita o sostituzione per le dipendenze critiche.
Per questo Clarysec mappa le operazioni EUVD al controllo ISO/IEC 27002:2022 5.21 tramite Zenith Controls. I domini governance, ecosistema e protezione si adattano al problema operativo del fornitore: non si può porre rimedio a ciò che non si può tracciare, e non si può produrre evidenza di ciò che non è stato richiesto contrattualmente.
Per la preparazione alla segnalazione CRA, la stessa registrazione di vulnerabilità del fornitore e del prodotto diventa essenziale. Anche quando la decisione normativa finale richiede un’analisi legale, la prova operativa deriva dalle evidenze di sicurezza e di engineering.
Quando una vulnerabilità EUVD diventa un incidente
Non ogni vulnerabilità è un incidente. Tuttavia, ogni vulnerabilità grave deve poter diventare rapidamente una registrazione di incidente.
Il trigger operativo è questo: se l’intelligence EUVD indica una possibile esposizione, aprire una registrazione di vulnerabilità. Se esistono evidenze di sfruttamento, impatto sul servizio, esposizione di dati regolamentati, danno ai clienti o interruzione operativa, collegarla o convertirla in una registrazione di incidente.
NIS2 Article 23 richiede la notifica degli incidenti significativi che incidono sulla fornitura dei servizi, inclusi gli incidenti che causano o potrebbero causare gravi interruzioni operative o perdite finanziarie, oppure incidere su altri soggetti tramite danni materiali o immateriali rilevanti. DORA richiede ai soggetti finanziari di registrare gli incidenti connessi all’ICT e le minacce informatiche significative, classificare gli incidenti ICT rilevanti, segnalarli ai sensi dell’Article 19 ove richiesto, comunicare ai clienti quando sono interessati interessi finanziari e chiudere con analisi della causa radice. Il GDPR richiede la valutazione della violazione dei dati personali quando un incidente di sicurezza causa distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali, in modo accidentale o illecito.
Zenith Blueprint, fase Controls in Action, Step 16, People Controls II, rafforza l’importanza di una cultura della segnalazione:
Promuovere una mentalità di “segnalazione a bassa soglia”: il messaggio dovrebbe essere “Nel dubbio, segnala”.
Per EUVD, questo vale per ingegneri e fornitori tanto quanto per i dipendenti. Se uno sviluppatore nota una dipendenza interessata, se un fornitore conferma la sfruttabilità o se il supporto osserva comportamenti sospetti dei clienti, l’organizzazione deve preferire un triage tempestivo a una certezza tardiva.
Come gli auditor testeranno il vostro programma EUVD
Un modello operativo EUVD solido deve essere progettato per più prospettive di audit. Le stesse evidenze possono soddisfare aspettative diverse se sono strutturate correttamente.
| Prospettiva dell’auditor | Cosa chiederà | Evidenze solide |
|---|---|---|
| Auditor ISO 27001:2022 | Gli obblighi legali sono identificati, i rischi valutati, i controlli selezionati, le operazioni documentate e i riesami eseguiti? | Campo di applicazione del SGSI, registro normativo, SoA, registro delle vulnerabilità, registrazioni del trattamento del rischio, audit interno, riesame della direzione |
| Autorità competente NIS2 o revisore di assurance | La direzione ha approvato le misure, le vulnerabilità e i fornitori sono stati gestiti, la segnalazione degli incidenti significativi è stata valutata? | Verbali del consiglio di amministrazione, procedura di gestione delle vulnerabilità, evidenze dei fornitori, log decisionale degli incidenti, registrazioni delle valutazioni a 24 e 72 ore |
| Auditor o supervisore DORA | Il rischio ICT è di responsabilità del consiglio, gli incidenti sono classificati, le dipendenze ICT di terze parti sono controllate? | Quadro di riferimento per il rischio ICT, classificazione degli incidenti, registro dei contratti ICT, due diligence sui fornitori, piani di uscita, report di analisi della causa radice |
| Auditor GDPR o riesame DPO | L’esposizione di dati personali è stata valutata e la responsabilizzazione è stata dimostrata? | Mappa dei dati, valutazione della violazione, riesame DPO, evidenze di contenimento, decisione sulle comunicazioni |
| Valutatore NIST CSF | Gli esiti attuali e obiettivo sono definiti lungo Govern, Identify, Protect, Detect, Respond e Recover? | Profilo CSF, piano delle lacune, inventario degli asset, evidenze di rilevazione, playbook di risposta, convalida del ripristino |
| Auditor COBIT 2019 o in stile ISACA | Sono definiti obiettivi di governance, titolarità del rischio, prestazione dei processi e monitoraggio dei controlli? | RACI, KRI, metriche di processo, reporting alla direzione, test dei controlli, azioni di miglioramento |
Un auditor ISO 27001 campionerà normalmente una registrazione EUVD ad alta gravità e chiederà se si collega al campo di applicazione, agli obblighi delle parti interessate, alla valutazione del rischio, al trattamento, ai controlli dell’Allegato A, alle evidenze operative e al riesame. Un valutatore orientato a NIST si concentrerà sugli esiti. Un auditor in stile COBIT si concentrerà su governance, titolarità, prestazioni e assurance. Un revisore DORA presterà particolare attenzione alle dipendenze ICT di terze parti, ai controlli contrattuali e alla classificazione degli incidenti.
Reporting al consiglio senza rumore CVE
NIS2 e DORA pongono gli organi di gestione al centro della responsabilità in materia di cibersicurezza. Tuttavia, i dirigenti non hanno bisogno di uno scarico di voci EUVD. Hanno bisogno di reporting utile alle decisioni.
Un report mensile di intelligence sulle vulnerabilità deve includere:
- Vulnerabilità critiche e alte corrispondenti a EUVD che interessano asset nel perimetro.
- Vulnerabilità aperte oltre lo SLA di rimedio.
- Ritardi causati dai fornitori ed escalation contrattuali.
- Vulnerabilità collegate a incidenti o mancati incidenti.
- Trigger ed esiti dei flussi CRA sulle vulnerabilità dei prodotti.
- Valutazioni di segnalazione NIS2, DORA o GDPR.
- Rischi residui accettati e da chi.
- Tendenze per servizio aziendale, prodotto, fornitore e causa radice.
- Metriche di efficacia dei controlli e azioni di miglioramento.
Questo si mappa direttamente alle aspettative di riesame della direzione della clausola 9.3 di ISO/IEC 27001:2022, incluse modifiche del contesto, esigenze delle parti interessate, tendenze delle prestazioni, risultati degli audit, raggiungimento degli obiettivi, feedback, risultati della valutazione del rischio, stato del trattamento e opportunità di miglioramento.
Errori comuni nella preparazione a EUVD
Le organizzazioni che faticano con l’intelligence sulle vulnerabilità di solito falliscono in modi prevedibili.
Primo, non dispongono di un inventario affidabile degli asset e del software. La rilevanza EUVD non può essere valutata senza nomi dei prodotti, versioni, librerie, servizi cloud, fornitori e flussi di dati.
Secondo, separano la gestione delle vulnerabilità dalla risposta agli incidenti. Il team delle vulnerabilità chiude i ticket, mentre il team degli incidenti non valuta mai se si sia verificato uno sfruttamento. Questo crea punti ciechi nella segnalazione.
Terzo, i contratti con i fornitori sono silenti. Se un fornitore non è obbligato a notificare, cooperare, applicare patch, fornire evidenze o supportare la risposta agli incidenti, il cliente ha poca leva durante una finestra critica.
Quarto, i team legale e DPO vengono coinvolti troppo tardi. Se le decisioni di segnalazione relative a GDPR, NIS2, DORA o CRA iniziano dopo che engineering ha già applicato la patch ed è passato oltre, la cronologia della consapevolezza diventa poco chiara.
Quinto, il reporting alla direzione è troppo tecnico. I consigli di amministrazione ricevono lunghi elenchi di CVE senza impatto aziendale, rilevanza normativa, tendenze dei fornitori o decisioni sul rischio residuo.
La metodologia Clarysec corregge questo problema collegando i controlli. In Zenith Blueprint, lo Step 19 rafforza la gestione delle vulnerabilità tecniche, lo Step 22 rende operativa l’intelligence sulle minacce, lo Step 16 rafforza la cultura della segnalazione degli incidenti e lo Step 23 mantiene visibili gli obblighi legali, statutari, normativi e contrattuali.
Uno sprint di 30 giorni per la preparazione a EUVD
Se la vostra organizzazione ha bisogno di un percorso rapido, iniziate con uno sprint mirato di 30 giorni.
Prima settimana: definire campo di applicazione e obblighi. Confermare se l’organizzazione è potenzialmente un soggetto essenziale o importante ai sensi della NIS2, se DORA si applica alle attività finanziarie, se il GDPR si applica al trattamento dei dati personali e dove gli obblighi CRA relativi alle vulnerabilità dei prodotti possono essere rilevanti. Aggiornare il registro normativo e contrattuale del SGSI.
Seconda settimana: costruire il flusso di presa in carico. Aggiungere EUVD, CERT nazionali, avvisi dei fornitori e flussi settoriali all’elenco delle fonti di intelligence sulle vulnerabilità. Definire chi apre le registrazioni, chi convalida l’esposizione, chi contatta i fornitori, chi valuta la segnalazione e chi approva il rischio residuo.
Terza settimana: collegare fornitori e prodotti. Identificare prodotti critici, servizi rivolti ai clienti, fornitori ICT diretti, sviluppatori esternalizzati, provider cloud e fornitori di sicurezza gestiti. Confermare contatti di sicurezza, clausole contrattuali, obblighi di risposta alle vulnerabilità e aspettative sulle evidenze.
Quarta settimana: testare il flusso. Eseguire un’esercitazione tabletop utilizzando un avviso EUVD realistico. Richiedere al team di produrre una registrazione di vulnerabilità, una comunicazione al fornitore, una valutazione dell’incidente, una decisione di notifica legale, un registro delle patch, un’approvazione del rischio residuo e una sintesi per la direzione.
L’output non deve essere un set di slide. Deve essere un pacchetto di evidenze che un auditor può campionare.
Rendere EUVD un sistema di controllo, non un altro flusso informativo
Entro il 2026, le organizzazioni che gestiranno bene ENISA EUVD non saranno quelle che si limiteranno ad abbonarsi a più avvisi. Saranno quelle che convertiranno l’intelligence pubblica sulle vulnerabilità in azioni basate sul rischio, responsabilizzazione dei fornitori, divulgazione coordinata, decisioni di segnalazione ed evidenze di audit.
Clarysec può aiutarvi a costruire questo modello utilizzando Zenith Blueprint Zenith Blueprint, la libreria di politiche Clarysec e Zenith Controls Zenith Controls. Mappiamo le clausole ISO/IEC 27001:2022 e i controlli ISO/IEC 27002:2022 rispetto alle aspettative di audit in stile NIS2, DORA, GDPR, NIST CSF e COBIT, quindi trasformiamo la mappatura in registri operativi, playbook, clausole per i fornitori e reporting alla direzione.
Se il vostro team si sta preparando alla gestione delle vulnerabilità NIS2, alla preparazione alla segnalazione CRA, alle operazioni CVD o all’intelligence sulle vulnerabilità guidata da EUVD, iniziate con un riesame della preparazione EUVD di Clarysec. Vi aiuteremo a identificare le lacune, prioritizzare i controlli e costruire la traccia delle evidenze prima che il primo avviso critico metta alla prova il vostro programma.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
